拒绝盲目迷信,深度剖析5款主流杀毒软件----转帖

谁与争疯

新闻来源:深度技术论坛


经常在各个论坛看到例如“XXX，天下第一”、“世界排名第一的XXX”之类的杀软推荐帖子，让我不禁联想到了电视购物里劳斯丹顿侯总的身影，呵呵。更有的甚至挂起了“XXX，军用杀毒软件”的名头，太可笑了，大家用脚趾头想都明白，军队的电脑都是高度机密是不连外网的，有连互联网的机器装的也肯定不是你们所看到的一些吹牛帖子的那些杀软，试想下，如果连军队用的杀毒软件都是公开的话，那外国间谍只要花点心思针对这款杀软的漏洞编写木马，那军队还有机密可言？？？不信的话，你拿那款号称军用杀毒软件的来做试验，我就可以出一个过这款杀毒软件的木马！就是因为现在很多人盲目的相信甚至是迷信一些“广告味”很浓的杀毒软件，我才花心思写这么一篇评测。这不是小问题，如果盲目的迷信，没有经过自己严格测试的话，那病毒对你的电脑将会跟“疯狂的石头”里包哥所说的经典台词---“公共厕所嘛？想来就来，想走就走唆”，呵呵，闲话不多说，现在开始！

本测试主要是针对此目前网络上最流行的5款杀软（卡巴斯基，瑞星，微点，小红伞，NOD32）进行的全面测试，希望对广大朋友的选择有所帮助！

测试平台：
1)WINDOWS XP2 原版（无补丁）
2)内存：512M
3)CPU：Inter(R) Pentium(R) processor 1.73GHz 797 MHz

评测内容：
在评测前首先建立实验环境，安装Windows XP SP2以及部分常用软件，然后制作Ghost镜像。在测试每款安软前都先恢复至最初状态，以确保测试环境的一致性。所有待测软件都安装在系统盘（C盘），安装后都会进行软件全面升级，以保证病毒库和程序版本处于最新状态。功能性评测内容分为以下几方面：
1)使用环境
2)自我保护
3)杀毒能力
4)资源占用
备注：1）下面的评测数据中“开机时间”是开启电源后到杀软出现的时间段；2）样本测试包共有460个活体样本，各个杀软扫描截图里扫描文件总数会不同，因为杀软扫描的类型不一样。（如果不懂，可以百度）

评测过程：


卡巴7：
卡巴斯基互联网安全套装7.0单机版安装包为30.8MB，安装后21.4M，可以根据自己的喜欢选择安装路径，整个安装过程较短，在安装速度上表现不凡！最后是进行授权检查，试用30天，最后安装完毕重启系统。
安装过程没有内存扫描，如果是在已经中毒的机器上安装可能会遇到障碍，特别是针对杀毒软件的病毒。
首先，我们将卡巴升级到最新：



更新完毕后，重启计算机，待各组件重启更新完毕后，重复重启3次，每次重启后，进入桌面5分钟内不动电脑，记录相关系统值：



或许很多人不明白为什么卡巴这么大的内存占用？以前卡巴确实很卡机器，但随着用户的反馈，卡巴也表面上解决了此问题，将内存占用转移到了虚拟内存上去，这种换汤不换药的做法有待商榷。卡巴是双进程，系统进入欢迎界面后有一个AVP进程启动，而另外一个却要等网络识别出来了才启动，如果在这间歇病毒发作了怎么办？

自我保护：
在正常系统状态下，卡巴不仅不允许服务关闭，也不允许任务管理器关闭，我们又通过APT软件来测试了自我保护能力，卡巴的双进程均能抵挡APT里10多种关闭功能，非常不错的自我保护。但是有的时候难免卡巴自身出现些问题，例如冲突等等，那又该怎么结束它呢？进入安全模式？又难倒一片人…
卡巴的扫描检测：
一个病毒文件夹，是近几个月笔者收集的部分病毒，我们来看看卡巴在扫描过程中的表现：
CPU和内存占用：



从图中我们不难发现卡巴在扫描期间，对CPU的占用还是相当厉害，内存的占用更是上了一个档次（加上虚拟内存）：接近140M，多么可怕的数据，如果是256的条子，还敢扫描么?
卡巴的扫描结果：



很可惜，对于我的样本集，卡巴的表现没有体现出其强大的库，有人会说，卡巴有主动防御，没有特征一样可以挡住，我们就来看看下面的测试吧。
卡巴配置：



运行了一个鸽子，生成物有个大家很熟悉的BEEP.SYS，创建服务，不错，卡巴也检测到了它会创建服务。但是我想说的是，面对这样的提示，有多少人会真正懂到底是该选择“允许”还是“拒绝”，用户使用杀软是让你保护，而不是让用户自己去猜测！



