本文首发于http://www.jwx.com.cn/bbs/index.asp的技术交流板块，本着资源共享的原则，转发CDCMAN，希望能给大家的日常工作带来一定的帮助。同时欢迎转载（但请注明首发地址和作者）

安全防范类软件主要是这么几种：杀毒软件、防火墙软件、入侵检测软件、数据保障类软件、加密解密工具等等。这里面大家日常工作中估计最常用的就是杀毒软件和防火墙软件了，这里我就跟大家深入浅出的介绍一下，如何合理的选择、安装、配置、使用杀毒软件。 目前市面上主流的杀毒技术基本就是两个，一个是特征码识别技术，一个是虚拟机主动防御（heuristic）技术. 所谓特征码识别，顾名思义就是软件公司把搜罗来的恶意代码样本（包括病毒、蠕虫、木马等等）进行特征提取（通常用指纹技术），然后定期打包成病毒库发给用户（也就是通常所说的病毒库升级）。用户这边在进行任何操作（如运行程序）之前，杀毒软件会扫描相关文件代码，如果文件代码符合病毒库中的特征代码，则判断它为病毒，然后该怎么收拾怎么收拾，如果文件检查合格，则允许用户进行相关操作。

所谓虚拟机主动防御(国内叫启发式扫描)，是这样的。用户要执行程序，安全软件先把相关程序在一个虚拟的电脑里试运行一下，看看程序起什么作用（也就是进行图灵试验），如果程序是恶意代码，它会在虚拟机中执行相关的恶意操作（如破坏数据，修改配置等等），这些恶意操作普通程序是不会做的，杀毒软件根据恶意操作，判断出要执行的程序代码是不是恶意代码，如果是则该怎么修理怎么修理它，如果不是则允许用户在机器上正常运行。

上面的两种技术都是相当成熟的无所谓高低优劣，目前大多数的杀毒软件都在使用，只不过侧重有所不同。 特征码识别的执行效率高，只需要很少的一点资源就可以高效率的执行。但是也有缺点因为它的识别完全依靠病毒库，所以对库中没有的样本它的识别率相当低，而且病毒库更新有一个或长或短的空窗期。 虚拟机主动防御刚好相反，它不依赖病毒库，可以对未知的风险进行一定的防护（完全防御未知风险是不可能的，只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒），但是缺点也不少。由于运行虚拟机，所以要消耗一定的资源，也容易造成肌肉事件（就是强制进入锁死状态），而且对于一些有特定的程序，容易发生误报。 说了半天，估计有人要说了，这里不是技术论坛我们不关心杀毒软件具体什么原理，我们只想找个权威问问，我们用什么好！（看来我的老毛病又犯了）

有时候我面对这种问题真的很无奈，跟用户说清楚了吧~~~人家没兴趣，不说清楚了吧又被人怀疑做广告当枪手，而且目前市场上的安全类软件各有特色，没有1款软件能做到“包打天下”。而这方面的东西又不能不写，我也只好硬着头皮写一些我的经验（有不同意见者，可以讨论，喷水的请自觉）

前言，记得以前网上有几个人跟我抬杠杀毒软件的问题，吵的不可开交。我就问了一句立刻安静了：安全支出低于300元/年的普通用户请闭嘴。我不清楚网上的所谓很多高人的文章是哪里蹦出来来的，对于普通用户来说广告、舆论、炒作似乎更有用。我的一些经验不一定适用普通用户，所以仅供大家参考。这里我只谈普通用户的单机版。(公平起见，我按字母顺序来排列)

KV 江民 国内老牌 点击这里访问江民主页 费用：10/月

江民KV算得上是国内最老牌的了，技术积累是没话说得（DOS下的技术可以算得上顶级），但是技术优秀并不能保证市场的成功。这些年来江民的市场营销实在是不敢恭维，没市场就没钱，没钱售后就跟不上，售后差市场就缩小，如此恶性循环导致昔日的王者落到如此田地，实在是可惜。在KV改善升级速度，售后服务态度和稳定性之前我是不会在考虑重新启用的（我已经至少2~3年没用KV的桌面版了所以也不好多说什么），不过听说江民的KV2007执行率相当的好。(有时间还是要研究一下)

