• 瑞星AI網絡威脅檢測引擎sdk
• 語言綁定
  • C/C++
  • JAVA
  • Python
  • dotNet
  • Nodejs
  • go
  • php
• 引擎優勢
  • 豐富全面的平臺支持
  • 強勁的文件深度分析/提取/解碼能力
    • 支持的壓縮包（自解壓包）
    • 支持的安裝包:
    • 支持的電子郵件和郵箱文件
    • 支持的文檔/多媒體文件
    • 支持的磁盤/鏡像/文件系統
    • 支持的腳本發布包：
    • 支持的其他文件類型：
  • 豐富的脫殼能力
  • 全面的模擬執行能力（反病毒虛擬機）
  • 豐富多樣、針對性強的惡意軟件識別技術

瑞星AI網絡威脅檢測引擎

語言綁定

目前已經適配的語言：

• C/C++
• JAVA
• Python(CPytohn)
• dotNet
• Nodejs
• go
• php

C/C++

EXTERN_C void*  lame_open_vdb(const char* vlibf);
EXTERN_C void   lame_close_vdb(void* vdb);

EXTERN_C void*  lame_create(void* vdb);
EXTERN_C void   lame_destroy(void* lame);
EXTERN_C void*  lame_fork(void* lame);

EXTERN_C long   lame_param_set(void* lame , const char*  param);
EXTERN_C long   lame_init(void* lame);
EXTERN_C long   lame_scan_file(void* lame , const char* fname , lame_scan_result* pResult);
EXTERN_C long   lame_scan_mem(void* lame , uint8_t* data , uint32_t size , lame_scan_result* pResult);


EXTERN_C long   lame_scan_file_with_callback(void* lame , const char* fname , lame_callback cb , void* user_data);
EXTERN_C long   lame_scan_mem_with_callback(void* lame , uint8_t* data , uint32_t size , lame_callback cb , void* user_data);

EXTERN_C long   lame_get_version(lame_info* info);
EXTERN_C long   lame_get_licence_info(rx_licence_info* info);

JAVA

public interface ScanFeedback {
	public abstract long DtEnterFile(String file_name, long depth, Object usr_data);
	public abstract void DtLeaveFile(String file_name, long depth, Object usr_data, long l);
	public abstract long DtAlarm(String file_name, ScanResult sr, Object usr_data);
}

public class Lame extends RavEngine {
	public long OpenVdb(String vdbf);
	public void CloseVdb();
	public boolean Load(long lib);
	public boolean Set(String param);
	public void Unload();
	public LicenceInfo GetLicence();
	public LameInfo GetVersion();
	public ScanResult ScanFile(String fname);
	public ScanResult ScanMem(byte [] data);
	public boolean ScanFileWithCallback(String fname,ScanFeedback cb, Object usrdata);
	public boolean ScanMemWithCallback(byte [] data,ScanFeedback cb, Object usrdata);
}

Python

class LameBase:
	def SetParam(self, param)
	def SetParameter(self, param)
	def Load(self, vdb_object)
	def GetVersion(self)
	def GetLicense(self)
	def Unload(self)

class Lame(LameBase):
	def ScanFile(self,fname)
	def ScanMem(self, data)
	def Clone(self)

class LameWithFeedback(LameBase):
	def SetCallack(self, enter_file, leave_file, alram)
	def ScanFile(self, fname)
	def ScanMem(self, data)
	def Clone(self)

dotNet

public class Lame : LameBase
{
	public LameScanResult ScanFile(string sFile);
	public LameScanResult ScanMem(byte[] bytes);
	public object Clone();
}

public delegate void ScanInternalFileEvent(string fname, LameScanResult result);

public class LameWithEvent : LameBase {
	public void ScanFile(string sFile);
	public void ScanMem(byte[] bytes);
	private void ScanInternalFile(string fname, IntPtr resp, IntPtr zero);
	public object Clone();
	private LameScanResult FetchResult(IntPtr resp);
}

public class VirusLib
{
	public bool lame_open_vdb(string vdbf);
	public void lame_close_vdb();
	public IntPtr vdb_handle;
}

