computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 纵横捭阖反病毒软件（上）
发信站: 听涛站 (2001年10月03日15:58:12 星期三), 站内信件

反病毒软件是如今的电脑用户必备的工具软件之一，个人用户的踊跃购买成就了反病毒
软件市场的兴旺发达，造就了大大小小数十个品牌。面对这众多的反病毒软件，您知道
选购它们的原则吗？您知道您在使用反病毒软件中可能存在的几个误区吗？您知道中国
反病毒软件市场现状吗？您知道这些软件的优点、缺点吗？您知道如何合理搭配使用反
病毒软件吗？本篇将带您走进令人眼花缭乱的反病毒软件世界，为您解答以上问题。
【责任编辑：小木工】
一. 反病毒软件的选购原则
　　反病毒软件的发展很快，市场上能够买到的产品也非常多，我们在选购时不能人云
亦云，盲目跟从，应该有自己的原则。
　　首先，反病毒软件的优劣，并不取决于厂家的广告宣传，而是需要通过权威机构使
用科学公正的方法加以认证。因为当产品通过权威机构质量测试时，权威机构就允许这
些产品在出版时印上自身的标志，以权威机构本身的名誉担保产品的质量。因此，我们
在选择反病毒软件时，不仅仅要看它们是否持有我国公安部颁发的计算机安全产品销售
许可证，也一定要考查它们是否通过国际安全权威机构（如ICSA和Checkmark）和计算机
产品主流软硬件平台生产厂商（如Microsoft和Intel）的多方认证。由于国际安全权威
机构具有世界上最全面的计算机病毒样本库，反病毒产品如果通过这些机构的认证，则
说明其查杀病毒的能力是可信的；而通过权威软硬件平台的测试认证，则说明该产品与
这些软硬件平台不存在任何兼容问题，并且不会影响软硬件平台的运行效率。当然，在
此基础上，打探一下反病毒软件在用户中的口碑如何，对我们的选购也是一个比较有用
的参考。
　　其次，反病毒软件作为计算机安全产品中的一种，其可靠性、兼容性与它的反病毒
效果同样重要。我们不能光注意反病毒软件宣传的杀毒数量和种类的多少，也要注意它
们的可靠性、兼容性。试想一下，一个杀毒数量和种类都很多的软件经常与机子中其它
软件发生冲突，导致死机现象频繁发生，这样的鸡肋软件对您又有什么用呢？实际上这
一条是对第一点中软硬件平台测试认证的一个补充，此时考察的重点是反病毒软件在与
其它常用软件同时使用时的可靠性和兼容性如何，这一点同样很重要。
　　第三，反病毒软件的实时监控功能很重要。由于技术的发展加上更为广泛的信息交
流，病毒的传播早已不分国界。象CIH这样的病毒已经能够作到无孔不入，如果我们还停
留在使用静态反病毒产品阶段，最终的结果必然是被动挨打、防不胜防。当代计算机病
毒最明显的一个特点，就是已经能够将病毒的作用机理与操作系统底层技术紧密结合起
来。比如CIH病毒使用了Windows 95/98特有的VxD技术，它仅仅感染Windows 95/98系统
，但对DOS及Windows NT系统则没有任何影响。这种能够与操作系统紧密结合的病毒针对
特定系统，不但传播隐蔽，而且速度很快，令使用传统反病毒手段的用户很难及时发现
。使用带有实时监控功能的反病毒软件，就可以为计算机构筑起一道动态、实时的反病
毒防线，拒病毒于计算机系统之外。
　　第四，反病毒软件对压缩文件检测能力的强弱和支持压缩文件格式的多少，可以成
为我们选购的一个重要依据。Internet和分布式计算的日益普及，使数据交换摆脱了传
统物理介质（如软盘等）的束缚。一般从Internet下载的共享软件都是压缩文件包，In