KAV 国内新锐 金山毒霸（安全软件也开始“称王称霸”了） 点击这里访问金山毒霸 费用：10元/月

我这人对wps是很有感情的，所以也一直希望金山能够做得更好。 金山是近几年开始做安全软件的（可怜的DR.WEB），不过在总体设计上相当优秀，操作界面是我喜欢的简洁风格，它将基本选项和高级选项分隔开来，只使用基本功能普通用户用不着配置很多复杂的设置，很容易上手。很多附加功能例如漏洞修复和反间谍做的还是相当不错的。而且他们的监控很有特色，基本上相当于一个病毒防火墙。所以总的来说适合作为入门级的安全软件，省心、没那么多事，普通用户够用了。 这几年，一直给下面的普通用户推荐金山（主要是实在没精力管那些乱七八糟的事了），不过金山的东西上手很容易，要调一些专门的设置那就麻烦死了，而且很多专业的需求都不能很好的满足（有的就根本不支持），而且金山的病毒库还有待完善，很多东西不是有钱就能解决的，病毒库是一定的时间积累才好用的，引擎很好，但病毒库不全，这是一个致命弱点。而且他们的引擎虽然可以杀大多数的壳，但是虚拟脱壳技术还是要完善。不过最让我讨厌的一点就是，金山太喜欢做秀了，本来挺好的一个东西，非得在加上些水分不可，搞得人哭笑不得。下面引用一段当初金山论坛内部的话： ============================================================ 从花瓶派向实力派转型的金山毒霸 金山很努力，也很爱做秀。老练的做秀，漂亮的美工，雄厚的资金实力在短时间内为它奠定了国内市场三巨头的地位。但无奈技术实力，经验积累太少了。尤其是在病毒码积累和技术实力方面还有很长的一段路要走，毕竟一款成功的杀毒软件不是一蹶而就的。这精美的界面相对于平庸的性能；对金山来说是一个哭笑不得的尴尬。但不可否认的是它的市场销售操作却是一流的，手段高明，伶牙俐齿无人能及（我曾一度怀疑金山的炒作实力可以转行到娱乐圈一争长短）。如果它把在市场上卖弄风骚的劲头拿出一半来放到产品研发上，相信会是它的实力会是飞速发展，可惜金山目前并无此意，相比更加投入的技术研发，她觉得还是继续卖弄风骚来的容易。 ========================================================

kasper 卡巴斯基 俄国来的北极熊 点击这里访问卡巴斯基实验室 费用：￥288RMB

一个近年来很火的一个软件，在饱尝了诺顿的“慢条斯理”和mcafee的“温文尔雅”的双重蹂躏后，技术人员终于，有了很“劲爆”的强力工具（难道俄国人都很有霸气?）。他的设计理念刚好跟诺顿相反，它是宁可错杀一千，不可放过一个（当然有点夸张）。卡巴的水准是很高的，这个我不得不承认，但是要说它超过诺顿或者mcafee显然是过分夸大了，基本上卡巴和它们是在一个技术顶峰上的，只不过是安全理念不同罢了。卡巴斯基对安全配置和文件标识方面非常敏感，而且非常重要的一点：由于美国的微软和俄国的卡巴之间的一些微妙关系，卡巴的安全不是基于windows系统本身的，甚至可以说卡巴用的引擎是独立于操作系统的独立模块。而且卡巴的病毒库很全，病毒样本的捕获也相当快。 任何强悍都是要付出代价的，卡巴也不例外。卡巴的引擎非常的敏感（对于普通用户来说可以是过渡敏感了），设置相当的专业化，没有一定的技术基础是没办法用好卡巴的。别的不说就说实时监控，卡巴的实时监控是寄生在系统内部的，普通用户根本不可能关上或者暂停，全文件扫描识别说起来很简单，可国内大多数的个人pc根本负担不了。反映到用户那边就是机器越来越卡！真成了卡吧死机，对于普通用户来说长期用卡巴绝对是噩梦（当然如果你1个月重装一次系统另当别论）。

