【IT168 专稿】春节前后，“熊猫烧香”及其多个变种的大规模爆发让人们产生了恐慌。其实从专业角度看，这种恐慌是多余的，因为几乎就在病毒发作的同时，像江民、金山等这样的主流杀毒软件厂商就已经在第一时间拿出了整套的安全解决方案，可以准确查杀几乎所有“熊猫烧香”变种(包括未知变种)的病毒专杀工具也随时提供给了所有用户免费下载和使用。另外像江民KV2007中基于病毒行为检测和处理的先进未知病毒查杀技术也会让众多类似熊猫烧香病毒变种的恶性电脑病毒“胎死腹中”。

    事实上，过去单纯通过病毒特征库的严格比对，来判别病毒的杀毒方式总是会“慢半拍”。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代，以“主动防御”功能为主要特征的新一代防病毒体系已经完全确立了起来，相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领，比如笔者目前正在使用的江民KV2007，从实时主动升级到包括文件、网页、邮件、内存、应用程序和注册表等在内的全方位实时监控，从新一代BootScan系统启动前杀毒技术到运用行为检测的未知病毒查杀技术，无不处处体现着“主动防御”的思想。“强中自有强中手”，既然各主流杀软都相继推出了“主动防御”功能及相关技术，那么究竟哪一款杀软才是主动防御功能的“王中之王”呢？笔者在同一测评平台下对其进行了一番客观的比较。

    测评软硬件环境
    CPU P4 2.6GA
    内存 金士顿 512MB DDR 
    硬盘　WD 80GB/7200转
    网络 中国电信　2MB　ADSL独享 
    Windows XP Pro SP2＋IE6.0

    参评杀毒软件简介

    江民KV2007
    江民KV2007是被赞誉为“互联网安全整体解决方案”的新一代杀毒软件产品，它全新整合了包括智能分级高速杀毒引擎、未知病毒主动防御、流氓软件清除、BootScan系统启动前杀毒、系统级行为监控、自升级光盘启动杀毒、网银网游密码保护、木马一扫光、安全助手和系统漏洞自动修复等在内的众多新一代的安全整体处理技术，面对当前比较复杂多变的网络安全形式，江民KV2007完全可以泰然自若的做到“处变不惊”。 (如图1)。

图1

　　
    金山毒霸2007杀毒套装
    金山毒霸同样被业界赞誉为“上网安全助手”，该07版本是最后一个带包装的版本，今后将改为随时在网络上进行升级。软件全新提出了“数据流杀毒技术”的概念，可以全面提升对网络安全形式的驾驭能力。经过优化和整合，其全新亮相的数据流杀毒技术、主动实时抢先升级技术、“反间谍、反网络钓鱼、主动漏洞修复”的3大核心安全引擎以及针对个人隐私保护、杀毒软件启动加载、文件粉碎和急救U盘创建而提供的4个安全小工具等，都将共同提高这款杀毒软件在市场的核心竞争力(如图2)。

图2

    瑞星杀毒软件2007
    瑞星杀毒软件2007是基于第八代虚拟机脱壳引擎(VUE)而研发出来的全新杀毒软件产品，能够准确查杀各种加壳变种病毒、未知病毒、黑客木马、恶意网页、间谍软件、流氓软件等有害程序。这款杀毒软件的亮点功能包括Startup Scan独占式抢先杀毒技术、漏洞攻击防火墙联动技术、高速邮件监控技术、第二代智能提速增量查杀毒、NTFS流隐藏数据查杀、未知病毒查杀、八大实时动态监控系统 、主动系统漏洞修复、文件粉碎和迷你杀毒等(如图3)。

图3

    诺顿防病毒软件2007
    Symantec公司最新推出的一款杀软新版本，这款软件在世界的知名度不容置疑。新版本重新改写了80％的源代码，使该杀软的安全防御性能、程序本身的运行效率、兼容性和系统资源占用等都上了一个新台阶。Norton Antivirus2007首次整合了正在申请专利的Veritas VxMs(驱动程序原始卷直接访问)技术，能够检测操作系统内核模式运行的Rootkit并自动修复，从而提高对隐藏在系统深处的Rootkit的检测及删除能力。另外，像Bloodhound 启发式扫描技术、智能主动防御技术、自动防护功能和自动实时清除功能等功能也是该软件之特色(如图4)。