Nodejs

lame.prototype.GetVersionInfo();
lame.prototype.GetLicenceInfo();

lame.prototype.OpenVdb(vlib);
lame.prototype.CloseVdb();

lame.prototype.ExtractFile(filename, password, enter_file, leave_file, userdata);
lame.prototype.Extract_GetSize(handle);
lame.prototype.Extract_Seek(handle, offset, method);
lame.prototype.Extract_Tell(handle);
lame.prototype.Extract_Read(handle, size);

lame.prototype.Load();
lame.prototype.SetParameters(param);
lame.prototype.Unload();
lame.prototype.ScanFile(path);
lame.prototype.ScanMem(data, size);
lame.prototype.ScanFileWithCallback(path, enter_file, leave_file, alarm, userdata);
lame.prototype.ScanMemWithCallback(data, size, enter_file, leave_file, alarm, userdata);

go

func (this *Lame) OpenVdb(vlib string) uintptr
func (this *Lame) CloseVdb()
func (this *Lame) Create(vdb uintptr) uintptr
func (this *Lame) Destory()
func (this *Lame) Init() bool
func (this *Lame) SetParam(param string) bool
func (this *Lame) ScanFile(path string) *DetectResult
func (this *Lame) ScanMem(data [] byte, size int) *DetectResult
func (this *Lame) ScanFileWithCallback(path string, cb ScanCallBack, userdata interface{}) bool
func (this *Lame) ScanMemWithCallback(data [] byte, size int, cb ScanCallBack, userdata interface{}) bool
func (this *Lame) GetVersion() *LameVersion
func (this *Lame) GetLicenceInfo() *LicenceInfo
func (this *Lame) ExtractFile(filename string, password string, cb ExtractCallBack, userdata interface{}) bool
func (this *Lame) Extract_GetSize(handle uintptr) int
func (this *Lame) Extract_Seek(handle uintptr, offset int, method int32) bool
func (this *Lame) Extract_Tell(handle uintptr) int32
func (this *Lame) Extract_Read(handle uintptr, buf [] byte, size uint32) uint32

php

class Lame
{
	function open_vdb($vlib_path = "");
	function create();
	function release(&$handle);
	function close_vdb(&$vdb);
	function set_parameter($param);
	function load();
	function unload();
	function scan($filename);
	function scan_with_callback($filename, $enter_file, $leave_file, $alarm, &$user_data);
	function scan_memory($contents);
	function scan_memory_with_callback($contents, $enter_file, $leave_file, $alarm, &$user_data);
	function extract_file($filename, $enter_file, $leave_file, &$user_data);
	function extract_get_size($handle);
	function extract_seek($handle, $offset, $method);
	function extract_tell($handle);
	function extract_read($handle, $size);
	function get_version();
	function get_licence_info();
}

引擎優勢

豐富全面的平臺支持

純C++實現，無任何內聯匯編，幾乎可在Windows及所有符合Posix標準操作系統和CPU上編譯運行。已經穩定應用于：

• Windows + x86/x64
• Linux + x86/x64
• Linux + MIPS 32/64 + 大小字節序
• Linux + ARM 32/64
• Unix + PowerPC
• 國產操作系統（Linux家族） + 國產CPU（x86/MIPS）

強勁的文件深度分析/提取/解碼能力

支持多種壓縮包、自解壓包、符合文檔、媒體文件、加密腳本等。

支持的壓縮包（自解壓包）

支持的安裝包:

• Instyler
• NSIS
• Inno(all version)
• SFactory
• SmartInstaller
• Wise Installer
• SIS,塞班（Symbian)系統軟件安裝包
• deb,Debian系Linux的軟件安裝包

支持的電子郵件和郵箱文件

• EML/MSG, 基于文本的電子郵件存檔
• MSO, 基于微軟復合文檔的電子郵件存檔
• FixMail Mailbox（低版本）
• Outlook 4/5 Mailbox
• Outlook 2003+ (.pst)
• Netscape

支持的文檔/多媒體文件

提取文檔中嵌入的其它資源，如：宏、腳本、可執行程序等

• Open Office XML .xml,.odp,*.odt,*ods
• Microsoft Office Binary(v2003-), *.doc, *.xls, *.ppt, ...
• Microsoft Office XML(v2003+), .docx ,.docm, .xlsx,.xlsm,*.xlsb .pptx,.pptm, ...
• Adobe PDF, 包括 .pdf 和 基于XML的 .xdp
• Flash SWF, 支持 defalte 和 lzma 兩種壓縮算法（提取SWF中嵌入的PE文件）
• CHM，Windows幫助文件
• RTF

