选择一款合适自己的杀软

【转帖】转高人之作-选择一款合适自己的杀软转高人之作-选择一款合适自己的杀软 转高人之作-选择一款合 适自己的杀软选择一款合适自己的杀软（精辟的分析文章）在介绍之前，先简单结合自己的理解和引用一些文章，来说点技术 性的知识：一、杀毒软件引擎与病毒库的关系 其实病毒库与杀毒引擎没有直 接的关系，杀毒引擎的任务和功能非常简单，就是对指定的文件或者程 序进行判断其是否合法。而病毒库，只不过是对杀毒引擎的一种补充， 也就是说：“我们没有足够聪明的杀毒引擎来完成这个过程”，那个过程， 就是杀毒引擎对文件或者程序判断。明白这一点，就应该知道，好的杀 毒软件，重要在引擎的优秀，病毒库只不过是补充，而且病毒库越大， 杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给 病毒库，用病毒库与指定的文件进行对比判断。二、加壳、脱壳（此段完全引用）1.什么是加壳:所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进 行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩 小文件体积或加密程序编码的目的。当被加壳的程序运行时，外壳程 序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压 缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不 知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳 程序的运行结果是一样的。如何判断一个可执行文件是否被加了壳呢？有一个简单的方法（对中文软件效果较明显）。用记事本打开一个 可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全 是乱码，则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来 查看文件具体加的是什么壳。目前，较常见到的壳有“UPX”、“ASPack”、 “PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣” 等等。为什么黑客能够利用加壳技术来对抗反病毒软件呢？众所周知， 目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件 进行压缩、变形，使加密前后的特征码完全不同。脱壳能力不强的杀 毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客 换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必 须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可 以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些 病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查 杀病毒的能力。2.脱壳马甲”能穿也能脱。相应的，有加壳也一定会 有解壳（也叫脱壳）。脱壳主要有两种方法：硬脱壳和动态脱壳。第一 种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像 压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每 次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛 较低，仍然被一些杀毒软件所使用。第二种，是动态脱壳。由于加壳 的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉 “马甲”。目前，有一种脱壳方式是抓取（Dump）内存中的镜像，再重 构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变 形的壳处理效果更好。三、虚拟机脱壳引擎（VUE）技术（此段完全引用）对于病毒， 如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被 提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且 “虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算 机有任何的影响。