8款反病毒软件比较

共性与个性


8款反病毒软件比较 共性与个性 “计算机病毒”——现在已经是家喻户晓的名词，而反病毒软件也因此成为在软件零售市场上最活跃的一份子。每一款软件各有各的特长，但把它们放在一起来比一比，您又将会看到什么呢？




目前国内主流的反病毒软件有KV300、Kill、瑞星、PC-cillin、诺顿、VRV等多种品牌，它们全都各有所长，而且都有自己的特殊技术作为后盾。这里，CHIP并不打算从查杀病毒的能力上来评价它们，因为在这方面它们其实相差无几。每当有新病毒出现时，各款反病毒软件的厂商都能及时作出反应，只是在时间先后上稍有参差而已。而且，我国相关管理部门也不允许媒体作病毒攻击实验。
我们更多关心的是它们的易用性、速度、资源占用情况、升级的频率和易操作性等人性化因素。我们认为一款优秀的反病毒软件应该操作简便、功能完备、升级及时，而且不应该由于安装了反病毒软件使人们在电脑上的日常工作效率降低。 基于上述目的，CHIP进行了这次反病毒软件的比较评价，我们将用一个公平、统一的规则为广大用户展示每一款反病毒软件的独特魅力！
计算机病毒的发展


在1984年，首例计算机病毒被确认，但当时并没有引起人们的重视。直到1987年计算机病毒才开始受到世界范围的普遍重视。我国于1989年发现首例计算机病毒，至今已发现近千种，全世界已发现近两万种（包括同一病毒的各种变种）。病毒的花样不断翻新，编程手段越来越高。 我们简要列举几种病毒的特性，以此来探索病毒的发展过程。最早，感染引导区的病毒有石头(Stoned)病毒，该病毒感染软硬盘0面0道1扇区，并直接修改部分中断向量表，但他不隐藏不加密自身代码，所以很容易被查出和解除。类似这种特性的还 有“小球”、“Azusa/Hong-Kong/2708”、“Bloody”、“Michaelangelo”、“Torch”和“Disk Killer” 等病毒。
感染文件的病毒有“Jerusalem”、“Yankee Doole”、“Liberty”、“1575”、“Traveller”、“1465”、“2062”和“4096”等，主要感染.com和.exe文件。这类病毒修改了部分中断向量表，被感染的文件明显地增加了字节数，其病毒代码主体没有加密，也容易被查出和解除。接着，一些能对自身进行简单加密的病毒相继出现，有“1366(DaLian)”、“1824(N64)”、“1741(Dong)”和“1100”等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区、又感染可执行文件，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。
1995年，一个更危险的信号出现，“改形”病毒产生了。“改形”病毒与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同，并且相同的代码其位置也相同。但是，“改形”病毒就像“病毒生产机”似的，会轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同。
近一两年，出现了数千种Word(Macro宏)病毒，并以迅猛的势头发展，已形成了病毒的另一派系。由于宏病毒编写容易，不分操作系统，再加上Internet网上用Word格式文件进行大量的交流，宏病毒会潜伏在这些Word文件里，被人们在Internet网上传来传去。
现在，还有一种以黑客工具为基础的黑客病毒，其代表作是“特洛伊木马”病毒，这种病毒传播时，必须先诱使对象运行客户端程序，一般需要使用欺骗性的手段，而网上新手则容易上当。一旦成功侵人对方计算机，就可拥有极高的权限，可以复制、更改、建立和删除客户端的任何文件和目录，可以查获启动密码、用户密码、屏保密码，还可对用户操作键盘进行记录（这意味着你的任何举动都在对方监督下，一切密码和口令都无意义了）。它甚至还可以攻击其他机器：破坏、重启等等。
常用的反病毒软件技术