图4

 　　
    卡巴斯基6.0
    来自俄罗斯著名数据安全厂商Kaspersky Labs的杀毒软件产品，在国内知名度较高，拥有许多先进的病毒防控和安全防御技术。软件的最新版本拥有第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种领先的反病毒技术，能够对八万余种已知病毒和多种未知病毒进行实时有效防控。另外，据称，卡巴斯基目前在国内也建立了一批专用的升级服务器，用户可能会获得更快捷和更优质的实时在线升级服务(如图5)。

图5

    测评项目

    “主动防御”第一项　主动实时升级
    作为杀软“主动防御”功能的一项重要基础，是否支持主动实时升级以及实时升级的频度、即时速度和效率等都是用户所特别关心的，打开自己的杀软，谁不想它随时都是最新的呢？另一方面，完善的主动实时升级服务既能规避用户忘记升级或懒得升级带来的麻烦，又能从一个侧面反映出杀软厂商的服务品质和技术实力。

    江民KV2007
    KV2007的自动升级功能有这样两个特色，一是支持升级方式定制，包括“检测到更新后即升级”、“定时到服务器上升级”、“开机后自动到服务器上升级”等(如图6)，二是在自动升级时支持升级模块选择，用户可以在“KV2007基本组件”、“江民增强工具”、“江民共用组件”和“江民杀毒软件语言包”中的13个升级模块中定制需要即时更新的模块，如用户可以只选择更新病毒库等(如图7)。

图7

    金山毒霸2007杀毒套装
    金山毒霸2007每周自动升级的次数不少于17次。金山毒霸2007同样支持包括实时升级、定时升级和只检测更新，由用户决定是否下载升级数据等在内的升级定制(如图8)。另外，在每次自动升级后，软件还会给出一个浮动的升级报告小窗口，在这个小窗口中软件会给出更新病毒库的数量级及更新的文件等。

图8

    瑞星杀毒软件2007
    该杀毒软件最新支持了自动检测新版本的功能，到时候软件会自动提示用户来进行升级。另外，软件的定时升级功能也给用户留下了更多的选择余地，像每周期升级、每周升级、每天升级和每小时升级等都可以让用户根据自身需要来合理定制。 （如图9）

图9

    诺顿防病毒软件2007
    软件可以自动检测出服务器中有程序更新并随时自动弹出升级对话框向用户报警，在升级对话框中用户只要一步步单击“下一步”按钮即可快速手动完成杀毒软件的升级更新。另外，用户需要更新升级哪些组件、不需要更新升级哪些组件，完全可以由用户来自行定制(如图10)。

图10

    卡巴斯基6.0
    软件自动更新升级的过程中，用户可以看到每一个升级文件的更新过程和更新进度，另外用户还可以随时“暂停”和“停止”升级过程。事实上，单就主动实时升级功能而言，虽然卡巴斯基是国外的软件，但它对我们国内各种病毒爆发所作出的对应反应速度同样是非常之迅速的(如图11)。

图11

    点评：

    作为当前最专业的五款主流杀软，它们都具有全球病毒监控和即时捕获病毒样本库的专业实力，所以这些杀软几乎每天都有新病毒库的升级。而在杀软本身的智能升级、即时升级的速度和用户可定制升级选项的权限等方面，除了诺顿不支持自定义升级方式外，其他杀毒软件的升级功能都比较完善。

    “主动防御”第二项　实时监控项目
    现如今各种病毒和木马程序真的可谓是无孔不入，对于从不同途径可能进入到用户系统中的病毒和木马，杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多，用户可能感染病毒和被植入木马程序的机率就会大大得到减少。

    点评：
    各杀软通过实时监控，可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。在众多的监控项目中，笔者觉得江民KV2007和金山毒霸2007提供的“用户隐私信息”监控及江民KV2007、瑞星2007、卡巴斯基6.0提供的“注册表”监控十分有特色，因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流，从而达到防“盗号”的目的；而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作，一旦发现存在试图对注册表键值的修改或读写操作，软件会立即报警并可以由用户选择决定是否接受修改或读写。