“虚拟机脱壳”技术已经成为近年来全球安全业界公 认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难，即使有 雄厚的研发实力，也未必能在短时间内达到实用的程度。四、启发式杀毒（启发式代码扫描技术，完全引用）病毒和正常 程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在 最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示 等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、 解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显 著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了 然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病 毒软件中的具体程序体现。启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术 的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译 器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。 例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格 式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉， 尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没 有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这 是一个病毒或恶意破坏的程序。启发式杀毒代表着未来反病毒技术发 展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种 通用的、不需升级（较省需要升级或不依赖于升级）的病毒检测技术和 产品的可能性。由于诸多传统技术无法企及的强大优势，必将得到普遍 的应用和迅速的发展。资料显示，目前国际上最著名的排名在前五名的 反病毒软件产品均声称应用了这项技术，从来自不同机构和出处的评测 结果来看，纯粹的启发式代码分析技术的应用（不借助任何事先的对于 被测目标病毒样本的研究和了解），已能达到80%以上的病毒检出率，而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒 的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象 的，一次质的飞跃。在新病毒，新变种层出不穷，病毒数量不断激增的 今天，这种新技术的产生和应用更具有特殊的重要意义。五、杀毒引擎介绍（网上关于著名的五大杀毒引擎介绍很多，简 单写几句，其他引用）1.诺顿：诺顿的引擎采用了系统最底层的核心驱 动方式，应该说是最安全、最高级、最稳定的方式，但是需要微软的系 统核心代码，如果说系统工作的步骤是3-2-1，那么诺顿便是这种方式工 作。首创实时监控技术，还知道微软的代码。大家都说诺顿不好，其 实诺顿的引擎很强大。从最底层保护计算机，所以运行起来不太快，只 是杀毒理念不同，才让诺顿不适合个人用户。它主要以隔离为主，防止 企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直 接删除又会破坏文件，所以诺顿最适合企业用户选择。2.McAfee：咖 啡的工作方式相对与诺顿，叫做硬件虚拟层，3-2-1-1-2,其他的绝大多 数是3-2-1-1-2-3咖啡采用启发式杀毒+虚拟脱壳，启发和虚拟技术是非常 高的。主要能力放在防毒上，也用了虚拟脱壳技术，基本所有壳都可 以干掉，现在知道为什么它这么火了吧，北斗的壳，我不知道能不能干 掉，但它的虚拟技术没有DR.WEB的好，用加密XTA算法（基本与DES 一样很难破解）写的病毒，它和卡巴就都废掉了。3.