[分享][原创]主流杀毒软件使用经验介绍 杀毒软件, 主流, 经验, 分享, 原创

Bronze

本文首发于http://www.jwx.com.cn/bbs/index.asp的技术交流板块，本着资源共享的原则，转发CDCMAN，希望能给大家的日常工作带来一定的帮助。同时欢迎转载（但请注明首发地址和作者）

安全防范类软件主要是这么几种：杀毒软件、防火墙软件、入侵检测软件、数据保障类软件、加密解密工具等等。这里面大家日常工作中估计最常用的就是杀毒软件和防火墙软件了，这里我就跟大家深入浅出的介绍一下，如何合理的选择、安装、配置、使用杀毒软件。 目前市面上主流的杀毒技术基本就是两个，一个是特征码识别技术，一个是虚拟机主动防御（heuristic）技术. 所谓特征码识别，顾名思义就是软件公司把搜罗来的恶意代码样本（包括病毒、蠕虫、木马等等）进行特征提取（通常用指纹技术），然后定期打包成病毒库发给用户（也就是通常所说的病毒库升级）。用户这边在进行任何操作（如运行程序）之前，杀毒软件会扫描相关文件代码，如果文件代码符合病毒库中的特征代码，则判断它为病毒，然后该怎么收拾怎么收拾，如果文件检查合格，则允许用户进行相关操作。

所谓虚拟机主动防御(国内叫启发式扫描)，是这样的。用户要执行程序，安全软件先把相关程序在一个虚拟的电脑里试运行一下，看看程序起什么作用（也就是进行图灵试验），如果程序是恶意代码，它会在虚拟机中执行相关的恶意操作（如破坏数据，修改配置等等），这些恶意操作普通程序是不会做的，杀毒软件根据恶意操作，判断出要执行的程序代码是不是恶意代码，如果是则该怎么修理怎么修理它，如果不是则允许用户在机器上正常运行。

上面的两种技术都是相当成熟的无所谓高低优劣，目前大多数的杀毒软件都在使用，只不过侧重有所不同。 特征码识别的执行效率高，只需要很少的一点资源就可以高效率的执行。但是也有缺点因为它的识别完全依靠病毒库，所以对库中没有的样本它的识别率相当低，而且病毒库更新有一个或长或短的空窗期。 虚拟机主动防御刚好相反，它不依赖病毒库，可以对未知的风险进行一定的防护（完全防御未知风险是不可能的，只有当计算机拥有了超越人类的智能才可能检测出所有的未知病毒），但是缺点也不少。由于运行虚拟机，所以要消耗一定的资源，也容易造成肌肉事件（就是强制进入锁死状态），而且对于一些有特定的程序，容易发生误报。 说了半天，估计有人要说了，这里不是技术论坛我们不关心杀毒软件具体什么原理，我们只想找个权威问问，我们用什么好！（看来我的老毛病又犯了）

有时候我面对这种问题真的很无奈，跟用户说清楚了吧~~~人家没兴趣，不说清楚了吧又被人怀疑做广告当枪手，而且目前市场上的安全类软件各有特色，没有1款软件能做到“包打天下”。而这方面的东西又不能不写，我也只好硬着头皮写一些我的经验（有不同意见者，可以讨论，喷水的请自觉）

前言，记得以前网上有几个人跟我抬杠杀毒软件的问题，吵的不可开交。我就问了一句立刻安静了：安全支出低于300元/年的普通用户请闭嘴。我不清楚网上的所谓很多高人的文章是哪里蹦出来来的，对于普通用户来说广告、舆论、炒作似乎更有用。我的一些经验不一定适用普通用户，所以仅供大家参考。这里我只谈普通用户的单机版。(公平起见，我按字母顺序来排列)

Bronze

KV 江民 国内老牌 点击这里访问江民主页 费用：10/月

江民KV算得上是国内最老牌的了，技术积累是没话说得（DOS下的技术可以算得上顶级），但是技术优秀并不能保证市场的成功。这些年来江民的市场营销实在是不敢恭维，没市场就没钱，没钱售后就跟不上，售后差市场就缩小，如此恶性循环导致昔日的王者落到如此田地，实在是可惜。在KV改善升级速度，售后服务态度和稳定性之前我是不会在考虑重新启用的（我已经至少2~3年没用KV的桌面版了所以也不好多说什么），不过听说江民的KV2007执行率相当的好。(有时间还是要研究一下)