mcafee 麦咖啡 点击访问MCAFEE主页

mcafee也算得上是老牌了，mcafee设计的比较均衡，杀毒理念介于卡巴和诺顿之间，对虚拟机技术和实时监控很在行。脱壳技术做的虽然没有卡巴强悍但是比诺顿强多了。它的引擎用了不少防火墙技术，最重要的是它的特征码检测技术（Extra.dat）非常强大，它理论上可以（以下文字引用自RAY811）:当用户指定某个活动程序为病毒时，杀毒软件的引擎能够根据自身的规则为该活动程序定义一个特征码，并且在控制该活动程序时，能够有效地断绝其与系统正常进程的关联。另外mcafee在处理在处理大量的文件时(>1000)，有不小速度优势。

像很多东西一样，一个东西要么中庸、四平八稳、稳稳当当，要么独树一帜，旗帜鲜明。mcafee对用了XTA加密算法和DES的恶意代码处理很不理想(又是安全理念的问题)，不过总的来说对于普通用户mcafee口碑还是不错的。

Norton 诺顿 美国老牌 点击访问诺顿-中国 费用：最简单的个人版￥200RMB+50元/年升级费用

国外老牌了，技术优势明显，跟微软的合作相当密切（毕竟大家基本上都用windows,微软的代码可是杀手锏啊）。诺顿的引擎是自己的（全求只有五家公司有自己的引擎，其它大部分都是仿制的），诺顿的引擎自成封闭体系，从最底层实施保护（应该是静态代码与实时监控的结合，只是推测而已，毕竟是人家的商业机密），主要以隔离为主，防止重要文件被删除。这点对于数据敏感的企业来说，非常重要！微软内部，除了Mcafee的就是用Norton，毕竟机器慢了可以重装，数据丢了可就真的哭都找不到北了。隔离机制是目前最安全的，在没有确定正确的处理方式之前，对被感染的数据绝对不能采取删除策略的。 诺顿的杀毒理念侧重于隔离，而不是追求速度和清除率，所以诺顿资源占用量比较大。就国内目前的安全环境而言，传统意义上的病毒其实并不太猖獗，国内绝大部分是玩木马的，升级一次病毒库，80%以上是木马代码。诺顿对中国市场并不怎么看中（没利润啊！现在那么多“免费版”~~~），用Norton对付木马是很吃力的，Norton对很多国内木马可以说是“一点感觉都没有”。爱玩网游的朋友最好不要用Norton。

rising 瑞星 点击访问瑞星主页 费用：单机版20/月

国内网络版（c/s类）做得很不错厂商，这两年花花绿绿的概念也炒作了不少（命名就是普通的脱壳，非要叫什么碎甲），技术实力还是很雄厚的，不过感觉新的技术开发的并不顺利。瑞星功能上很出色的产品，有不少特色功能。比如瑞星安装包制作程序能够将瑞星防病毒程序组件及更新状态打包成为一个三十几兆的可执行文件，再装的时候方便的多。外观上五颜六色的皮肤很多，不过我个人认为，瑞星不擅长做单机版，它的网络版是强项。 瑞星前几年给客户端用过很长的一阵子，功能还不错性能也很稳定，后来被“爱情后门”涮了一把就给下面换了。2005版瑞星的引擎做得不好,很难清除自我复制型病毒，老是要反复查杀，跳杀的利害。现在我还能记得当时，坐在屏幕前看着瑞星2005和“爱情后门”在我的机器上杀的你死我活，最后瑞星可怜的进程还是被“爱情后门”给关了，从此丧失信心。不过从监控的角度来看，瑞星2005用的是DLL注入（也就是说跟很多病毒的原理一样），比较占内存，监控也很差劲，因为这样监控对网页病毒监控非常困难，算是瑞星的弱点。2006版的看资料上来讲是用的钩子技术，应该是有很大进步（不过具体怎么样一直也没机会研究下）。它清流氓软件的工具名字极其恶心叫：卡卡上网安全助手~~~~~~3721叫上网助手，谷歌叫搜索助手，网通叫网络助手，再加上个雅虎安全助手，中国网民领教过的“助手”一个个比流氓还凶悍，真不知道什么时候能“住手”！

