殺毒軟件全分析——我的客觀使用感受

近期卡巴斯基、諾頓的“誤殺”事件在中國IT界鬧得沸沸揚揚，個人感覺殺毒軟件之爭事關中國IT發展的根本安全保障，因此整理了一下自己的殺毒軟件客觀使用感受，給大家做點小小的參考：

首先來說說世界五大殺毒引擎

1、第一個當然是要說說諾頓了，首創實時監控技術，還知道微軟的代碼。大家都說諾頓不好，其實諾頓的引擎很強大。從最底層保護計算機，所以運行起來不太快，只是殺毒理念不同，才讓諾頓不適合個人用戶。它主要以隔離為主，防止企業文件被刪除。因為有些被病毒感染了的文件根本不能完全殺毒。直接刪除又會破壞文件，所以諾頓最適合企業用戶選擇。

諾頓的殺毒軟件實際上防止偵測方面做得並不是很好，很多病毒程序在子程序段中經常借鑒搞崩諾頓的代碼，希望在新版本中諾頓可以采用更強的自身防護技術。諾頓的引擎應該是完全自成封閉體系的，沒有資料證實諾頓曾經購買或者借鑒過別的殺毒引擎。傳聞很多公司都在設計時參考過卡巴斯基的洩漏版引擎設計，因此曾經在微軟社區在線聊天時，問過這個問題。回貼一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無必要，它自己的引擎搞得挺好的。有一個叫fenssa的家伙甚至回貼說不考慮病毒庫因素，諾頓的殺毒引擎相當先進，綜合防護性能很好。在微軟，除了用Mcafee的就使用諾頓的（這一點我比較相信，很少見到別的殺軟在微軟被使用）。從諾頓的技術文檔描述和在病毒論壇上流傳的29A的一個家伙搞的一篇叫虛擬機環境下諾頓工作過程的步進追蹤和反編的文章來看，諾頓的殺毒引擎應該是傳統的靜態代碼對應與實時監控的完美結合，應該有一些改進的虛擬機技術在裡面（諾頓的人並不怎麼推崇虛擬機技術）。諾頓的殺毒速度慢，應該源於諾頓采用了較多的靜態代碼這種傳統的檢查方式有關。我個人非常喜歡諾頓的隔離機制，我認為在沒有確定完全正確的處理方式之前，刪除是不應該被采用的。一個高手寫的病毒應該能盡可能的與系統進程相關，在這種情況下，隔離的優勢立刻顯現。諾頓資源占用量比較大，但實現了如下設計目標：能識別的病毒和被識別為病毒的進程完全可以正確處理，對已經不可能產生破壞作用的“病毒屍體”不會產生誤判，更不會出現一次又一次的在處理完某病毒後又檢測其為病毒的狀況。

很多人認為諾頓企業版和個人板采用的引擎完全一致，這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。Zdnet上刊登過一篇文章指出：企業版和個人版引擎的核心規則完全一樣，但在前端文件匯入部分企業版是優於個人版的，企業版使用了更多的API接口。文章中說，在大規模文件掃描時，企業版明顯優於個人版。並且由於使用了負載技術，企業版資源占用還好一點。另外據說企業版支持基於網絡的多重負載技術。

2、第二應該就是咖啡了，這個殺毒軟件把主要能力放在防毒上，也用了虛擬脫殼技術，基本所有殼都可以干掉，現在知道為什麼它這麼火了吧，北斗的殼，我不知道能不能干掉，但它的虛擬技術沒有DR.WEB的好，用加密XTA算法（基本與DES一樣很難破解）寫的病毒，它和卡巴就都廢掉了。

