360自主研发成果揭秘——360启发式引擎

一、360启发式引擎是什么引擎？主要作用是什么？
答：360启发式引擎是一款主要针对于感染型病毒的启发式引擎（其实不能算传统意义上的启发，后面会提到），其主要作用是修复，即以清除感染性病毒，修复原文件（而不是隔离文件）为己任。


（图1：感染型病毒入侵全盘，360启发式引擎发威）

二、360启发式引擎的由来和引擎策略是什么？？
答：360启发式引擎最早可追溯于卫士7.1版本，当时的启发式引擎使用的是来自BitDefender（简称BD)的精简启发引擎，大小是10M，默认是未下载状态，需要时自行下载（大家应该有印象吧），就这样以本地启发和木马云查杀构成了卫士的双引擎查杀策略。
　　后来经过一段时间发现，10M的BD启发作用有限，在断网下难堪大任，并且随着360自主研发的QVM启发技术越来越成熟，终于在卫士8.0版本，去除了BD精简启发，替换为360自主研发的AVE引擎（即现在的360启发式引擎），并在后续的更新版本中，逐步添加了小红伞和本地QVM引擎，再加上云引擎构成四引擎查杀策略。


（图2：360四大引擎查杀）

三、上面提到的AVE是什么呢？
答：AVE是我们对于现今360启发式引擎的一种称呼，从其本质上看并不属于传统意义上的启发式引擎，而是修复引擎，但当时AVE替换BD启发时，卫士界面上没有考虑换名，因此沿用至今。我们可以在Program Files\360\360Safe\deepscan目录下找到AVE文件夹，里面有三个文件，就是AVE引擎的文件了，看看文件和文件夹的命名，我想大家就知道为什么我们习惯称之为AVE引擎了


（图3：AVE引擎文件夹内的三个文件）

四、AVE引擎具体有什么特点？和QVM、小红伞引擎配合有多大效果？
答：AVE引擎具有占用小、清除效果好、效率高等特点，并且据后台工作人员所说，至今仍未发现有关AVE引擎的误报情况。AVE引擎虽被称之为启发式引擎，但其最重要的作用是修复，尤其是对感染型病毒有较好的清除能力，本地QVM引擎本身具有强大的启发能力，但不具备修复能力（即所谓“能查能删但不能修”），而AVE引擎很好的弥补了这一缺陷，再与国际一流引擎小红伞配合，中西结合，三剑合璧，断网查杀修复能力大大增强，在国内难找敌手，因此取代原本断网下单独的BD启发也是势在必行！
您好！早期的360启发式引擎采用的是精简版的BD启发引擎，要自行下载，大小在10M左右，那时候360卫士采用的还是双引擎技术，即本地BD启发+云的形式。
后来经过一段时间发现，10M的BD启发作用有限，在断网下难堪大任，随后采用360自主研发的AVE引擎（即现在的360启发式引擎），配合本地QVM、小红伞引擎和云形成四引擎技术，AVE引擎虽被称之为启发式引擎，但其最重要的作用是修复，尤其是对感染性病毒有较好的清除能力，本地QVM引擎本身具有强大的启发能力，但不具备修复能力（即所谓“只能查不能修”），而AVE引擎很好的弥补了这一缺陷，再与国际一流引擎小红伞配合，中西结合，三剑合璧，断网查杀修复能力大大增强，在国内难找敌手！
AVE是360自主研发引擎，文件在Program Files\360\360Safe\deepscan\AVE目录下，是针对感染型病毒的启发式引擎，主要作用是修复文件，具有占用小、清除效果好、误报低、效率高等特点，别看其查杀率低，但有时却能够起到让人意想不到的效果，在本地QVM和小红伞引擎默认不安装的情况下，360启发式引擎（AVE）反而是默认安装的，可见其的作用（当然也有其文件很小的缘故），另外AVE不仅本地有，云端也有，作为360云端样本识别和修复的一种手段，是360云查杀体系中的一份子

五、为什么官方好像没有宣传过AVE引擎？
答：其实官方并非没有宣传过AVE，如果我说另一个词语我想大家可能会更了解一些，那就是 QDisinfect技术，这个是360杀毒2.0.1.1332版本首次引入的技术