熊猫：西班牙的东 东，全球第一个自动升级的，人家的引擎也相当不错，速度绝对一流， 查杀彻底，但病毒库有点欧洲化，所以在中国用着不太好用，占内存很 大，金山好像现在就在仿熊猫，监控好像不是，杀毒和升级都是仿造熊 猫的，金山的监控很LJ，你用用就知道了。4.卡巴斯基： 废话免了。5.Dr.Web俄罗斯国家科学院合作开发的，军方和克里姆林宫专用。 启发式加虚拟脱壳，北斗的壳，外面再加壳，加跳针也可以干掉，占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干 掉加密乂丁人算法。清除极其复杂的病毒。下边开始对正在使用和有点 感受的各种杀软介绍，这里有很多我对杀软使用的理念一、McAfee（迈 克菲，俗称咖啡或卖咖啡）我最喜欢的杀软，防护能力第一并不算过分。 在我使用的感受中，我对他进行了优化，只保留了主监控，但是也足够 强大。对于病毒，它允许在硬盘上存在，但是，当你鼠标指向病毒文件， 单击一下，咖啡的监控马上会让你想要执行双击行为变得极为困难，不 停的提醒你杀毒。而网页上的脚本，木马，咖啡都会让你有放心的警觉。 而压缩的病毒样本，当你解压的时候，可能就无法实现了，因为解压的 病毒文件已经被咖啡干掉了。我还曾经试过，用一个绿色版的某杀软 扫描，扫描到我强硬放置的病毒文件时，咖啡报毒并删除了，而用来扫 描的杀软却什么也没有用发现。对于咖啡的防护能力，我想不用说更多 了！杀毒能力：很多人认为咖啡的杀毒能力弱，其实我并不觉得，咖 啡的启发式杀毒做的非常优秀，根据文件或者程序的行为特性来判断是 否是病毒，再加它的很成熟的虚拟脱壳技术，脱壳杀马能力也是非常强 大。某些专业的杀毒的测试中，杀壳能力某些测试甚至超过卡巴斯基。 而我个人认为：咖啡杀毒能力弱也只是相对于蜘蛛，或者稍弱于卡巴！ 系统资源占用：很多人说咖啡的进程数太多，内存占用太大。我想，如 果所有默认的都开启，确实是那样。但是，又有几个人会把杀毒软的所 有默认功能都开启呢？我写过McAfee2006和2007个人版的优化设置方 法。设置之后，咖啡的系统资源占用是很少的，至少我的赛扬1.0+256 内存老爷车，安装了咖啡个人版的杀毒+防火墙套装并优化后，虽然保 留了5个进程（其中3个是防火墙，1个是自动升级，1个咖啡安全中心， 剩下的一个才是主监控），但XP系统跑起来很流畅。2006个人版杀毒+ 防火墙占用硬盘空间不到35MB。2007我还没有正式用，但感觉有点不如2006版厚道了！防火墙：智能性非常好，不需要那么烦琐的设置， 非常简单设置规则就够了，这是我的感觉，我用的墙不多。至少一点： 咖啡的规则设置为严格（更严格一级便是锁定断开网络），连接PPLive 网络电视，一点不卡。其他的我试用过的防火墙，正常的网络连接很多 都麻烦。企业版对比：咖啡的企业版拥有更多的拥趸，但是我认为， 企业版的那些设置规则，是需要网管设置好，然后给菜鸟用的。我不喜 欢，因为杀软和防火墙，我认为智能性是第一的，所以我只推荐个人版， 而且个人版的杀毒和监控能力，跟企业版同样的强大。缺点：1.没有 自带的卸载程序，即使用非常优秀的卸载工具，也很难卸载干净，网上 所谓的专用卸载工具也更不可能,卸载后，注册表一定要手动清理才行。 2.有些流氓软件，他不报毒，而且和平相处，比如：3.咖啡的扫描速度 虽然还可以，但是扫描器的启动速度很慢，需要忍受！二、Dr.Web（蜘 蛛）蜘蛛是世界第一的杀毒引擎，我觉得这毫无疑问！他的启发式扫描 技术和虚拟脱壳技术都是第一的，似乎还没有什么壳可以绕过蜘蛛。也 曾是1994年第一个可以根除OneHalf病毒的杀毒软件。另外，2006年末 和07年初最猖狂的熊猫烧香病毒，灭掉了卡巴、咖啡、诺顿、冰刃、江 民、瑞星等等几乎所有的著名杀毒软件和辅助工具，而Dr.Web及采用 Dr.Web引擎的驱逐舰杀毒软件，由于其引擎的优越性，是很少几个没有 被病毒关闭的著名杀软。在我的电脑中，一直有蜘蛛的绿色版，而且便 于朋友使用，我特意弄了一个汉化界面和英文原版界面，并总结了一点 升级和汉化界面使用说明。在杀毒处理设置中，我全部采用了移动指定 文件夹的方式，目的就是用它来抓取病毒样本。在一次帮人弄毒入膏肓 电脑时，我先用了别的杀软在安全模式中扫描，虽然也杀出上百个病毒， 但是却总是被病毒中途关闭或者扫描到某病毒程序时，无法杀毒而造成 引擎停止。或许是病毒太强了，有写入系统服务的DDos、backdoor,还包括威金，流氓软件、常见木马等等。没办法请 出Dr.Web,安全模式下不到20分钟的扫描后，抓取病毒样本71个，另外 直接灭掉病毒110多个，再修复了一下注册表，系统恢复了！蜘蛛杀毒能力到底多么强大，我看也不必多说了！