基于当时团队积累的约3万种病毒样本，建立了样本库，和配套管理程序，初步形成了命名、关联信息存储、样本可靠性验证等的流程。

     基于木马是未来恶意代码的主要形式的判断，研发了安天第一版反病毒引擎，其围绕后台非感染式样本自动特征提取为核心机制，可以对PE文件实现不依赖全I/O的高速检测。同时建立了一套对注册表、系统配置文件等进行场景还原的配套处置机制。

     研发可以用于骨干网络条件下的高速反病毒引擎，在缺少高速协议栈还原支撑的情况下，采用了在包层次进行海量规则高速匹配的机制，可以在千兆环境下，不依赖协议还原，检测2万多种PE、脚本等恶意代码。同时实现了一个基于对象预处理后，采用关键词序列方式进行脚本检测的方法。

     关注了在实际场景中，大量商用、开源和免费工具成为攻击工具的问题，实现了在同样特征规则的情况下，可以进一步采用辅助的场景判断规则进行验证的能力，从而使反病毒产品可以更好的用于取证场景。

     针对未来反病毒引擎将嵌入更多应用和设备场景的判断，提出按照高可移植性、内存接口等为标准设计引擎的思路。

     由于样本数量的增加，安天开始将原有基于规则流转的业务平台，改造一套基于动静态自动化分析的检测机制。同年发布了针对WINCE平台的DEMO引擎，进行了应对移动威胁的早期尝试。完善了在高速网络场景下，向检测效率的来设计检测架构和引擎的思路。

     实现对ARM和PowerPC的支持，从而支持了大量低端防火墙。鉴于主要安全产品用于协议还原的协议栈已经基本成熟，开始逐步放弃了原有网络引擎思路，网络引擎和主机引擎整合为一个版本。

     设计了针对主机场景，建立基于发布者、位置和来源、以及文件行为的组合信誉检测机制。

     以为合作伙伴基于Cavium平台的万兆设备提供反病毒引擎为标志，安天的引擎全面支持了包括MIPS平台在内的多种非X86架构，同时实现了针对不同场景基于引擎分支、病毒活跃度等的引擎剪裁定制能力。

     开始关注反病毒产品的安全性问题，总结了现有的对反病毒引擎和产品的攻击方法，改善了引擎对抗格式解析漏洞、包裹炸弹等的能力。

     针对木马出现的云变换（Poly By Server Side），推出了Palyload Blocking的检测思路，基于后台分析系统，针对网络放马载荷进行检测阻拦，形成超轻量级机制，并实现了与随身路由器等产品的融合。因业内重大事件触发对反病毒误报问题系统总结研究，发布有关白皮书。

     组建移动安全团队以安卓平台为主开始移动引擎突击，移动引擎设计以深度预处理，多检测分支与高质量特征为设计思路。

     将分析体系中的沙箱坚定机制进行改造，与检测引擎相结合，形成设备型态的独立鉴定器产品“追影”。

     推出2.0版本引擎，在深化检测分支同时，全面优化提升效率和降低误报，在当年6次Android 平台AV-TEST测试中，取得3次并列第一名，并摘取2013年度AV-TEST移动设备最佳保护奖。

     深度整理和关注了Linux和类UNIX平台的安全威胁，强化了检测分支，同时引擎增加了对麒麟、方徳等操作系统的支持。基于KVM的平台实现了无代理检测技术，为云服务厂商提供检测能力

谁主沉浮!