記得看過一篇報道說Mcafee收購過別的殺毒軟件引擎設計公司，據回貼可知為所羅門。在網上很少能看到關於對Mcafee的殺毒引擎進行過分析的技術文檔，但從他自己宣傳的資料看，Mcafee對虛擬機技術和實時監控研究的都挺徹底的。比如他最近宣傳防止應用程序溢出（大致這個名字）的技術，應該是在不考慮硬件平台的情況下虛擬機技術和實時監控技術結合的上乘之作，盡管經常出現錯誤的溢出偵測（軟件層面的防溢出技術確實不很穩定）。在處理大量的文件時，Mcafee有一定的速度優勢（微軟社區中有這個問題的論述）。有來自於Mcafee論壇的消息說，Mcafee 正在研究更先進的智能碼掃描技術，估計肯定比東方衛士搞得要好。根據組長的回貼，Mcafee自發布VSE8.0i以來就著重於“前懾防范”這一新型的安全領域，並且NORTON也在朝這一方向邁進。“前懾防范”一共分為兩個部分，其一為運用部分防火牆技術外加其入侵檢測技術有效的阻斷病毒的傳播源，以至於病毒在傳染的初期無法得到大面積的傳播降低了危害性；其二為依靠其強大的特征碼檢測技術（Extra.dat）對病毒的行為方式、特征代碼等進行檢測，依靠它強大的研發團隊以及策略聯盟伙伴使其在這一領域獨樹一幟。諾頓能在其新版產品中也加入了一些原本屬於防火牆的功能。發郵件詢問諾頓的研究人員為什麼沒有采用特征碼殺毒技術，回應說一個完美的特征碼掃描技術應該能夠達到根據用戶的指定加入特定文件為病毒的目的，也就是當用戶指定某個活動程序為病毒時，殺毒軟件的引擎能夠根據自身的規則為該活動程序定義一個特征碼，並且在控制該活動程序時，能夠有效地斷絕其與系統正常進程的關聯。在沒有這個水平之前，諾頓不會大規模采用特征碼技術。從Mcafee的技術文檔來看，Mcafee也只是有限度的試驗性的研究該技術，並在比較有把握的地方應用。實際上兩家公司在這方面還有很長的路要走。

3、第三個就是熊貓了，哈哈，這個西班牙的東東，全球第一個自動升級的，人家的引擎也相當不錯，速度絕對一流，查殺徹底，但病毒庫有點歐洲化，所以在中國用著不太好用，占內存很大，金山好像現在就在仿熊貓，監控好像不是，殺毒和升級都是仿造熊貓的，金山的監控很LJ，你用用就知道了。

4、這個就是俄羅斯的卡巴斯基了，6.0 的引擎我還沒有分析過，人家的確是自己的引擎，以前KV就是防造的卡巴。但現在的KV好像更優化了。

5、DR.WEB、也是俄羅斯的引擎，俄羅斯國家科學院合作開發的，軍方和克裡姆林宮專用。啟發式加虛擬脫殼，北斗的殼，外面再加殼，加跳針也可以干掉，占用內存很少。可以說是最強的引擎。對付變種病毒和木馬最好了。可以干掉加密XTA算法。清除極其復雜的病毒。

驅逐艦用的它的引擎，但畢竟是假蜘蛛，殺毒效果和DR.WEB根本不一樣。

今天用驅逐艦全面掃描了一下，沒有發現什麼。但用DR.WEB一掃發現這麼多沒有掃出來，雖然大多數是廣告。

看來核心技術比DR.WEB 還是差很多，大家不要以為你真的用上了DR.WEB。人家俄羅斯說了，核心的東西是不賣的。

關於NOD這個我說一下，我不是很清楚這個殺毒軟件，不過它的引擎好像不是自己的。好像是自己做了很大的改進，殺毒很像熊貓，又不是熊貓，監控和DR.WEB很像，形勢好像也一樣，有兩個進程，監控用的虛擬脫殼加啟發式，但方式絕對不一樣。我也不清楚它是誰的引擎，監控很智能，我晚上試了一下可以對付一次北斗加殼的病毒，加了跳針就不行了。我一運行灰鴿子竟然在我的計算機上生成了一個自動連接的文件，NOD一點都沒有感覺。讓我忙了好久才殺掉。加了內存免殺直接就過了，監控上存在一個很大的問題，對付兩次加北斗殼的病毒，完全沒有感覺，你可以加兩次殼上報給它，估計會得獎。