还有，我想大家肯定知道360safe和qqkav这个2个软件，它们在蜘蛛的扫猫结果中，是被列为病毒 的范畴！ 360safe我个人肯定不会去用，也不了解，但我想周鸿祎那个家 伙在其中做点龌龊行为，一点都不奇怪！杀掉的原因，我想跟qqkav的 原因差不多。那么qqka v呢？它是有此我用蜘蛛扫D盘的时候就把它干掉 了。技术角度讲，qqkav肯定要加壳来防止被病毒破坏，虽然qqkav处理 某些qq病毒还算可以，但是它本身却也恶意捆绑浏览器主页，说它是病 毒便是理所索应当的了。这点来看，qqkav的丑恶行为没能骗过蜘蛛虚 拟脱壳技术，但是其他杀软都无法达到蜘蛛的水平，至少同样是启发式 扫描+虚拟脱壳技术的McAfee，却没能判断qqkav是病毒。而卡巴跟 360safe的关系，就更不用说报毒了。看来做龌龊行为还想要挂完美的 牌坊，除非把你的加壳能力做到可以绕过蜘蛛！资源占用：蜘蛛的监控 能力如何我不知道，有人说有点烂，我不知道，我不用，但肯定的是： 资源占用很少，文件体积也很小，我的绿色版还不到10MB。驱逐舰杀 毒软件：驱逐舰完全是买的蜘蛛的杀毒引擎，虽然Dr.Web不可能把核心 技术卖出去，但是驱逐舰肯定足够强大了，脱壳能力在某些专业网站评 测肯过卡巴斯基，用来当作蜘蛛的汉化版本使用也可以推荐！推荐： 适合玩家，遇到很难干掉的病毒时，才需要用蜘蛛。三、Kaspersky卡 巴斯基网上一句话很中肯：卡巴斯基被神化了！卡巴杀毒能力确实是很 强的，但是其引擎的优秀性，比蜘蛛还差一大截，我也使用过卡巴斯基， 由于机器配置太差，没法使用，所以我用的时间很短。但我对这个杀软 还算比较了解。真因为很多人对他过分推崇，所以，我很多时候都在挑卡巴的缺点，目的其实是让人正确认识卡巴斯基这个优秀的杀毒软件。 杀毒方式：卡巴杀毒的方式，第一依据不是文件或者程序行为的判断， 而是病毒库。卡巴病毒库非常的优秀，病毒库与引擎结合的也非常好， 但是感觉卡巴太过依赖他的病毒库了，强势的地方反而是缺陷。所以， 他的脱壳能力，有的时候却不如咖啡！卡巴的拥护者可能不愿承认，但 事实不可否认！综合来说，卡巴的杀毒能力仅弱于蜘蛛，其他的包括卡 巴的模仿者都还要差点火候！监控能力：卡巴的后台监控能力弱，这是 不可否认的。比如开启迅雷等下载工具的监控，一个含有病毒的压缩包 下载后就会被卡巴删除。但是如果关闭卡巴的下载后扫描，压缩病毒包 下载到硬盘后，卡巴的监控就差了很多，可能你会很容易把病毒解压出 来，或者双击运行病毒文件，卡巴都没法组织病毒发作，只能是这时候 发现病毒，怎么办？这时候才是真正的卡巴斯基，杀毒！所以，卡巴更 适合玩家，对于有重要资料的人，并不太适合！资源占用：卡巴占用系 统资源实在太多了，网上有些拥趸似乎不承认，认为自己优化一下就没 问题。但是任何事情都是相对的。在一台纯净的系统上，安装卡巴斯基 后，不管你怎么优化，只要主监控打开，你去对比纯净系统看PF值增加， 我想不承认卡巴浪费资源的人会闭嘴的！四、Norton诺顿这个本应该 是世界第一的杀毒软件，给我的感觉却很孱弱，有朋友用诺顿，虽然还 没有被病毒干掉，但是病毒搞得电脑没法用，都说诺顿的监控能力如何 如何，甚至应该是第一，但是我认为它比咖啡的监控差得远！网上评 的缺点：1.误杀、误报率高；2.防火墙发现病毒后，提示信息无法关闭； 3.升级慢。资源占用也很让人吃惊，杀毒能力也似乎不行，没有更深入 研究过，无权多说略过！但强烈不推荐！五、Avast! Professional V4.7这个杀软我比较喜欢。只是我用的时候，没有太留心它的监控能力，只 是杀毒能力不错，结合Ewido做系统保护是比较安全的组合。软件系统资源占用也让人满意。而它最值得推荐的莫过于DOS杀毒功能了。DOS 是最好的杀毒环境，杀毒可以更彻底。但是DOS杀毒使用起来却很麻烦， 比如需要软驱，软盘，或者现在先进一点的用U盘。而Avast却只需要你 界面设置下次系统启动前杀毒，就可以体验DOS杀毒了！这种方式也叫 BootScan方式。国产的江民杀毒，从KV2006开始，便增加了这种方式， 应该是学习，至少说是参考了 Avast的吧！推荐给手动杀毒能力弱的用 户！六、KV江民杀毒让人惋惜的国产杀毒软件，科技发展的今天，不 前进就等于后退。江民KV2005还是值得怀念，至少那时候我用它，系 统虽然也时常有点病毒，但是都是小问题，启动江民引擎扫毒就可以了。 启动速度、杀毒速度都比较快，资源占用都不大，在国内，杀毒能力也 足够强大了。但是2006、2007除了功能增加，比如BootScan （不过是DOS 杀毒而已，这个名词纯粹炒概念），但是杀毒能力上，却似乎没有增强 了。