笔者让身边的几个室友看这个图，都是一样的回答：晕晕的，我怎么知道选择哪个呢，我要是知道的话，我还用它做什么！很多人都是为了系统安全而装的杀软，希望的杀软可以给他们创造一个安静和谐的环境，试问这样的提示能让你安静么？
点击拒绝后，出现了下面一幕：



我的天，难道卡巴没防住？不解……
下面是一款电子阅读器的安装过程，卡巴的主动防御也报警了，让人怎么去选择呢？



这个所谓的“主动防御”简单的说就是动作报警器，抛开用户是否真正懂该如何正确选择的最大问题来说，很多应用软件还会在你平常使用期间，经常的访问注册表等等，试问，谁又有那么多的耐性去做选择题和折磨可怜的鼠标呢？
但是总体来说，卡巴的表现还是不错的，强大的病毒库，带有简单的主动防御，对于一般病毒来说，足够了。在此，希望卡巴2009能够给我们更多闪亮的地方。

瑞星2008（带账号保险柜）：
瑞星2008下载版安装文件60.28M，安装完毕后，文件夹大小：168M。支持4种语言，走向了伟大的国际化。瑞星是这5款杀软中唯一一个会安装前内存检测的，值得称赞。
首先，我们将瑞星升级到最新版本：



重复卡巴测试中的操作：更新完毕后，重启计算机，带各组件重启更新完毕后，重复重启3次，每次重启后，进入桌面5分钟内不动电脑，记录相关系统值：



瑞星的进程较多，不是核心进程的很容易被结束。这个和软件的构架有关，就不作过多的描述。

自我保护能力：
瑞星的自我保护能力较之以前有了很大的改进，在内存占用上也有不小的进步。
相关命令和任务管理器均无法关闭瑞星，下面是瑞星能否通过APT的测试：
通过测试，我们可以看出瑞星有2个进程被关闭，但不影响瑞星的监控，初步判断这2个进程不是瑞星的核心进程。
自我保护能力较强。

瑞星的扫描检测：
相同的样本集，进行扫描测试，瑞星的扫描结果：



做为“一哥”的瑞星果然在国内有不错的样本渠道，查杀率也不低，和卡巴一样，瑞星也有传说中的主动防御，我们也来测试一下：



运行一个比较古老的病毒，运行后，瑞星没有提示，奇怪，查看系统时间，发现时间已经被修改：



重启后瑞星要求我输入新的序列号注册再升级了，汗……
随后又运行了一个病毒，瑞星这些有了提示，难得呀：



由于急忙中需要截图，没有来得及选择拒绝还是放过，当默认时间自动走完后，发现默认选择是放过，请看下图：



而后，瑞星没有任何的报警了，哎，又见瑞星和病毒共存了。
瑞星的主动防御太脆弱，连行为报警器都算不上！

谁与争疯

微点：
安装程序34M，安装升级完成后文件夹大小为：90M。安装过程一路next,自动生成序列号，注册的时候输入相关的注册信息。安装过程就可以对程序进行一些基础性设置，注册过程中就要求升级，升级完毕重启，做为一款没有扫描功能的主动防御软件，无法在安装前扫描内存，如果内存中有针对杀软的病毒阻止安装，该怎么办呢？
更新完毕后，重启计算机，待各组件重启更新完毕后，重复重启3次，每次重启后，进入桌面5分钟内不动电脑，记录相关系统值：



自我保护能力：
任务管理器，冰刃，一些常用小工具，cmd命令均无法关闭微点进程，APT测试，微点全部通过，无法使用其中方法结束微点。

由于微点不具备主动扫描功能，我们就通过一些变相手法（打开病毒所在文件夹），让它自动扫描吧：



通过对比，发现微点的病毒库比其他杀毒软件的库小，但是微点的特殊工作原理却弥补了这个缺陷，下面我们看看微点的主动防御测试：
运行病毒若干，抓了几个图：





微点的主动防御报警相对来说就很简单，只需要用户决定是否删除，而不需要你去面对一大堆的注册表和数据提示，或许这才是真正的主动防御！
微点误报测试：
用一款系统补丁查看器加壳后，运行，微点无报警，误报测试通过。


德国小红伞C版：
小红伞安装程序21M，安装后文件夹大小为：54M，比较中规中矩。整个安装过程可以一路NEXT，安装完毕后不需要重启即可使用。测试的是小红伞C版，升级很慢，最后是下载的离线升级包，下载速度也相当的慢，难道德国人不想分中国这杯羹？
首先，小红伞没有中文版，整个界面都是英文，这就阻止了很大一部分人的使用想法，但是可以参考部分论坛的使用介绍。
离线升级至最新：