支持的磁盤/鏡像/文件系統

提取磁盤內的分區 以及 分區內 存放的文件。

• 虛擬化磁盤
  • VMDK（vmware)
  • VHD（microsoft）
  • QCOW（kvm/quemu） 目前均未支持快照
• MBR/GPT分區表的磁盤鏡像
• NTFS文件系統
• DMG,MacOS下的磁盤鏡像文件
• CramFS,專門針對閃存設計的只讀壓縮的文件系統
• CPIO,由linux cpio命令創建的歸檔文件
• ISO

支持的腳本發布包：

• AutoIt
• QuickBatch
• Gentee
• 易語言(老版本)

支持的其他文件類型：

• VBE/JSE：微軟的加密VBS腳本
• HTML Data URI
• UUE
• FAS, AutoCAD腳本快速加載文件
• Windows PE，提取資源中的文件

豐富的脫殼能力

• 針對Windows PE文件: acprotect, armadillo, aspack, aspr, bitarts, crypt, dbpe, enigma, execrypt, exeshield, expressor, orien, packman, pcguard, pearmor, pec2, pespin, petite, pex, pklite, rlpack, svkp, upx, yoda, molebox, ahpack, cexe, depack, exe32pack, exefog, ezip, FSG, himeys, krypton, mew, nakepack, npack, nprotect, nspack, NTkrnl, obsidium, pcshrinker, pecrypt, pep, pedinisher, pelocknt, pestil, polycrypt, punisher, sdprotect, slvcodeprotector, themida, vprotect, yzpack, pe-ninja
• 針對Linux ELF文件： upx (all targets，實驗性質）

全面的模擬執行能力（反病毒虛擬機）

• MS-DOS + BIOS + 8086 模擬器
  該模擬器用于虛擬執行 MBR，DOS-COM，DOS-EXE等古老的程序。

• x86平臺32/64位混合式Windows模擬器
  該模擬器用于應對現代惡意軟件，支持32位和64位程序。同時還支持以32位方式執行64位程序，或以64位方式執行32位程序，來應對一些極端情況。

• JavaScript沙盒
  用于虛擬執行JScript/JavaScript。

豐富多樣、針對性強的惡意軟件識別技術

• 簡單特征碼匹配技術
  采用邏輯位置 + 偏移 + 特征串的方式識別病毒。
• 詞法分析技術
  針對VBS/JS/PHP/JAVA/C等文本文件進行詞法分析后，在語義層面對惡意腳本進行識別。
• 自定義查殺毒邏輯
  分析員通過編寫查殺病毒的代碼，可查殺超級復雜的數量極大的感染型病毒惡意軟件家族。
• 模擬執行跟蹤技術
  又稱反病毒虛擬機，將目標文件（PE文件/JS腳本）在模擬器中執行，跟蹤其執行時執行的指令、修改的內存、調用的函數、產生的副作用，記錄日志，同時驅動特征碼匹配、自定義查殺毒邏輯。
• 智能特征碼匹配技術
  一種MPM全文搜索技術，類似正則表達式的病毒特征描述方式但在惡意軟件識別上擴充了很多特殊的能力，適用于內容匹配和模式匹配。
• 多維度（內容平面）交叉判定技術
  將文件通過不同的處理方式，分離成不同維度的內容平面，并在這些內容平面中進行特征匹配，通過不同平面中特征匹配情況來綜合判定目標文件是否為惡意軟件。例如：敏感函數名 在原始內容中無法被匹配到，但在模擬執行后的函數調用日志中存在，可以推斷出該敏感函數被人為加密或隱藏了，這便是一種惡意軟件的邏輯特征。
• 圖像匹配技術
  該技術專門針對“圖標誘導”類的WinPE 惡意軟件，例如，將自身的程序圖標設置為MsOffice/PDF等文檔圖標來誘導用戶雙擊執行的惡意軟件。
• 代碼基因技術
  針對不同類型的文件，提取這些文件的主干（框架）內容，并計算其指紋（我們稱為代碼基因），其可用于對抗輕微變型/混淆的惡意程序、惡意腳本、惡意宏。該技術支持 機器自動化 處理，無需人工提取，效率極高。
• 關鍵內容檢驗技術
  針對 Windows PE 文件（包含dotNet）,劃定約15個關鍵內容區域，對這些區域按照特定算法計算指紋，并匹配惡意指紋庫。該技術支持機器自動化處理，無需人工提取，效率高。
• 數字簽名校驗及匹配技術
  將目標文件的數字簽名同已經收錄的惡意數字簽名進行比對。
• 簡單哈希匹配技術
  文件尺寸＋文件內容哈希值。
• YARA技術
  融合了準行業標準惡意軟件表述語言。
• 人工智能技術
  針對WinPE文件和Flash文件的人工智能惡意軟件識別技術——RDM+。RDM+是瑞星自主研發的人工智能引擎，目前以“云腦”和“嵌入”兩種形式存在于反病毒引擎中?！霸颇X”模式擁有龐大的預測模型、極快的誤報處置速度、客戶端無感的周期性更新，其預測過程融入在傳統云引擎交互過程中，為使用者帶來巨大的“零日”惡意軟件識別能力的提升?！扒度搿蹦Ｊ絼t采用更為小尺寸的模型，以實現客戶端部署，它為引擎提供無網絡環境下的基于人工智能的惡意軟件識別能力，由于模型較小，其在誤報概率上會略微高于“云腦”模式。

