无意中看到英国的安全爱好者Graham Sutherland的一篇旧文《The anti-virus age is over》，尽管是一年前所写，但仍旧可以以“呵呵”的态度一览作者之AV观： .

就目前我的关注，我认为反病毒系统已然是强弩之末。或者，如果反病毒系统还没有没落，那也正走在即将终结的路上。

基于特征码的分析技术，包括静态分析(比如SHA1、哈希)和启发式(比如模式匹配)对于多态病毒都显得毫无用处，如果你知道编写病毒生成器是多么的容易，就明白这是个大问题。当从具体的多态引擎中找到特定的模式时，坏家伙们早已编写出了新的多态引擎。当你想到绝大多数浏览器脚本语言都具有图灵完备性，那么很明显，只需要开发人员的小小努力，相同的恶意代码行为便可以通过无限多种手段重写。行为分析或许可以提供一种低成功率的检测方式，但是至多也是一种弱标志。 .

在过去几年中，我们也看到APT(Advanced Persistent Threat)模式中的攻击潮。这些威胁有特定的目标或对象，而非随处拿软柿子捏。APT模式下的攻击涵盖社会工程学、自编写恶意软件、自发掘漏洞利用工具及平台以及未披露的0-day漏洞——反病毒方案确是面临相当棘手的威胁。 .

另外一个问题是内存驻留恶意软件。对于AV(anti-virus)厂商来说监视程序内存非常难，更别说在系统中精确检测内存问题。如果恶意软件不触及硬盘，大多数AV软件将永远也不会发现它。在趋势科技高级研究员Robert McArdle的报告“HTML5-A Whole New Attack Vector”中，谈及用HTML5编写的驻留在浏览器标签页中的僵尸程序和恶意软件。假设浏览器不在硬盘上建立缓存，那么可以在不利用浏览器漏洞的前提下感染内存驻留恶意程序，如此很容易迷惑用户，并且具有网络连接能力。另外一方面，浏览器中的任意可执行代码均可以作为杠杆加载可执行代码到进程内存中。在浏览器中或者在系统常规进程内存中驻留恶意代码如此相当简单。此外阻止内存页面交换也是可能的，最终便可以阻止恶意代码被交换到硬盘存储中。这对于AV软件和取证分析来说简直是梦魇一般!

.