    综合比较，在该项目比拼中，江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标，特别是系统监测功能更是给笔者留下了深刻印象，笔者在没有升级病毒库的情况下，在虚拟机中运行了“熊猫烧香”病毒，江民系统监测迅速报警并拦截了病毒，是名副其实的“主动防御”。

    由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”，还有瑞星杀毒软件2007也有著名的“虚拟机脱壳引擎(VUE)”技术，所以笔者也同样在装有相应杀毒软件的系统中分别运行虚拟机和“熊猫烧香”病毒，结果瑞星杀毒软件2007和卡巴斯基果然都在第一时间报警，不过笔者这里还遇到了一件有趣的事，卡巴斯基在报警后系统便长时间处于死机状态，第二遍实验结果依然如故，不知道是何原因。

    “主动防御”第三项　启动前主动杀毒
    现在大部分的恶性电脑病毒和一些木马程序都可以在系统启动时进行自我自动加载，即使用户使用了杀软，那也是“带毒杀毒”的情况，而采用先进的启动前主动杀毒功能可以将这些病毒和木马成功扼杀于“摇篮之中”。事实上，在系统启动前进行主动杀毒是一种核心的“底层”杀毒技术，所以杀软的这个功能也正是印证各杀毒软件厂商技术实力的一次好机会。

    江民KV2007
    在江民KV2007中，用户通过定制可以自由决定是否开启在系统启动前的主动杀毒和实时监控功能(如图12)。由于启动前主动杀毒功能会多少影响一些电脑的启动速度，所以由用户决定该功能的开启或关闭，实际上是给用户带来了极大方便的，用户通过灵活设置该项功能，即可迅速掌握系统在启动时速度和安全的双重“主动权”。

图12

    金山毒霸2007杀毒套装
    金山毒霸2007的启动前“抢先杀毒”功能比较特别，它并没有在系统启动时进入病毒扫描状态，而是在系统启动前首先自动加载所有实时监控项目，这样在系统启动过程中一旦有病毒或木马程序启动，软件会当即进行捕获和清除。这种启动前主动监控杀毒的好处就是既阻止了自启动式病毒和木马的运行，又不会影响到系统的启动速度，这当然也是金山毒霸2007的绝活之一。

    瑞星杀毒软件2007
    通过用户定制，可以让软件在系统启动过程中直接进入扫描所有硬盘、扫描系统盘、扫描Windows系统目录及扫描所有驱动和服务等各种病毒扫描状态(如图13)。这里还需要特别指出的是，瑞星杀毒软件2007的启动扫描(Startup Scan)界面，看上去很让人感到舒服，美工很不错。

图13

    诺顿防病毒软件2007
    比较遗憾，Norton Antivirus2007并不对系统启动前主动杀毒功能提供支持。

    卡巴斯基6.0
    支持启动前主动杀毒功能(如图14)。用户可以进一步对系统启动前主动开启病毒扫描的文件范围进行定制，这也是该软件在本项评测中的一个特色功能，对于那些“高危”的文件范围，用户可以定制重点监控和扫描。

图14

    点评：

    在这一项目的评测中，各主流杀软间的差距还是比较大的。这其中单就启动前主动杀毒功能而言，做的比较好的当然是江民KV2007、瑞星2007和卡巴斯基6.0。当然，金山毒霸2007在系统启动前首先将各项实时监控功能进行加载起来，同样可以有效防御自启动型病毒或木马程序对用户所造成的侵害。

    “主动防御”第四项　未知病毒查杀
    这一项应该算杀软 “主动防御”中的核心功能了，通过对病毒“行为”的一些共性特点的总结，比如是否在系统文件夹中创建了文件、是否是注入进程、是否向外部发送了邮件和是否访问过物理内存等，杀软会智能判断病毒的存在，进而向用户预警。与传统的病毒特征库比对的查杀病毒方式相比，杀软的未知病毒查杀功能却是实实在在的变被动防御为“主动防御”。

    江民KV2007
    在KV2007的“工具”菜单中，软件特别提供了“未知病毒检测”工具，它就是可以通过对未知程序的“行为监控”来智能判断所检测的程序是否属于电脑病毒。软件默认会对用户系统中的所有进程进行快速扫描并即时作出判断。整个扫描过程非常快且其安全防御性能也非常高(如图15)。