ternet——特别是在Internet上转输的压缩文件所携带的病毒，正在对我们的计算机系
统构成严重的威胁，压缩文件已逐渐成为了计算机病毒传播的温床。因此反病毒软件具
有压缩文件反病毒检测能力是非常必要的。同时我们也应看到Internet上流行的文件压
缩标准有很多种，相互之间并不兼容。所以我们在选择具有压缩文件反病毒检测能力的
产品时，一定要搞清楚它们是不是能够适用于所有流行、通用的压缩格式，否则相当于
给我们的反病毒工作留下了一个死角。例如有些反病毒产品能够检测扩展名为ZIP之类的
压缩文件，但不支持用户自定义的扩展名和诸如微软CAB这样软件生产商专用的压缩格式
，这样的软件我们当然不能选购。
　　第五，在技术方面，反病毒软件除了要有实时监控功能和压缩文件反病毒检测功能
外，还应具有如下一些技术：内存解毒技术、查解变体代码机和病毒制造机技术、虚拟
机技术、未知病毒预测、实时解毒、病毒源跟踪、应急恢复、Vxd和VDD技术、查解Troj
an、查解Java病毒、查解宏病毒、多平台支持、网络反病毒-……这些都是判断一个反病
毒软件好坏的重要标志！同时也是判断一个反病毒软件技术是否先进的一个标志。作为
普通用户您可能不知道这些，但您可通过各厂商的宣传资料比较而知，再有从其他用户
和报刊媒体（如电脑报）中也能得知这些。
另外，反病毒软件的防病毒、检测病毒和消除病毒的能力是首要的。在此基础上，作为
反病毒软件它的误报率不能太高，查毒速度应该较快。应急恢复功能是一个优秀的反病
毒软件所必须具有的功能，它创建的急救盘必须包括本机的DOS/WINDOWS启动文件，能够
正确备份和恢复主引导记录和引导扇区，以便在系统受病毒侵犯而崩溃时进行恢复。版
本智能升级功能同样很重要，在公安部的检测中它也占有一席之地。另外一个好的反病
毒软件应有良好的用户界面和全面的在线帮助手册以及翔实的病毒资料，以方便使用和
管理。反毒软件的安装和卸载均应以向导形式进行，并应提供多种选择，这样可以方便
用户同时使用两种以上的软件，在某些功能上根据各软件的特点加以取舍，这虽然不是
一定要有的，但通过它可以看到一个反病毒软件在微小细节上做得怎样。
　　最后要把售后服务质量作为考察重点对象。由于病毒的产生日新月异，每天都有新
病毒产生，因此要求反病毒软件厂家提供及时、快捷、简便的升级服务。同时由于反病
毒软件将在不同的计算机环境下被不同熟练程度的用户使用，这就要求反病毒软件厂家
为不同用户提供不同的服务，诸如解答用户在安装、卸载、使用反病毒软件过程中遇到
的问题以及对用户计算机异常现象的处理等。最后，反病毒软件升级速度的快慢也是我
们要考察的重点，它显示了厂家对新病毒反应速度的快慢和对用户服务的及时性。如同
医院一样，反病毒软件厂家应为用户提供有关病毒防治的全天候服务，并且要求及时、
准确。服务态度的好坏也是我们考察的重点，谁让用户是上帝呢。
二. 国内几款反病毒软件点评
　　由于大家使用最多的是国产反病毒软件，再加上国产反病毒软件宣传做得很多，因
此大家对其优点了解较多，但对其不足就知之不多了，所以有必要在优点、缺点都谈的
基础上对其进行一番点评，让大家对国产反病毒软件有更深刻、更清醒的认识。
 　　KV3000是江民公司的产品(图1)。作为国内反病毒软件的老牌霸主，KV系列创造了
中国反病毒软件销售的奇迹，连续多年市场占用率第一。新产品KV3000和老产品KV300+
相比，在各个方面都有了较大的提高与改善：无论是人机界面、功能的设置还是查杀病
毒种类等都有所改进。 KV3000可以运行在更多的操作系统下：它支持DOS、Windows 3.