再就是它對付國內的木馬，很差勁，很多殺不出來。特別是現在國內木馬這麼猖獗，你看到瑞星升級的病毒庫了嗎？木馬幾乎占90%，我感覺還是別用這個殺毒軟件好。我試了幾個盜QQ的木馬，結果就查出一個來。這個殺毒軟件我感覺還是不錯的，在國內用就感覺不合適了。對付灰鴿子不如KV，不是說它殺毒不行，是病毒庫的問題。軟件很不錯，我很喜歡這個殺毒軟件，理念很先進，占內存又少。我對它不是很了解，不要罵我。

今天我加入趨勢和小紅傘，趨勢是日本控股的殺毒軟件，所以我一直都不用。不過我大二的時候趨勢出了一個很好的破解，我就把學辦的計算機都裝了趨勢（我當時在法學院學辦和網站勤工儉學做反病毒和維修工）。不是因為它好用，我只是想讓小日本的升級服務器硬盤多轉轉，給它耗耗電，也讓他為中國人民免費工作工作。趨勢前幾年很厲害的，特別是它的企業版，基本可以和咖啡抗衡。它的引擎是模仿諾頓的，理念也和諾頓一樣。記得我上中學時它出了一個樂億陽，當時賣28塊錢，還有監控帶升級。那個時候，瑞星還是3張軟盤呢，但它的個人版真的不怎麼樣，要用就用企業版吧。

小紅傘是典型的DR.WEB的模仿產品。至少殺毒引擎一樣，應該和驅逐艦的效果差不多，連啟動掃描的方式都一樣。內存掃描和殺毒掃描分開。這個家伙我是很喜歡的，很早以前就用過，竟然殺掉了當時瑞星殺不了的愛情後門，用的還是那個免費的。你們喜歡的钛金版，當時由於沒有升級的方法就放棄了。

還有人說卡巴的殺毒太占內存了，這個是真的。我感覺卡巴並不成功，至少不是一個最好的殺毒軟件。一個好的殺毒軟件，最應該做到的就是不托計算機。看看NOD32的設計，要是NOD有卡巴的病毒庫，估計我會一直用它。今天用NOD32開了幾個網頁，又中毒了，簡直就是對中國用戶的漠視，關鍵是在中國沒有市場，沒有利潤才會這樣。不過要是大家買正版的話，我還是推薦中國的。我就一直買正版，包括我的XP都是正版的，真的就是比大街上買的那些XP穩定。所以測試還是別用那些所謂的破解，瑞星2005的盜版和正版的殺毒就有區別。但我很少買外國的正版，一直用江民的正版，瑞星我也有正版，當時是為了測試用了它。你知道以前的瑞星總會有個提示，請反復查殺。什麼叫反復，就是一次清除不了，就是說明2005版瑞星的引擎跳殺很嚴重，一次不能徹底清除自我復制型病毒。那個瑞星2005的時候，我當時拿著盒飯站在服務器前面，看著它的監控被愛情後門干掉的，傷心死了。金山我是買的金山網镖V，90大洋啊。用金山的朋友注意了，它的中級規則，是不防止別人PING的，調到高級又沒法在線看電影，規則真的不太好，不過一般家庭也夠了。卡巴斯基防黑客在局域網好像也不能防止別人PING你，KIS6.0的防火牆，我還沒有試過，但推薦你把它調成學習模式，它默認的是低。現在不買金山了，你要買的話就買KV和新引擎的瑞星吧。估計新引擎的瑞星要勝過KV，前提是KV不進步，但KV和卡巴最近的合作很密切，估計到下一個版本，引擎可能會達到卡巴6.0的標准。支持國產，中國才會強大！！你看看韓國的汽車，基本韓國人都用韓國自己的汽車。卡巴