腾讯马劲松：登顶“AVC”背后的反病毒攻坚战

电视剧里最激烈的打斗，要么是遇上同样遇神杀神的顶尖高手，要么是一堆劲敌围过来，却依然轻松斩杀，片叶不沾身。

乱世方显英雄，如若生在“太平盛世”？那就找一个“坏人成堆”的试炼场。

腾讯安全反病毒实验室负责人马劲松告诉雷锋网，7、8个月前，腾讯电脑管家接受了国际权威评测机构 AV-Comparatives (以下简称 AV-C )在特殊极端环境下的测试。最近，检测报告显示，国产杀毒软件腾讯电脑管家(英文版)累计获得了 AV-C 五项评测的“A+”最高评级。

参加这一测试的还有杀软界鼎鼎大名的卡巴斯基、AVG 等，在老牌杀软面前，这一成绩究竟意味着什么？背后还有什么故事？雷锋网宅客频道第一时间采访到了马劲松。

杀软能力究竟怎么样？到底能不能让用户满意？

参与国外权威的第三方评测机构进行测试，让它和国际老牌的厂商同场竞技，这是当前国内安全厂家打造自己杀软公信力的第一选择。

AV-C 是一个国际独立测试机构，因提供针对计算机安全产品的综合性与客观性评测结果而闻名。

其实，以前腾讯电脑管家也参与过 AV-C 的测试，战果逐年递加。相应而言，2016年的测试强度更大了，难度也比较高。

例如，在 AV-C 恶意软件清除能力测试中，要在最新的 Win10 64 位系统下进行测试，腾讯电脑管家英文版、卡巴斯基、小红伞、BD等18款全球知名杀毒产品参与，测试时间历时 7 个月。

这项测试采用“先染毒，再装杀软”的方式进行，选取当前流行的恶意软件样本，最大限度地考察本地引擎针对染毒机器的清除修复能力（极端情况，甚至需要使用“TAV启动盘”）。

这意味着，AV-C 的测试环境比普通用户面对的病毒环境更极端，如果说普通用户偶尔只会遇到一两个病毒、木马，被测试的杀软就是掉进了最极端的”坏人”环境中，考验它的作战能力。

道高一尺，魔高一丈。病毒世界也在不断地推陈出新，AV-C 会同步外部世界的变化，将最厉害的对手请到测试机器上来。

在几个月的持续厮杀后，马劲松和同事等到了 AV-C 2016 年度的评测结果。这是腾讯电脑管家参加 AV-C 年度评测以来获得的最好成绩。“为了这一刻，背后的所有努力和坚持都值得。”马劲松说。

数字不带丝毫温度，背后却是灵活的策略与艰辛的努力。腾讯电脑管家为了应对用户的反病毒需求，以自主研发的 TAV 杀毒引擎在前方冲锋陷阵，而哈勃分析系统在后方不断 “补充弹药”。

这是一场十分完美的配合。

为了更少占用内存，以最快速度发现“可疑分子”，成功找出“犯罪嫌疑人”，腾讯电脑管家的策略是，以 TAV 在前方战场不断“嗅探”，寻找潜在的威胁。为了打消敌方的顾虑，故意暴露一部分“武器”在前台，后台却是强悍的哈勃分析系统在不断计算、分析，剥下敌人伪装的外衣。

前台将“可疑分子”诱骗到一个虚拟机中，开始拆解、分析、战斗。马劲松说：

为什么要将样本虚拟地跑起来？因为有些可疑样本存在变形，我们要把这种变形绕过去，把它展开。

把它关到防爆钟里，即使爆炸了，也是在防爆钟里，回头把钟移走，整个安全就没有任何问题了。

在前台的 TAV 有两个作用，一是感应器，犯罪分子一般会伪装成正常人，让警察看不出来，但是它多多少少会有一些习惯，暴露出可疑行踪，这时 TAV 就会把这种可疑点找到，能解决的先解决，不能解决的把犯罪嫌疑人拽到后台，做深入审问，由后台来定义可疑分子究竟是不是犯罪嫌疑人，后台判定后交由前台执行，这就是前台的第二个作用。

后台的动态检测较多，这并非意味着静态比较简单，而是在后台可用多台机器同时对样本进行计算。如果大量处理放在前台，可能会占用大量内存，影响用户体验。

后台所应用的动态检测则对整个系统都进行了监控，可疑分子在运行期间所做的任何动作都被后台一一记录。

比如，简单的帐号盗取，实际上只有在伪装的 QQ 输入框里输入密码后发送，才会触发所谓的帐号密码传输到指定邮箱的行为。

马劲松说，

这是一个很简单的案例，但很有效。因为我们通过这样的模拟执行和后台数据抓取，可轻松拿到作恶者的 QQ 号所发往的邮箱地址，并且顺藤摸瓜找到更多受害者的信息，尽量帮助受害者用户恢复损失。

后台还会不断反馈作恶者的新特点，同步给置于前端的 TAV ，

马劲松表示，实际上打击和检测分开这个逻辑自始就有，但是前端打击和后端检测整个能力却在不断完善。

一开始时我们也只有静态，发现它的效率不高，后来才逐步完善，寻找更高效的方式，哈勃在不断摸索过程中变得效率更高，打击更精准。

在这个能力提升的过程中，最关键的一点是，腾讯安全舍得花钱了！

除了有钱买设备，还靠安全人才的投入。马劲松说，这个领域的人才要有跨平台能力，安全人才本来就特别少，要懂安全又懂大规模并行计算处理等领域的就更少了。

在当前安全人才也不是特别充足的情况下，面对万千样本的来袭，只能依靠人工智能。马劲松表示，在后台领域，腾讯已经开始使用深度学习技术。

腾讯反病毒实验室最近还发布了一个消息：哈勃分析系统已经入选世界级黑客大会 BlackHat 的兵器谱。这意味着，世界顶级的技术人员也看上了他们引以为豪的“武器”。

马劲松认为，腾讯电脑管家已经处在一个非常高的梯队上，如果再往上做一些提升，当然也会遭遇重重困难。就像一个顶尖的运动员再次向更高、更快、更强发起冲击时所面临的困境一样，不过腾讯电脑管家不能通过多次机械“锻炼”来提升，它只能不断试错，尝试此前从来没有试过的方法。

因此，今年他们将在杀软的深度学习方向加大研发力度，做出进一步尝试。

道高一尺，魔高一丈，防御方比攻击方更被动。

马劲松说，

在马劲松及他的同事心中，也许，也藏着一个“天下无贼”的梦想。

小程序搜索难？猎云网精品小推荐正式上线，你想要的都在这里： xiao.lieyunwang.com

本文为转载，转载请注意真实来源