7. 豐富的 文件格式識別能力
   • BOOT ： MBR引導扇區
   • MZ ： DOS可執行程序(exe)
   • PE ： Windows可執行程序
   • DEX ： 安卓應用主程序
   • ZIP ： ZIP壓縮包
   • CAB ： Microsoft制訂的壓縮包格式
   • ARJ ： ARJ壓縮包
   • RAR ： RAR壓縮包
   • RAR5 ： RAR 5.0 壓縮包
   • ARC ： ARC壓縮包
   • ZOO ： Unix系統中使用舊的壓縮格式
   • LZH ： 用LHARC壓縮的文件
   • TAR ： UNIX合并文件
   • GZIP ： gz 壓縮包
   • UUE ： UUE 編碼文件
   • ACE ： Ace 壓縮檔案格式
   • BZ2 ： BZ2 壓縮包
   • CHM ： Windows幫助文件（經過編譯打包的HTML文件集合）
   • 7Z ： 7Zip 壓縮包
   • XZ ： XZ 壓縮包
   • SIS ： 塞班系統的軟件安裝包
   • APK ： 安卓應用發布包
   • IPA ： 蘋果IOS軟件發布包
   • ZIPEXE ： ZIP 自解壓包
   • CABEXE ： CAB 自解壓包
   • ARJEXE ： ARJ 自解壓包
   • RAREXE ： RAR 自解壓包
   • RAR5EXE ： RAR5 自解壓包
   • ARCEXE ： ARC 自解壓包
   • ZOOEXE ： ZOO 自解壓包
   • LZHEXE ： LZH 自解壓包
   • ZIPNE ： ZIP 自解壓包
   • ZIPPE ： ZIP 自解壓包
   • ACEEXE ： ACE 自解壓包
   • NSIS ： NSIS 安裝包
   • INNO ： INNO安裝包（InnoSetup）
   • 7ZEXE ： 7Zip自解壓包
   • CABSETEXE ： CABSET自解壓包
   • SEAEXE ： SEA 自解壓包
   • WISE ： WISE安裝包
   • WISEA ： WISE安裝包
   • AUTOIT ： AUTOIT腳本編譯后的可執行文件
   • ELANG ： 易語言編譯的程序
   • GENTEE ： GENTEE腳本編譯后的程序
   • PAQUET ： PaquetBuilder產生的安裝包
   • INSTYLER ： instyler SmartSetup制作的安裝包
   • SFACTORY ： Setup Factory制作的安裝包
   • QUICKBATCH QuickBatch制作的可執行程序
   • DOC ： Microsoft Windows復合文檔
   • MDB ： Microsoft Access數據庫
   • HTA ： Windows HTML Application文件
   • REG ： Windows注冊表文件
   • VBSENC ： Windows加密VBScript文件
   • JSENC ： Windows加密JScript文件
   • XOFFICE ： Microsoft Office 2003+ 文檔
   • JPEG ： JPEG/JPG圖片文件
   • SWF ： Flash 文件
   • SWC ： Flash 文件（帶壓縮的）
   • PDF ： Adobe PDF文檔
   • MP3 ： MP3 音頻文件
   • LNK ： Windows 快捷方式文件
   • TTF ： True Type Font 字體文件
   • ELF ： Linux 可執行文件
   • CLASS ： Java 子節碼文件
   • BMP ： Windows Bitmap位圖文件
   • GIF ： GIF圖片文件
   • PNG ： PNG圖片文件
   • ICO ： 圖標文件
   • CDR ： CorelDraw 產生的文件
   • MIDI ： MIDI音頻文件
   • MPEG ： MPEG視頻文件
   • HLP ： Windows幫助文件
   • WPG ： Word Perfect產生的矢量圖文件
   • CPT ： FineReport產生的報表文件
   • ISU ： 安裝程序產生的文件
   • WBM ： Macromedia Fireworks File
   • CAT ： Windows數字簽名編錄文件
   • MBX ： Microsoft Outlook保存電子郵件格式；Eudora郵箱