总得说起来，国外的杀毒软件诺顿比较适合企业和文件服务器一类的环境，麦咖啡比较适合个人，卡巴做文件过滤节点比较不错。相比国外软件，国内的技术虽然还没有达到最尖端，但是国内厂商的服务是国外软件没法比的。就拿升级病毒库来说，国内厂商基本上都能做到及时更新服务器，空窗期可以控制在36小时以内，而且服务器速度通常较好（毕竟是本土作战），很多时候用户升级的速度没有服务器更新的频繁。(想当初为了能从国外服务器顺利升级，经常要半夜2点多爬起来，现在总算是方便多了。) 用软件并不是越专业越好，技术上的强大不等于工作好用。卡巴斯基查杀变种确实是世界顶级，但是普通用户恐怕没有几个会配置它的应用规则，反过来金山的东西确实省心，但是很多专业的规则设定根本不支持！诺顿数据安全确实有保障，但是对于一个玩游戏的来说，多杀杀几个木马保护账户密码的安全更重要，江民倒是下手不含糊，可万一要是为了杀毒破坏了数据它可是不负责的~~~。麦咖啡倒是很中庸，但是关键时刻总是没有卡巴和诺顿那么让人放心，国内的瑞星情况也差不多，中间派往往都是没什么特色的。 现在的用户越来越喜欢自己做主了（以前都是技术人员说了算），再加上媒体的炒作和网络上只言片语的介绍，也来越喜欢追求所谓的“高精尖”，经常用高射炮打蚊子结果自己被震个够呛。就我目前使用而言，我推荐让最普通的用户用麦咖啡或者金山，省事是很关键的东西，没什么重要的东西，谁有那么多的精力去管啊，日常工作不出大问题就成了。平时外出我一般都带上江民的急救版，DOS下江民的技术还是相当可靠的。瑞星的网络版杀毒做的还是很不错的，虽然没有用过但是圈内的口碑是很不错的（至少据我所知，国内网络版杀毒软件绝大多数都是用瑞星的）。国外么，诺顿通常用在域的文件备份服务器上，卡巴斯基现在用的也很广，不过绝大多数是用来在内网抓病毒样本的，在不用网络版杀软的情况下，往往专门腾出来一台PC装卡巴过滤文件用，麦咖啡那就是大面积的洒下去，普通用户用起来还是挺合适的。 不过话又说回来，真正肯掏大把银子买国外软件的恐怕还是少数，很多人的所谓“免费的国外顶尖杀毒软件”这里我就不好说了。现在生活水平提高了，有能力的还是破费几个子儿吧，就当尊重知识产权了。

感谢楼主的辛苦劳动！

很喜欢看这样的文章,尽管水平有限,有的地方看不懂.

家中的电脑先后用过江民和瑞星,一个不卖力干活(估计是电脑公司的人装的是盗版),一个升级不方便,都让它下岗了.现在用的是金山,的确省心.我不管它水平怎样,能干活就行.

单位电脑才装卡巴,第一印象不错,只要它今后不"卡",会继续用它.

只要大家需要，我会经常写一些文字供大家参考。毕竟计算机安全工作还是要从基层抓起。