图15

    金山毒霸2007杀毒套装
    在金山毒霸2007的的“工具”菜单中，软件提供了一个“可疑文件扫描”的工具，它同样可以借助金山毒霸的“数据流杀毒技术”并通过对未知进程的“行为分析”来智能判断病毒或木马程序的存在（如图16）。软件对未知病毒的扫描速度同样非常不错。

图16

    瑞星杀毒软件2007
    瑞星杀毒软件2007本身虽然没有提供未知病毒查杀的功能，但在其卡卡助手上集成了未知病毒查杀功能。瑞星在未知查杀方面采用“变种共性特征比对”技术，通过对内存进行扫描，可快速对3845种流行病毒的未知变种进行检测和清除。此外如果用户自己感觉某些进程比较“可疑”，则用户可以使用软件提供的“上报可疑文件”工具来向瑞星的工程师报告(如图17)。

图17

    诺顿防病毒软件2007
    在对未知病毒扫描方面，新版的诺顿防病毒软件2007全新整合了其独有的Bloodhound 启发式扫描技术，由于这种技术是基于应用进程的结构、特征和逻辑等属性而进行的扫描，所以它可拦截新型未知病毒的效率很高。不过，软件并没有单独提供专用的未知病毒查杀工具，它会在进行磁盘病毒扫描的同时，而对未知病毒进行一并扫描(如图18)。

图18

    卡巴斯基6.0
    卡巴斯基6.0凭借其先进的第二代启发式代码分析技术，可以快速而有效的捕获各种未知病毒和其它有害程序。软件也是同样没有提供专用的未知病毒查杀工具，用户只能在使用常规病毒扫描功能时，才能一并扫描未知病毒。不过，在扫描病毒的过程中，基于第二代启发式代码分析技术的卡巴斯基的确对许多恶意网页代码及部分风险程序非常敏感，笔者在使用它扫描自己的C盘时，就频频被报警。

    点评：
    “未知病毒”查杀是一种带有预见性和前瞻性的杀毒方式，尽管这种杀毒方式目前还不能做到100%的准确，有时也会出现少数的“误报”，但它毕竟要比传统的通过比对病毒特征库的查毒方式先进，尤其是在较大规模新病毒出现之前，杀软的这种未知病毒预警机制的确可以在第一时间将对用户的潜在损害降到最低。由于江民KV2007、金山毒霸2007、诺顿防病毒软件2007和卡巴斯基6.0等都运用了各自基于“行为分析”的先进未知病毒侦测技术，所以它们在未知病毒查杀方面，其品质是非常不错的。在这一轮评测中，基本上各款杀毒软件都有“彩头”。

    “主动防御”第五项　实时系统漏洞修补
    在杀毒软件的“主动防御”体系中，第一时间进行自动系统漏洞修补可以说是在有“亡羊”的潜在危险时先行“补牢”的强有力措施。通过主动而实时的系统漏洞修复，对于那些企图借助某些特定漏洞进行传播的病毒或木马程序，用户就有了最根本的安全防御保障。

    经过实测，各杀毒软件的实时系统漏洞修补功能及修补效果对比如下：

    点评：
    在所有这五款主流杀软中，只有卡巴斯基没有提供实时系统漏洞修补功能，有一些小遗憾。而在补丁下载速度的横向比较中，比如分别使用它们下载了一个2.74MB大小的安全补丁，所用时间分别是江民KV2007为39秒、金山毒霸2007为42秒、瑞星2007为65秒、而国外的诺顿防病毒软件2007竟然用了1分40秒！所以在这一轮评测中，江民KV2007和金山毒霸2007优势非常明显。

    总结评述

    杀毒软件的“主动防御”应该是一个相对完整的防御体系，而不应仅仅是一个或两个吸引用户眼球的“功能点缀”，这也就是说，杀毒软件的功能均衡化对用户简单快捷的防范各种可能存在的潜在风险也是非常重要的。本文只是对各主流杀毒软件的“主动防御”功能进行了一番深入比较，具体感受还要看读者对于这几款杀毒软件的综合使用结果来说。笔者也希望本篇文章能在读者选择杀毒软件中起到良好的参考作用。