Bronze

KAV 国内新锐 金山毒霸（安全软件也开始“称王称霸”了） 点击这里访问金山毒霸 费用：10元/月

我这人对wps是很有感情的，所以也一直希望金山能够做得更好。 金山是近几年开始做安全软件的（可怜的DR.WEB），不过在总体设计上相当优秀，操作界面是我喜欢的简洁风格，它将基本选项和高级选项分隔开来，只使用基本功能普通用户用不着配置很多复杂的设置，很容易上手。很多附加功能例如漏洞修复和反间谍做的还是相当不错的。而且他们的监控很有特色，基本上相当于一个病毒防火墙。所以总的来说适合作为入门级的安全软件，省心、没那么多事，普通用户够用了。 这几年，一直给下面的普通用户推荐金山（主要是实在没精力管那些乱七八糟的事了），不过金山的东西上手很容易，要调一些专门的设置那就麻烦死了，而且很多专业的需求都不能很好的满足（有的就根本不支持），而且金山的病毒库还有待完善，很多东西不是有钱就能解决的，病毒库是一定的时间积累才好用的，引擎很好，但病毒库不全，这是一个致命弱点。而且他们的引擎虽然可以杀大多数的壳，但是虚拟脱壳技术还是要完善。不过最让我讨厌的一点就是，金山太喜欢做秀了，本来挺好的一个东西，非得在加上些水分不可，搞得人哭笑不得。下面引用一段当初金山论坛内部的话： ============================================================ 从花瓶派向实力派转型的金山毒霸 金山很努力，也很爱做秀。老练的做秀，漂亮的美工，雄厚的资金实力在短时间内为它奠定了国内市场三巨头的地位。但无奈技术实力，经验积累太少了。尤其是在病毒码积累和技术实力方面还有很长的一段路要走，毕竟一款成功的杀毒软件不是一蹶而就的。这精美的界面相对于平庸的性能；对金山来说是一个哭笑不得的尴尬。但不可否认的是它的市场销售操作却是一流的，手段高明，伶牙俐齿无人能及（我曾一度怀疑金山的炒作实力可以转行到娱乐圈一争长短）。如果它把在市场上卖弄风骚的劲头拿出一半来放到产品研发上，相信会是它的实力会是飞速发展，可惜金山目前并无此意，相比更加投入的技术研发，她觉得还是继续卖弄风骚来的容易。 ========================================================

Bronze

kasper 卡巴斯基 俄国来的北极熊 点击这里访问卡巴斯基实验室 费用：￥288RMB

一个近年来很火的一个软件，在饱尝了诺顿的“慢条斯理”和mcafee的“温文尔雅”的双重蹂躏后，技术人员终于，有了很“劲爆”的强力工具（难道俄国人都很有霸气?）。他的设计理念刚好跟诺顿相反，它是宁可错杀一千，不可放过一个（当然有点夸张）。卡巴的水准是很高的，这个我不得不承认，但是要说它超过诺顿或者mcafee显然是过分夸大了，基本上卡巴和它们是在一个技术顶峰上的，只不过是安全理念不同罢了。卡巴斯基对安全配置和文件标识方面非常敏感，而且非常重要的一点：由于美国的微软和俄国的卡巴之间的一些微妙关系，卡巴的安全不是基于windows系统本身的，甚至可以说卡巴用的引擎是独立于操作系统的独立模块。而且卡巴的病毒库很全，病毒样本的捕获也相当快。 任何强悍都是要付出代价的，卡巴也不例外。卡巴的引擎非常的敏感（对于普通用户来说可以是过渡敏感了），设置相当的专业化，没有一定的技术基础是没办法用好卡巴的。别的不说就说实时监控，卡巴的实时监控是寄生在系统内部的，普通用户根本不可能关上或者暂停，全文件扫描识别说起来很简单，可国内大多数的个人pc根本负担不了。反映到用户那边就是机器越来越卡！真成了卡吧死机，对于普通用户来说长期用卡巴绝对是噩梦（当然如果你1个月重装一次系统另当别论）。

Bronze

mcafee 麦咖啡 点击访问MCAFEE主页

mcafee也算得上是老牌了，mcafee设计的比较均衡，杀毒理念介于卡巴和诺顿之间，对虚拟机技术和实时监控很在行。脱壳技术做的虽然没有卡巴强悍但是比诺顿强多了。它的引擎用了不少防火墙技术，最重要的是它的特征码检测技术（Extra.dat）非常强大，它理论上可以（以下文字引用自RAY811）:当用户指定某个活动程序为病毒时，杀毒软件的引擎能够根据自身的规则为该活动程序定义一个特征码，并且在控制该活动程序时，能够有效地断绝其与系统正常进程的关联。另外mcafee在处理在处理大量的文件时(>1000)，有不小速度优势。

像很多东西一样，一个东西要么中庸、四平八稳、稳稳当当，要么独树一帜，旗帜鲜明。mcafee对用了XTA加密算法和DES的恶意代码处理很不理想(又是安全理念的问题)，不过总的来说对于普通用户mcafee口碑还是不错的。