（图4:360杀毒2.0.1.1332版本的部分更新内容）
在接着的几次杀毒更新上，我们总能看到QDisinfect的影子


（图5：360杀毒2.0.1.2042的部分更新内容）
也许大家已经想出个这个QDisinfect引擎是什么了，没错，这个QDisinfect引擎其实就是AVE引擎，大家可以在360sd目录下搜索AVE同样可以找到AVE引擎的三个文件，因此某位同学还曾经建议360启发式引擎集成到360杀毒中，殊不知其实360杀毒早就有了，但只是官方低调了一点。

六、QDisinfect具体怎么解释呢？
答：QDisinfect 可以这样理解：Qihoo Disinfect 即奇虎清毒技术
　　很多杀软对于感染型病毒感染的正常文件，往往是病毒连带正常文件一起删除处理的。而QDisinfect 技术主要就是以清除感染性病毒，修复原文件为目的。
　　现象的说：对于患了传染性疾病的患者，许多医院采取的是直接焚烧患者的方法，而360这家新开的医院可以根治传染性疾病，让患者康复！不会危及患者性命！

QDisinfect 可以这样理解：Qihoo  Disinfect  即奇虎清毒技术
很多杀软对于感染性病毒感染的正常文件，往往是病毒连带正常文件一起删除处理的。而QDisinfect 技术主要就是以清除感染性病毒，修复原文件为目的
现象的说：对于患了传染性疾病的患者，许多医院采取的是直接焚烧患者的方法（我好邪恶），而360这家新开的医院可以根治传染性疾病，让患者康复！不会危及患者性命！
不过，经过测试，此技术还未达到理想的效果，还有很大的提升空间，希望360再接再厉！

QDisinfect 技术的出现，可以说从根本上解决了以往360对于BD修复能力的过度依赖，造就了360自己的AVE引擎（内部称之为AVE，对外宣称的就是QDisinfect技术）

七、AVE引擎（QDisinfect 技术）的效果如何呢？能不能举个实例？
答：有工作人员表示如果中了全盘感染，这个引擎的修复能力还是很强的。
　　在这里引用一下 来自卡饭的360测试帝 leisong 的测试内容（仅引用AVE测试，其他测试忽略）

在卡饭11月26日病毒包中的样本2-11是一个被感染的一个样本，360扫描显示启发式引擎（也就是AVE引擎），默认处理方式为修复文件，而云引擎默认处理方法则为隔离文件


样本修复前的大小


病毒处理默认为修复，修复后变小


修复后的该样本，再次运行，已经没有不规矩的动作了，也没触发360的主防，变成一个正常的FLASH播放器，成功修复。
360的AVE引擎主要用来检测并修复感染型病毒，今日样本2-11是被感染的一个样本，360扫描显示启发式引擎就是AVE引擎，下图为检测截图及修复前的大小



病毒处理默认为修复，修复后变小


下面的运行测试才是重点
删除AVE引擎，运行云QVM又报毒，


再将QVM删掉测试动作，360云主防直接杀掉衍生物


关掉360再测，MD记录动作如下：

2011-11-26 19:09:23    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\ttk\libai2-11.exe
命令行: "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:09:26    创建文件    允许
进程: e:\ttk\libai2-11.exe
目标: C:\WINDOWS\svchost.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2011-11-26 19:09:40    创建新进程    允许
进程: e:\ttk\libai2-11.exe
目标: c:\windows\svchost.exe
命令行: "C:\WINDOWS\svchost.exe" "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:09:47    修改文件    允许
进程: c:\windows\svchost.exe
目标: E:\TTK\libai2-11.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2011-11-26 19:09:49    创建新进程    允许
进程: c:\windows\svchost.exe
目标: e:\ttk\libai2-11.exe
命令行: "E:\TTK\libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:10:13    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2011-11-26 19:10:33    修改文件    阻止并结束进程
进程: c:\windows\svchost.exe
目标: C:\Documents and Settings\Administrator\Application Data\360inst\360inst_89\360Inst_89.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

-----------------------
修复后的该样本，再次运行，已经没有不规矩的动作了，也没触发360的主防，变成一个正常的FLASH播放器，成功修复。

2011-11-26 19:10:57    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\ttk\复件 libai2-11.exe
命令行: "E:\TTK\复件 libai2-11.exe"
规则: [应用程序]*

2011-11-26 19:11:05    修改注册表值    允许
进程: e:\ttk\复件 libai2-11.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ShockwaveFlash.ShockwaveFlash\shell\open\command
值: E:\TTK\复件 libai2-11.exe %1
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command