江民的一些特殊病毒专杀工具等还是不错的，可以推荐，比如威 金的专杀！推荐江民KV2005,我的朋友单位仍然在用的，安全性还不错！ 七、瑞星 这个无耻的家伙我不得不多说。用卑劣的手段做宣传，获得 政府的支持，银子赚了，却没有去搞技术研发，引擎仍然那么烂！瑞星 的监控实在是觉得很差很弱智：记得我用的时候，遇到很明显的病毒时， 瑞星监控：怀疑是病毒，是否杀毒？（搓鸟，这事还需要怀疑！），ok, 下次同样处理，杀毒！过会儿，又是那毒，怀疑，杀否？（ KAO, 我 很忙，这么笨还杀毒干嘛？还总出来对话框耽误我用电脑）刘旭时代， 起码瑞星还能杀杀自己放出去的病毒，而现在呢？可能瑞星公司里连可 以写出像样病毒的人都没有了吧？网上流传瑞星公司的程序员自爆内 幕，造成磁盘自检错误的问题并非完全捏造。再看下边这段瑞星2007的 技术分析，您，还用瑞星吗？（以下关于瑞星的引用） 电脑安防论坛-国内杀软- 瑞星2007虚拟脱壳引擎测试评价 单纯从虚拟机技术上说，瑞星的VM是很不错的，但从杀毒产品上来说，比较失败。瑞星当初为了 对付以后可能存在的加壳病毒而研究虚拟机，应该说是比较有眼光和远 见的，但经过多年直到今日，这个庞大的脱壳虚拟机只是为了应付商业 宣传，从具体杀毒效果上来说，对上，比不过卡巴的脱壳引擎，比如卡 巴基本是静态脱壳，速度极快、脱壳类型极多、且这个引擎与他们自身 病毒库高度结合；也不比木马克星之类的末流木马查杀工具，因为当前 木马病毒技术含量急速下降，外加某些特定原因，造成事实上大量传播 的危害性木马采用同种文件体，也就是说查杀时候甚至不需要脱壳（即使 他们本身有壳）。反观瑞星这个虚拟机模块，不仅臃肿，而且速度不够快， 且仅能对付一般的压缩壳，数年时间闭关研制这个所谓的高级技术，也 导致该模块与病毒库之间的脱节、耦合性非常差。 八、金山毒霸我的电 脑也可以说裸奔过，是开了一个金山网镖2006，那种情况可以做一个不 好听的比喻：那等于是戴着安全套裸奔!使用分析？浪费口水！九、 AST（超级巡警）这个号称国内黑客开发的，弥补传统杀毒软件不足的杀 软西，虽然能力还差很多，但我还是想支持一下！我对它的使用，更 多是用作杀毒辅助工具，他的很多启动查看功能，系统服务查看等功能， 在杀毒的时候很方便，直接定位到病毒去手动杀。内存占用还可以， 启动时占用比较高，运行稳定后会降下来，官方绿色版的体积很小， 6.5mb左右，监控灵敏性也很好。杀毒能力差点，某次给人杀毒时，安 全模式下，遇到某毒无法删除时，引擎也停止了，结果我用手动方式强 制删除对应的那个病毒程序后，引擎再次开始运行。看来能力还是弱了 一点！最新的V3正式版，启动速度改善很明显，不知道是否还会有引擎被病毒卡死的问题，但是有一点，引擎增加了应用程序规则的功能（所 说的主动防御），而这些，还是6.25mb的体积内的，我很推荐这个软件！ 当然，2006年末到07年初这些时间里，熊猫烧香这个著名的毒王，却是 超级巡警最先截获，最先开发了专杀工具，最终提出了彻底解决办法！ 无论怎样，国产的东西如果厚道的，确实去搞技术研发的，我会一直支 持的！十、其他：_这些我没有用过，只是个别有人求我远程杀毒，或 者朋友用的说不错的，我相信朋友的话，简单提一下：1.费尔托斯特- 国产的杀软，之前不支持杀壳，最新的2007还不了解！朋友是说这款国 产杀软是很不错的！ 2.东方微点-瑞星原开发人刘旭，最新研发的综 合安全防御软件，但是看他的介绍中：首创动态仿真反病毒专家系统等， 又是炒概念，启发式杀毒而已，但是国产的新技术，当一回东方微点的 小白鼠又有何妨呢？ 3.eTrustCA公司的杀毒软件+防火墙功能，2006年杀软排行第九名的，自称：系统资源占用的小巧强悍的杀毒软件， 也用了启发式杀毒，而且据说防护功能做的很好！有朋友使用，简单考 察过觉得还行，我个人推荐试用！ 4.NOD32国外权威机构的评测 很高，微软御用了四年的杀毒软件。网上的有点评价：1.占用资源较小；2. 防毒能力强；3.它可以在文件下载过程中就检测出是否感染了病毒， 包括rar、zip中的文件（典型的启发式杀毒）；4.扫描速度超快。但是， 我和我的几个朋友，都不推荐NOD32,防毒能力真的强吗？杀毒能力真 的可以达标吗？我们不推荐！【主动防御技术】 要补充的，当然就是这个当前最热炒的概念，看了很多关于主动防御技 术概念的解释，或许我的技术原理知识欠缺太多，因为理解这些概念以 后我却越发的糊涂.先不说，来看我搜集整理的一点点主动防御技术的分析介绍。一、主动防御技术的概念概念上来讲，是指对未知病毒的防范，在没有获得病毒样本之前阻止病 毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技 术。