x、Windows 95/98、Windows Me、Windows NT、Windows 2000等系统。KV3000可以查杀
更多的计算机病毒种类和数量；提供更加完善的硬盘救护箱功能，使得硬盘数据的恢复
工作异常简单；新版本增加了多种查杀计算机病毒的方法，加入了功能更加强大的“虚
拟机法”、“神经网络敏感系统”等查杀计算机病毒的最新技术；它可识别的压缩文件
的格式更多了，新增了微软CAB文件格式、WWPACK格式、LZH格式，同时可以识别这些压
缩文件生成的可执行文件；升级也更加方便、快捷；清除宏病毒的功能得到很大的提高
；提供详细的检查病毒的报告文件；提供清除病毒向导功能；提供自动定时扫描功能。

点评：比起原来的KV300系列， 江民公司的KV3000有了质的飞跃，查杀毒数量和种类都
增加了许多，支持各种邮件编码格式检测，对邮件病毒也能查杀。由于采用了最新技术
使它的性能有了明显提升。它的问题是更新速度稍慢，对新病毒的反应也不够快，再有
就是著名的“硬盘逻辑锁”事件也降低了它在用户心目中的地位。
瑞星2001是瑞星公司的产品(图2)。作为国内反病毒软件市场占有率的新盟主，其实力不
容小视。该公司最新的产品瑞星2001采用新一代病毒扫描引擎（VST）技术，可全面处理
DOS、Windows 3x、Windows 9x、Windows Me、Windows NT、 Windows 2000等各种操作
系统平台上的病毒。包括宏病毒、互联网病毒、黑客程序、邮件病毒以及其他类型的各
种病毒。采用先进的实时监控技术，不仅可对传统的文件系统进行保护，并且对电子邮
件系统也可进行实时高效的防护。当用户在发送、接收和打开电子邮件时，瑞星杀毒软
件将自动对邮件本身及附件进行监控，一旦发现病毒将自动进行清毒，确保用户的邮件
无毒，彻底切断病毒的感染通道；病毒隔离系统将带毒文件隔离到安全区域，在需要的
情况下安全恢复，完全避免了因设置或其他误操作引起的重要文件丢失。作为该公司的
用户，您可以把备份的未知病毒发给瑞星公司，以进行具体的病毒分析；它还提供智能
升级功能，采用增量方式，无需访问瑞星主页，不必下载庞大的程序包，只需轻轻一点
鼠标，即可自动升级。独有的断点续传工具则大大地提高了智能升级的效率；它还支持
DOS、Windows、Unix等系统的几十种压缩格式，如ZIP，GZIP，ARJ，CAB，RAR，ZOO，A
RC等，使得病毒无处藏身。
点评：与以往的版本相比，瑞星2001的兼容性有所提高。瑞星对新近出现的流行病毒的
查杀效果很明显，其网络版在公安部组织的评比中获得了第一名的佳绩。但由于它是基
于235K的病毒库，所以查杀毒数量始终是瑞星的瓶颈。
 　　KILL2000是冠群金辰的产品(图3)。它综合运用多种先进的查毒技术，可以彻底查
杀宏病毒、传染Windows 95/98的病毒、Windows NT病毒等国内外各种病毒甚至黑客工具
，并能防止部分未知病毒对系统造成危害。 KILL2000独有主动内核（ActiveK）技术，
将多种反病毒技术嵌入操作系统和网络系统内核中，改传统的被动杀毒为主动防毒；它
为用户提供了全面的Internet和网络病毒实时防护和治愈功能，包括黑客程序及可执行
文件、压缩文件、电子邮件、Office文档、HTML文档等多种文件类型的监测。KILL2000
集预防、检测、清除、治愈自动化为一体，形成了立体全方位的自动化实时反病毒机制
；和同类产品相比KILL2000系统资源占用率较低，用户还可以根据实际使用情况调配系
统资源占有率，确保查杀病毒过程不会影响用户系统的使用；完善的服务体系除了提供
传统的售前咨询、售后技术支持及热线服务外，还主动将最新升级文件和病毒消息发送
到用户手里。此外，冠群金辰在全国有50多家授权服务中心，能给用户提供满意的服务
。
点评：冠群金辰的KILL2000是唯一通过ICSA认证的国产反病毒软件，它在技术层面上不
