“主动防御”第四项　未知病毒查杀
    这一项应该算杀软 “主动防御”中的核心功能了，通过对病毒“行为”的一些共性特点的总结，比如是否在系统文件夹中创建了文件、是否是注入进程、是否向外部发送了邮件和是否访问过物理内存等，杀软会智能判断病毒的存在，进而向用户预警。与传统的病毒特征库比对的查杀病毒方式相比，杀软的未知病毒查杀功能却是实实在在的变被动防御为“主动防御”。

    江民KV2007
    在KV2007的“工具”菜单中，软件特别提供了“未知病毒检测”工具，它就是可以通过对未知程序的“行为监控”来智能判断所检测的程序是否属于电脑病毒。软件默认会对用户系统中的所有进程进行快速扫描并即时作出判断。整个扫描过程非常快且其安全防御性能也非常高(如图15)。

图15

    金山毒霸2007杀毒套装
    在金山毒霸2007的的“工具”菜单中，软件提供了一个“可疑文件扫描”的工具，它同样可以借助金山毒霸的“数据流杀毒技术”并通过对未知进程的“行为分析”来智能判断病毒或木马程序的存在（如图16）。软件对未知病毒的扫描速度同样非常不错。

图16

    瑞星杀毒软件2007
    瑞星杀毒软件2007本身虽然没有提供未知病毒查杀的功能，但在其卡卡助手上集成了未知病毒查杀功能。瑞星在未知查杀方面采用“变种共性特征比对”技术，通过对内存进行扫描，可快速对3845种流行病毒的未知变种进行检测和清除。此外如果用户自己感觉某些进程比较“可疑”，则用户可以使用软件提供的“上报可疑文件”工具来向瑞星的工程师报告(如图17)。

图17

    诺顿防病毒软件2007
    在对未知病毒扫描方面，新版的诺顿防病毒软件2007全新整合了其独有的Bloodhound 启发式扫描技术，由于这种技术是基于应用进程的结构、特征和逻辑等属性而进行的扫描，所以它可拦截新型未知病毒的效率很高。不过，软件并没有单独提供专用的未知病毒查杀工具，它会在进行磁盘病毒扫描的同时，而对未知病毒进行一并扫描(如图18)。

图18

    卡巴斯基6.0
    卡巴斯基6.0凭借其先进的第二代启发式代码分析技术，可以快速而有效的捕获各种未知病毒和其它有害程序。软件也是同样没有提供专用的未知病毒查杀工具，用户只能在使用常规病毒扫描功能时，才能一并扫描未知病毒。不过，在扫描病毒的过程中，基于第二代启发式代码分析技术的卡巴斯基的确对许多恶意网页代码及部分风险程序非常敏感，笔者在使用它扫描自己的C盘时，就频频被报警。

    点评：
    “未知病毒”查杀是一种带有预见性和前瞻性的杀毒方式，尽管这种杀毒方式目前还不能做到100%的准确，有时也会出现少数的“误报”，但它毕竟要比传统的通过比对病毒特征库的查毒方式先进，尤其是在较大规模新病毒出现之前，杀软的这种未知病毒预警机制的确可以在第一时间将对用户的潜在损害降到最低。由于江民KV2007、金山毒霸2007、诺顿防病毒软件2007和卡巴斯基6.0等都运用了各自基于“行为分析”的先进未知病毒侦测技术，所以它们在未知病毒查杀方面，其品质是非常不错的。在这一轮评测中，基本上各款杀毒软件都有“彩头”。