也就是有些人所说的：通过病毒的行为特征来判别其是否为病毒并 进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征，如修改 注册表、自我复制、不断连接网络等，综合这些病毒行为特征来判断其 是否为病毒。江民防病毒专家称，主动防御核心技术有“虚拟机技术”“病毒行为阻 断技术”等。虚拟机技术用软件虚拟CPU环境，激活病毒，判断其是否 是病毒并清除。瑞星病毒专家称，“主动防御”一是在未知病毒和未知程序方面，通 过“行为判断”技术识别大部分未被截获的未知病毒和变种。另一方面， 通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计 算机进行攻击，从而阻止病毒的爆发。二、那主动防御技术在系统运行时，到底是什么样的?使用过防火墙的人都知道（xp系统也有自带的防火墙），经常询问是否 放行一个进程访问网络，或者对有不明连接进入本机而发出警告。我认 为防火墙也是运用了所谓的“主动防御技术”一个方面。来切实体验一下：具体是哪个安全厂商的主动防御不便明说。我使用其 监控后，并没有什么明显的感觉，因为是先启动系统和几个软件，再启 动的防御系统。但过一会便开始了询问，XX程序，是否允许.还有msn 也开始被其询问（软件都已经运行）。之后又下载东西，打开迅雷下载， 很灵敏，询问是否允许运行（这更像防火墙软件的应用程序规则），但 是在下载开始之后，似乎像噩梦一样，某端口尝试链接，是否运行？. 每一个下载节点都要询问，试想如果是p2p的网络电视如： ppstream,pplive之类的，可要怎么看下去？ 这点，主动防御我不喜欢！三、但还有其他的问题要探讨：关于主动防御的“行为判断”技术识别，我想上篇大家看过启发式扫描技 术的介绍，那么启发式扫描技术的判断行为方式，又与主动防御的行为 判断有什么根本的区别吗？国内最早涉及主动防御技术的，应该是江民 KV2005的未知病毒扫描程序了，但是这个技术也没能用来监控，而对 病毒的查杀能力上，也没有能够超过世界知名厂商所应用的启发式扫描 的杀软。主动防御技术主要用在监控上，那么启发式扫描技术如果也完 善在监控方面的话，同样是对程序行为方式的判断，它们的判断机理上又有什么样的实质区别呢?我们再看上面江民防病毒专家的说法，核心技术要“虚拟机技术”，“病毒 行为阻断技术”，那么“病毒行为阻断技术”的实际意义在哪里？既然是判 断行为，难道msn这种程序都还要询问用户吗？至少启发式扫描技术不 会对msn这类程序当作病毒处理掉！那么主动防御的行为判断到底判断 了什么呢？似乎仅仅是做到了怀疑，然后交给用户去处理，我说过我的 所喜欢的安全类软件，智能性（处理）第一！另外，我们都应该知道一点，虽然国内单纯的“虚拟机技术”并不差，但 是结合的杀毒中，虚拟脱壳技术就相比国外差的多了。那么这个核心技 术应用在主动防御中，谁能用的相对更完善一点呢？说实话，后边补充的这点东西，我是完全带着疑问的，对于主动防御这 个新技术，我没有能力感觉出来优越性！列举几个我所知道的，对外宣传使用了主动防御系统的软件!1. 诺顿网络安全特警NIS20062. 卡巴斯基kis6.03. 瑞星4. 金山毒霸KAV20055. 江民 KV20056. 超级巡警AST V3.07. 东方微点*这样看来，国内的主动防御技术的应用超过了国外，应该自豪了！!【总结】：对于杀毒软件的选择，许多人总是问别人该用那一个。其实大多数情况 下，如果你有一个很干净的的上网习惯（正常的网站被挂马毕竟少数）, 不随意打开未知邮件中的附件和链接等等，绝大多的杀软都可以保证你 的安全了！剩下的选择条件就看你的硬件配置、与其他重要软件冲突、 使用习惯等方面考虑了。如此一来，再加上点支持国产的想法，江民KV2005、费尔托斯特、AST 超级巡警、东方微点我个人都推荐，甚至金山毒霸也可以考虑。那么 某个著名国产杀毒软件为什么不推荐？沉重点说，在杀软与病毒的较量 中，让它死去之后重头再来或许更厚道点，我这样说希望看者明白一点， 前进的民族工业仍需牺牲百姓的利益来扶植，但长不大的阿斗却不可扶 植！ 而对于其他的杀毒软件，都有各自的选择喜好。比如我自己喜欢用病毒试验各种杀软，却有重要的资料，所以我选择McAfee,又弄了 DrWeb、 卡巴、AST、Ewido等等绿色杀软试玩。杀软的对比，仅仅是站在技术角度的感受，毕竟我不是专业分析人员。那么杀毒软件的意义，对于不同使用的人，当然也不同！然而对于不担心资料丢失，又有成熟的手动杀毒技术的纯玩家来说，或 许杀毒软件没有任何意义