输于国内任何一家对手。由于采用了独有的反病毒技术—主动内核（ActiveK），会“主
动”从操作系统的内核与应用环境无缝连接，因此形成了立体式反病毒机制。此外，KI
LL2000 还拥有预定扫描、借助Internet的病毒特征码自动更新、多种病毒处理方式、病
毒日志、灾难恢复等多种特性。借助公安部在国内建立的多个病毒检测网和CA公司（世
界第二大软件公司）在40多个国家、170多个城市建立的世界最大的国际病毒检测网，冠
群金辰对新病毒的快速反应能力很突出。KILL2000在快速扫描模式下，可检测后门程序
数量过少，再有它的查毒速度较慢。我认为KILL2000若能在防范黑客程序方面能够进一
步加强就极有可能成为中国Anti-Virus业的顶尖级产品。
上一页  1 2 3 4 5  下一页
【发表评论】【关闭窗口】
■ 相关内容
　电脑病毒已造成百亿损失
　将病毒斩草除根
　纵横捭阖反病毒软件（下）
　日本上半年病毒报告数增长3倍
　“万花谷”网页病毒源码分析
　“欢乐时光”病毒源码剖析
　利用OutLook漏洞的蠕虫病毒
　可恶的电脑病毒！（下）
　可恶的电脑病毒！（中）
　可恶的电脑病毒！（上）
　电脑病毒与基因算法
　了解电脑病毒--强力预防电脑病毒入侵
　病毒是如何工作的
　病毒知识FAQ
　计算机病毒的传播途径
　计算机病毒的特点及寄生方式
　几种对病毒的错误认识
　计算机病毒的生命循环
感谢访问天极网，如果您觉得该文章涉及版权问题，请看这里！
金山毒霸是金山公司的产品(图4)。在正式版上市前进行了大规模的测试活动，取得了不
错的评价。金山毒霸采用了独特的双杀毒引擎，它由金山自主开发的杀毒引擎和俄罗斯
科学院计算中心开发的DrWeb反病毒软件的杀毒引擎组成，一套软件相当于两套软件的杀
毒功效，查毒病毒的范围更广，通过双引擎双重查杀，准确性更高；金山毒霸可查杀两
万多种病毒家族和近百种黑客程序，除传统的病毒外，还能查杀最新的 Access、Power
Point、Word 2000、Java、HTML、VBScript 等病毒，具备完善的实时监控(病毒防火墙
)功能，支持 ZIP,RAR,CAB,ARJ 等多种压缩格式，支持 e-mail、网络查毒，具有功能强
大的定时自动查杀功能；金山毒霸采用了最新的启发式搜索技术，通过对可疑文件特征
的分析，能够确认是否是病毒，由于金山毒霸的双引擎双重判断，使防范未知病毒的准
确性大大提高，误报率下降；它的增量升级也很有特色，每次只下载十几K或几百K大小
的病毒库的增加部分，自动完成更新。
点评：金山毒霸采用了独特的DoubleEngine双杀毒引擎，双重查杀，对病毒可以进行筛
网式的搜索，增强了用户系统的安全性。金山毒霸在查杀黑客程序方面有其独到的一面
，是国产反病毒软件中做得比较好的。它的问题是目前查杀病毒数量和种类不是特别多
，不过它升级更新速度很快，平均每１时即新增查杀１种病毒。另外我们在使用中发现
在查杀大的压缩文件时金山毒霸可能引起假死现象！希望金山能加以改进解决这些问题
。
 　　VRV2001是北信源公司的产品(图5)。它支持 Windows 95/98、Windows Me、Windo
ws NT 、Windows 2000等操作平台。能自动探测操作系统，智能选择安装版本。VxD、F
SDs、FileHOOK、和SYS深层次与Windows系统衔接，稳定可靠。采用了多任务、多线程编
程，合理调度系统资源，同时使用了任务间隙等优化算法，使VRV2001对系统资源占用率
极低。VRV2001版对目前流行的Windows平台都具有实时病毒防护功能。VRV2001版能做到
定位查毒，采用安全队列技术，并有启发式查毒功能，采用优化查毒引擎，能查已知数
万种病毒，包括引导型病毒、文件病毒、蠕虫、邮件病毒、黑客程序、有害程序或恶意
JAVA代码等。采用毒前杀毒技术，无论拷贝带毒文件，访问网络带毒文件，打开带毒文