还是老规矩，重启后再重复重启3次，记录相关系统值：



小红伞的进程比较多，正常模式下有3个，开启主界面后增加一个，如果手动扫描的话，这会再增加一个进程。

自我保护能力：
非常简单的被冰刃给结束了。测试中发现了个非常奇怪的问题：开机进入欢迎界面后立即调用任务管理器结束掉进程：avgnt.exe，则小红伞的任务栏图标消失，服务进程依然启动，从开始列表里启动小红伞，avgnt.exe依然无法启动，随之用冰刃结束剩下的服务进程，然后开始列表里启动小红伞，结果出现小红伞启动后自动消失。非常可惜一个杀软的自我保护能力这么弱，它再强的实力也会大打折扣的！
小红伞扫描：
对上述测试病毒样本集进行测试，小红伞的扫描测试结果为：



扫描过程中，小红伞的CPU占用在10%-50%之间，但是扫描过程中看看小红伞的资源占用吧：



加上虚拟内存的话，接近200M了，这个数字是本次测试中最高的，你的机器有多大的内存可供使用？
仅仅检测出410个，面对开启中度启发的小红伞，出现这个成绩未免让人心寒。



然后运行小红伞没有报警的样本3份，病毒整个运行过程中，没有任何提示，多么可怕的场景呀？
下面看看小红伞的启发：
一个正常的程序小红伞扫描：



扫描结果显示正常
小红伞误报测试：
我们通过对此程序仅仅加壳，再次扫描：



报警了，加壳就启发出病毒了？（看来，众多的程序员以后在为自己编写的软件加壳时要三思了…）
通过测试发现小红伞除了强大的病毒库和所谓的启发外，其他值得笔者吸引的地方没有，可能经过一段时间的使用才可以证明小红伞在启发误报率上的精确百分比？本身在国内没有本土语言的它，却频频启发报警，给人不严谨的作风，这不是世界眼中的德国人品质！

谁与争疯

NOD32：
此版本为EAV，安装程序和安装后文件夹大小变化不大，这点控制很好，不错。安装过程有简单的设置向导，界面整洁简约，安装速度也较快！
首先，将EVA升级至最新版本：



重复前面测试中的操作：更新完毕后，重启计算机，带各组件重启更新完毕后，重复重启3次，每次重启后，进入桌面5分钟内不动电脑，记录相关系统值：



EAV的启动速度不错，内存占用也不错。
自我保护：
此款安全软件也是通过服务形式，如果你手动去结束其服务进程：ekrn.exe,则会在短时间内立即恢复，可以通过任务管理器的PID查看变化，但是其监控程序却可以轻松被扼杀。
APT试验测试，2个进程都很容易的被干掉。



安全软件本来就是保护我们信息安全的，其自身难保又用什么来保护我们呢？这点希望NOD32加强呀。
NOD32扫描测试：
同样的样本集，用EAV最新病毒库进行扫描：



查杀377，看似不错，但是这里面有启发报警的，NOD32的启发确实不错，但启发后才报377,未免有点失职吧。而且其在扫描过程中，CPU的占用居然很高：



EAV的默认设置在打开文件夹的时候进行扫描，我们每天用电脑工作，每打开文件夹一次，就要扫描一次，扫描占CPU不说，还要疯狂的对磁盘读，硬盘的寿命我们不得不想想了。
对于EAV启发都没有报警的文件，运行后EAV毫无防守之力，造成杀软和病毒共存：



EAV对于国内的木马病毒在收集能力上还需扩大，毕竟想在中国这块全球最大的市场里分一杯羹，需要的是诚意。

通过本次评测数据的横向对比，我们发现，各产品的属性表现比较突出，各个评测项目中也有异军突起。

卡巴，强大的病毒库，不俗的杀毒能力，但是被过分的神话了，通过本次的测试发现，它的查杀率也就90%，不像传闻中的那么神奇。我曾经和一个资深网管聊过天，他给出一个我觉得比较中肯的评语“卡巴不错，但是它之所以被中国用户所接受不外乎三点：一、卡巴进军国内的时候恰逢当时病毒泛滥但国产杀软又普遍趴下的时机；二、杀毒能力不错；三、独特但很成功的宣传策略”。内存占用也是其弱点，装上卡巴后机器明显变慢，相信绝大部分使用过卡巴的人都有这个感觉，最新版本的改良也只是把物理内存的占用嫁接到虚拟内存里，换汤不换药，希望卡巴能在降低内存占用上有所突破。

瑞星，软件易用性、界面美工可圈可点，值得其他杀软品牌学习。从杀毒能力层面来看，不容乐观。从各大论坛求助、样本测试来看，发现瑞星对于病毒的处理能力还是依旧很欠缺。易用性和美观固然重要，但是用户最需要的是真正能保证用户系统安全的杀毒软件，不是漂亮的玩具！