如果对病毒种类进行最简单的分类，那无疑分为已知病毒和未知病毒，基于此种分类，形成了两种反病毒技术：特征码技术和虚拟机技术。
对已知病毒分析、查解的反病毒技术称之为特征码技术。目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。 启发式探测未知病毒的反病毒技术称之为虚拟机技术。 在各类病毒检查方法中，特征值方法适用范围最宽、速度最快、操作最简单、效果最明显。但由于其本身的缺陷，它只适用于已知病毒，对于未知病毒则显得不足。由此产生了虚拟机技术，它的主要作用是能够运行一定规则的描述语言，即让病毒在控制下先运行一段时间后，再让其自己还原，那么，问题就变简单了。
虚拟机技术已成为反病毒软件的一个趋势，并且在反病毒软件中的应用范围越来越广。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，它不再仅仅只是一个简单的反病毒工具程序，而且成为具有一定人工智能的智能程序。
目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、Word/Excel宏病毒、木马程序等在理论上都是可以通过虚拟机来处理的，但目前在技术实现上还有一定的困难。俗话说“道高一尺，魔高一丈”，病毒编码变形类病毒能使得传统特征值方法失效，同样针对虚拟机的新病毒可以轻易使得虚拟机失效。因此在事实上，无论是特征码技术，还是虚拟机技术，都只能是一种工程学的努力，其成功的概率永远不可能达到100%。
瑞星千禧版
国产精品
《瑞星千禧世纪版》包括一张光盘、一本说明书和三张磁盘。三张磁盘中，第一张是DOS杀毒盘，可直接启动机器并自动运行，运行后出现一个支持鼠标和键盘的全中文图形界面菜单，操作很简单。另外两张是在Window环境下的安装盘，其内容与光盘上的一样，对于没有光驱的用户这可是一个好消息，因为您可以用软盘进行安装。
《瑞星千禧世纪版》支持DOS、Windows95/98/NT/2000多种平台，而且与以往的版本相比，《瑞星千禧世纪版》的兼容性有所提高，我们还特意测试了它与市面上流行的一些软件的兼容性，在使用中没有发现不兼容现象。
《瑞星千禧世纪版》的加密措施很完善，在安装时需要输入一个很长的序列号，还需钥匙盘（即DOS杀毒盘）；并且，从网上下载其升级文件时需要先确定用户身份，只有输入正确的序列号后，才能获准下载最新的升级程序和病毒代码。这些加密手段给用户带来了不方便，希望瑞星公司将来能用别的方法来保卫自己的利益，而不必非要加密。
诺顿防病毒２０００
技术领先
拆开《诺顿防病毒2000》的包装，里面有一张诺顿防病毒软件的安装光盘，一张紧急启动磁盘和一本说明书，其说明书的内容十分丰富，对《诺顿防病毒2000》的安装和使用都进行了详细的说明。紧急启动磁盘可以直接启动机器并查杀病毒，而且这个杀毒程序有自己的操作界面，用户只需根据提示进行选择即可。
插入光盘后就可直接安装《诺顿防病毒2000》，在安装过程中，程序会询问用户是否在启动时启用自动防护、是否安排每周进行硬盘扫描、是否在启动时进行扫描等，同时，由于《诺顿防病毒2000》具有电子邮件防护功能，用户还需选择是否启用这个功能（如选择启用则需自己选择电子邮件客户端软件）。
《诺顿防病毒2000》使用方便、功能完善，具体请参看后面的评测表格。值得一提的是《诺顿防病毒2000》内建的LiveUpdate功能，只需点一下“LiveUpdate”按钮，程序便会自动连接到赛门铁克的网站，察看是否有最新升级程序，如有则自动升级。
KV300+
简单实用
在我们这次测试的杀毒软件中，只有《KV300+》这一款软件不含有光盘，它的包装还是维持一贯的传统，像一个小夹子：一侧是说明书、另一侧是磁盘，携带起来非常方便。
如果只需查毒和杀毒，那《KV300+》可以不用安装。用它的磁盘直接启动机器，按提示完成查杀毒操作即可。因为是用其磁盘启动，内存被刷新，既安全又彻底，但在DOS模式下其查杀毒速度较慢。在《KV300+》的磁盘中还提供一个叫Kvw3000.exe的程序，这是一个实时监控器，需要安装后才能使用。
通过测试我们发现，《KV300+》在Windows下的查毒速度很快，对系统启动时间的影响小。相信这与它所使用的独特病毒特征代码过滤器有关。
《KV300+》提供网上下载和门市服务两种升级方式，从网上下载升级文件后直接拷贝入磁盘即可。江民公司的门市服务也很不错，只需拿上磁盘到门市部，便可获得免费升级。
KILL ２０００单机版
稳扎稳打
《KILL 2000单机版》全套产品包括一张光盘、两张磁盘和一本厚达160页的说明书。与其他软件附带的磁盘不同，KILL 2000所带的磁盘不提供杀毒功能，只存放升级程序和病毒代码升级库。在安装时，《KILL 2000单机版》也与众不同，您可以根据您使用的是什么操作系统来选择安装，例如，如果使用的是Windows 98则可以选择其For Windows 95/98的安装程序，如果是Windows 2000，则可选择其For Windows NT/2000的安装程序。
同《瑞星千禧世纪版》一样，《KILL2000单机版》是一款全平台产品，适用于当前流行的各种操作系统平台（DOS、Windows95/98/NT/2000）。而且，KILL 2000与系统的兼容性很好，并通过了微软等公司的认证。KILL 2000还能够根据系统底层代码的不同进行分析，深入系统内部核心，使其实时监控具备高可靠性和高稳定性。在使用KILL 2000时，漏报、误报、死机等现象几乎是不可能的。特别是，KILL 2000 For Windows 2000程序是完全建立在Windows NT技术基础上的，这使它的运行可靠性、稳定性又有了更进一步的提升。