件夹，下载文件带毒，或打开邮件附件，防火墙都能立刻探测到，并可立刻清除。
点评：北信源的这款产品，界面不错，升级速度也很快，占用系统资源更少，查杀毒数
量和种类也有大幅上升。特别是它在查杀有害程序或恶意的Java Applets和ActiveX控件
等方面也有了很大进步（它以前的产品在这方面的表现不尽人意）。VRV2001查杀毒速度
很快，这使得它的漏查率高了点，检测多重压缩文件病毒的能力也有待进一步提高，同
时它在查杀黑客程序方面，也有很大的改进空间。它的价格是这几款国产反病毒软件中
最便宜的。
AV95III是豫能信息技术有限公司在千禧之年推出的第三代反病毒产品(图6)，它是AV95
反病毒软件的一次重大改版和升级，包含了目前国际反病毒领域中的最新、最先进的技
术和观念，全面集成数据安全、操作系统安全、Internet网络安全软件的功能。其可查
、杀的病毒种类提高到24000种以上,使用了内置“病毒防火墙”功能，可以保证绝对可
靠的“在线式查杀”。内建第三代“病毒行为描述”、“虚拟机”、“启发式代码分析
”等技术，可查杀各类变种、变形病毒和因特网蠕虫、黑客后门程序,支持在线邮件扫描
。同时AV95Ⅲ是国内首个提出“可更换式引擎”概念的反病毒软件，可以实现核心代码
级的扩充；也是国内软件行业中，首次在“核心引擎”级实现PlugIns(插件) 技术的软
件，用户升级只需要下载这些新模块(.DLL)。这使得在AV95Ⅲ中实现快速网络升级成为
可能。
点评：AV95III拥有令人眩目的个性化界面，它的加载速度快，升级速度也很快，高于每
秒4M字节的超高速病毒扫描速度更快。虚拟机技术与广义病毒行为描述语言结合运用，
使AV95Ⅲ在杀毒方面更准确、安全，错杀、漏杀和遗留病毒僵尸等现象大为减少。它的
不足是支持的压缩文件格式不多，查杀毒数量有待提高，实时监控功能也不够敏感，查
杀黑客程序的表现也不令人满意。
 　　安全之星是上海创源公司的产品(图7)。查杀病毒超过4万种，采用基于Win9x,Win
dows Me,Windows2000底层设备驱动技术进行实时监控，与Microsoft操作系统无缝结合
增加系统的稳定性；采用VirtualRun技术，准确查杀各类已知及未知病毒；专有的Macr
oFinger技术，基于OLE，BIFF格式精确查杀宏病毒；SafeMon 技术监视系统注册表跟踪
异常操作及访问；安全之星同时具有网络防火墙功能，可查杀BO（Back Orifice）、Ne
tBus、NetSpy、Backdoor、冰河及YAI等1000多种黑客程序，个人防火墙开启后，当发现
黑客攻击时进行报警并且阻止黑客的攻击。它可对Internet上目前已知的1000多种端口
扫描及DoS攻击进行防御；它还具有升级提醒功能，真正一键升级，方便易用。
点评：安全之星的杀毒能力比较强，基本上它能查出来的病毒，它都能安全杀除，而不
是通过改名或删除的方式。其最优秀之处就是做到了防火墙和病毒实时监控的完美结合
，一个软件实现了病毒查杀+网络保护双重功能。在查杀黑客程序方面安全之星的表现是
所有国产反病毒软件中最好的。安全之星对交叉压缩文件的检测方面需要进一步增强。

下期将介绍国外几款反病毒软件以及如何搭配使用反病毒软件……
说明：
ICSA认证：该认证由美国著名的国际计算机安全协会(International Computer Securi
ty Association)向防毒产品颁发，证明该防毒产品能定期100%地侦测出所谓的Wild病毒
（即在任何时候传播最广泛的病毒）,并能侦测出90%以上的Zoo Collection（传播不很
广泛的病毒）。
Checkmark认证：由英国专门撰写有关电脑安全文章的杂志--"安全电脑"（Secure Comp
uting）杂志颁发的著名认证。


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]