   • WAV ： Windows波形聲形
   • WDL ： 北京華康公司開發的一種電子讀物文件格式
   • DBF ： dBASE文件
   • REALPLER ： RealPlayer媒體文件
   • RPM ： RedHat包管理器包（用于Linux）
   • IDB ： MSDev中間層文件
   • PDB ： Windows調試符號文件
   • AU3SCRIPT ： AutoIt3 腳本
   • DOSCOM ： DOS COM文件
   • TEXT ： 文本文件
   • VBS ： VBScript文件
   • HTML ： 網頁文件
   • BAT ： 批處理文件
   • JS ： JScript文件
   • NS ： NSIS腳本文件
   • EML ： 電子郵件文件
   • IRC ： IRC腳本
   • PERL ： Perl腳本
   • SHELL ： Bash shell腳本
   • VHD ： 微軟虛擬磁盤
   • VMDK ： VMWare虛擬磁盤
   • RTF ： RTF文檔
   • PST ： Outlook 2003 + 郵箱文件
   • UCS16LE ： Unicode 16LE File
   • OUTLOOKEX_V5 Outlook Express 5 郵箱文件
   • OUTLOOKEX_V4 Outlook Express 4 郵箱文件
   • FOXMAIL_V3 Foxmail 3 郵箱文件
   • NETSCAPE_V4 Netscape 4 郵箱文件
   • BASE64 ： Base64 編碼后的PE文件
   • NWS ： Windows Live Mail的( WLM)創建新聞組的文件
   • MHT ： 聚合HTML文檔
   • MSG ： 郵件
   • BOX ： 郵箱文件
   • IND ： 郵箱索引文件
   • JAR ： Java歸檔文件
   • NTFS ： NTFS文件系統
   • FAT ： FAT文件系統
   • LOTUSPIC ： Lotus使用的圖片文件
   • VBVDI ： VirtualBox 虛擬磁盤
   • SQLITE ： SQLite 數據庫文件
   • LIBA ： lib文件
   • TIFF ： TIFF圖片文件
   • FAS ： AutoCAD FAS文件
   • LSP ： AutoCAD LSP文件
   • XDP ： XML表達的PDF文件
   • WSF ： XML表達的Windows腳本文件
   • EOT ： Embedded Open Type 字體文件
   • ASF ： 高級串流媒體文件
   • RIFF ： 資源互換文件格式（ResourcesInterchange FileFormat)，媒體文件
   • QTFF ： QuickTime媒體文件
   • TORRENT ： BT種子文件
   • WMF ： Windows WMF 圖像文件
   • JSENC ： 加密JS腳本
   • COM ： DOS-COM文件
   • INI ： Windows的系統配置文件
   • HTM ： HTML網頁文件
   • PPT ： MsOffice PowerPoint幻燈片文件
   • PHP ： PHP網頁文件
   • MACH_O ： MacOS可執行文件
   • FLV ： FLASH VIDEO 流媒體文件
   • IPA ： 蘋果IOS應用文件
   • SMARTINSTALLER Smart Installer制作的安裝包文件
   • MSO ： 微軟ActiveMine文件
   • PS ： Microsoft Powershell 腳本文件
   • EPS ： Adobe PostScript 文件
   • WSF ： 含有可擴展標記語言 (XML)代碼的Windows 腳本文件
   • INF ： 系統自動化腳本
   • MSCFB ： Microsoft Compound File Binary (CFB)
   • ODF ： OpenOffice文件
   • OXML ： OpenOffice文件（xml)
   • ISO ： 符合ISO 9660標準的光盤鏡像文件格式
   • DEB ： Linux軟件包(debian)
   • CPIO ： Linux文件包（cpio命令創建）
   • CRAMFS ： 專門針對閃存設計的只讀壓縮的文件系統