多病毒会和杀毒软件进行对抗，比如通过周围的条件判断自己是不是运行在杀毒软件的虚拟机中；

还有很多盗号的木马，他们会检测DNS服务在不在，检测系统里的QQ是否在运行。由于我们不可能在虚拟机中真的安装QQ，所以我们需要用代码来模拟这些软件存在的特征。

还有些病毒，它的发作需要很特殊的触发条件，例如被下载之后，会等待30秒才开始攻击行为。或者首次运行的时候什么都不干，重启的时候再攻击。对于这种病毒我们就要跳过前面的等待代码，直接检查后面的代码。

还有一些复杂的病毒，他们自身可以加密、变形。这种特殊的病毒，只能依靠真实的执行，让它在运行的过程中自己解密为明文代码。但是这就对虚拟机提出了很高的要求，如果虚拟机写得不够精巧，很可能病毒跑到一半就解密不下去了。

马劲松告诉笔者，由于分析的数据非常庞大，哈勃引擎还可以产生出质量很高的威胁情报。

“在这些病毒样本中，我们可以提取到IP地址、URL地址、手机号、短信号、E-mail地址。这些都是非常有价值的信息。例如你可以通过E-mail查询到注册者的信息，通过网址也可以查询到注册者的信息，这些信息可以提供给腾讯内部以及合作伙伴，看到整个网络中对特定目标的攻击态势。”

【2015年冬天，马劲松和同事们在办公室等待测评结果】

最难跨越的是最后一步

2015年6月，马劲松和反病毒实验室接到了一项艰巨的任务，那就是扛起“手机病毒查杀”的重担。虽然团队专家之前对手机病毒有所研究，但是主攻方向一直是PC端。

手机病毒和PC病毒虽然原理相同，但是文件格式、黑白名单的比例构成、有害行为的特征都不一样。这些细节的东西还是非常吃功夫的。

马劲松说，他尽量不让兄弟们加班加点，从容有序地完成这个庞大的计划。他告诉笔者一个印象深刻的场景：

到了11月的时候，我们的手机引擎第一次参加AV-Test的测评。我们知道成绩就会在这两天公布，于是我们几个人每天都等在公司。由于和德国有时差，所以我们一直等到晚上11点。但是连续两三天都没有等到，去年的冬天非常冷，我们半夜回家都冻得够呛。

不过最后一天晚上十一点半，我们终于等到了那个邮件。我们以98%的检出率得到了满分。那一瞬间，我们突然觉得饿了，大半夜里我就请大伙出去吃了顿大餐。

虽然检出率超过98%就被认定是满分，但是“98%”的数据还是让马劲松觉得很刺眼，因为这意味着距离100%还差两个百分点。但是这2%的距离，却不是轻易可以补足的。奇怪的是，说到如何补足这两个点，马劲松觉得并没有独门绝技。“并不存在我做了某件事，就突然提高了这两个点的一一对应关系。我们其实就是把所有的细节重新扣了一遍，优化了所有觉得有进步空间的逻辑。功夫、心态，98%到100%就差这点距离。”

2016年3月，TAV在手机病毒查杀评测中第一次拿到了100%的成绩。5月, TAV在手机病毒查杀评测中又一次拿到了100%的成绩,且是国内唯一一家。

【AV-Test 2016年5月移动端杀毒软件的测评报告】

“从这以后，我再也看不到竞品的同学秀他们的评测成绩了。”马劲松对此非常骄傲。

说到当年研发TAV的初衷，马劲松颇为感慨：

因为杀毒软件的权限是系统级别的，处在核心位置；就像防火墙处在防御系统的边界一样。如果在核心的能力上受制于国外，就有可能被留下后门，做手脚，受制于人。我们没有任何办法。

故事的发展印证了这位“老刑警”的判断，2014年，国家发布规定，国有企业禁止采购国外的杀毒软件。

在马劲松心里，TAV站在中国的网络边疆之上，守土有责。