操作系统作为一个复杂的运作体系，其内部是必须实现一定的功能模块来进行分工合作的，这些功能模块像金字塔一样层层堆积，形成了系统的几个“层”，分别是系统核心层、硬件抽象层、用户层。

　　系统核心层(KernelLayer)位于整个操作系统的最底层，负责系统的基本运作，在这一层里的所有行为都由系统内置的指令来实现，所有外界因素都不会对这一处的行为造成影响。能直接进入这个层交互的程序不多，除了操作系统自身，第三方厂商若要能在此层直接工作，必须和系统厂商建立合作关系，使用系统厂商提供的接口函数才能进入。

　　目前能在这个层面直接工作的杀毒软件只有赛门铁克的Norton AntiVirus。

　　硬件抽象层(HardwareAbstractionLayer)是美国微软公司为了便于操作系统在不同硬件结构上进行移植而提出的将系统底层与硬件相关的部分独立运作的思想，HAL为系统实现了“硬件无关性”，即在不同的硬件平台上，硬件与操作系统的交互也不会有所差异，这样一来，硬件厂商开发驱动的难度便能大大降低，HAL将硬件的接口细节隐藏起来，并为操作系统提供一个标准硬件交互接口，目前所有的硬件驱动都工作在这个层面上，当外界硬件存在指令请求时，驱动程序响应请求并将指令通过HAL转换为系统核心层能理解的指令交给内核执行，如果未找到相应的驱动程序类型，则将其视为“默认硬件”(DefaultHardware)处理，什么叫“默认硬件”呢?最简单的例子就是进入安全模式，这时候大部分驱动程序不会被加载，此时的系统便是工作于“默认硬件”上。大部分使用“软件驱动”解决方案的杀毒软件就是在HAL层上虚拟了一个硬件来达到与核心层交互的效果，如McAfee、卡巴斯基等，瑞星2006也是通过这个方案实现了内核交互。

　　用户层(UserLayer)就是平时我们直接看到的部分，例如桌面，大部分杀毒软件也是在这一层运行的，主要用于用户接**互和将指令传递到杀毒引擎。一般运行于Ring3的程序行为也产生于此，一个应用程序产生的指令要求首先被传递到HAL层，HAL层将其解释处理为核心层可以识别的指令串，然后提交给核心层最后进入CPU的指令处理循环，CPU处理完毕后将结果反向送回到用户层上的应用程序，最终得到运算结果。

　　2.检测的核心——基于引擎机制的规则判断

　　这一步环节可以称之为病毒判断的核心阶段，一个好的杀毒引擎能在这个阶段识别出相当规模的病毒，其原理是在引擎中内置一部分病毒的特征代码，称为“基于特征码的静态扫描技术”，即杀毒引擎直接在文件中查找自身携带的特征代码，力求尽量在这一步发现病毒。早期的计算机用户应该记得，当初的杀毒产品并没有非常大的病毒特征数据库，甚至KV300 的所谓病毒特征数据库还是ASCII格式的，并由用户自己手工加入，仅仅作为一种简单的扩充手段来运作而已，这是因为KV300 的主程序内就已经包含了当时各种流行病毒的特征码。

　　但是如今由于网络普及和计算机技术发展，病毒攻势铺天盖地而来，如果单纯靠杀毒引擎自身携带病毒特征代码，将会造成主程序体积过于庞大而无法高效率运行，且升级麻烦等难点，因而杀毒引擎不得不将病毒特征库从自身脱离开来，形成独立的病毒数据库结构来与自身保持联系，这就是“基于特征码的静态扫描技术”的扩展产物：病毒特征代码数据库。

9 7 3 1 2 3 4 4 8 :

本文来源：IT168 作者：佚名