微点，这支国产新军给人很多亮点，启动速度快，占用内存小，主动防御强悍。就纯粹的主动防御而言，微点可以说是先行者，代表了一种发展方向，微点和其他杀软的所谓主动防御相比，低误报，高查杀率成为它在杀软界的杀手锏，但是没有扫描不得不说是一大遗憾，要知道大部分电脑用户对没有扫描的软件多少有些心里没底，建议配置一款绿色扫描版杀软。

小红伞，是近期冒出来的一款“表现强悍型”杀软。但是你们知道它是怎么做到如此“强悍”的吗？主要两个原因：一、带壳提特征。要知道，大部分应用软件，都会对自己的软件加壳以达到加密软件代码数据和加速软件运行速度的目的，不得不说这个方法直接扼杀了这部分的软件。二、小红伞没有虚拟机只有广谱，而且广谱用的比较泛滥，所以查杀率高，误杀率也奇高。靠这2个偏门以求达到强大的发现病毒能力来看，多少有点欺负大部分电脑用户不懂反病毒技术的感觉。如果，我只是说如果，如果其他杀毒软件也采用这种根本不顾及严重误杀后果的做法，也这么做的话，我想，也许所有杀软都能拥有大家所称赞你的“高查杀率”了吧。小红伞的这个内幕很跌大家的眼镜吧？神话不是那么好创造的，随着国内用户电脑知识的迅速提升和普及，如果靠走偏门的办法，有句俗话这么说来着，再美丽的谎言也有被戳穿的一天！

NOD32，各方面都较为均衡，杀毒能力不算弱也不算强，占用内存较低，做为内存配置小的用户，不失为一款不错的选择，但不建议单独使用。希望加大对中国本土病毒的收集能力。

总结

随着计算机技术的不断进步，病毒技术也在不断的更新换代。加壳，加花，改程序特征这些黑客技术将会在不远的将来逐渐被黑客所遗弃，替代这些技术的将会是像一只成精的狼一样更加的狡猾、隐蔽和高技术性； 做为“系统保卫者”的杀毒软件，希望你们能未雨绸缪，在反病毒技术上再接再厉，为全世界数十亿电脑用户的系统加上一把名副其实的“安全金刚锁”，谨以此文予杀软厂商共勉！

谁与争疯

作者对网友的回应

新闻来源:深度技术论坛
首先，感谢质疑我的朋友们，这让我更坚定了自己的信念，要把一切我有把握的、我所掌握的真相告诉大家。常常逛网站的朋友可能知道，在每个杀毒类型的论坛里，很多人看到很多“枪文”和“软文”，就拿瑞星来说，电脑报、新浪、搜狐，甚至打开一个文学性的网站，都见到它的广告，很多IT类门户网站的瑞星软文更是数不胜数，有点电脑知识的都对这些“枪文和软文”嗤之以鼻。不懂技术的用户，他们有办法分辨吗？那些狂热的杀软FANS们是不是真的对自己喜欢的杀软非常了解？如果一味的吹捧、鼓动，不去做深层次思考的话，你觉得是对他们好吗？



     首先，感谢质疑我的朋友们，这让我更坚定了自己的信念，要把一切我有把握的、我所掌握的真相告诉大家。常常逛网站的朋友可能知道，在每个杀毒类型的论坛里，很多人看到很多“枪文”和“软文”，就拿瑞星来说，电脑报、新浪、搜狐，甚至打开一个文学性的网站，都见到它的广告，很多IT类门户网站的瑞星软文更是数不胜数，有点电脑知识的都对这些“枪文和软文”嗤之以鼻。不懂技术的用户，他们有办法分辨吗？那些狂热的杀软FANS们是不是真的对自己喜欢的杀软非常了解？如果一味的吹捧、鼓动，不去做深层次思考的话，你觉得是对他们好吗？

      我的文章发出后看到论坛上的一些回复或者就是反击，我看了真觉得很可笑。那些太无知搞笑的我就略过吧，直接开始。

      一、很多人说我的文章里，主观臆测的东西太多。我就奇怪了，我的文章里附上数据，截图等等内容了，我有空口说白话吗？所以说我“臆测”这个问题我就不回复了。说到“主观”，我相信每个人看问题的角度都不同，没人能做到完全“客观”，那是神才有的能力。但是，我尽量让自己做到客观公正，一切都拿数据说话。说实话，我没有一直用的杀软，总是在换着用，我热衷于此。

      再谈谈“客观”。很多在论坛反驳我的人说我不够客观，难道反驳我的那些杀软的FANS就很客观？论坛就好像一个微缩型社会，比如你喜欢一位球星，可是这个球星技术不够全面，带球技术非常业余，为什么还是那么多人喜欢这位球星呢？因为他们可以说：“我欣赏他弧线球的技术，他的带球我觉得很好”，那这位球星的FANS在与别人辩论这个球星到底厉不厉害时，他是客观的吗？？

      反过来看。例如小红伞的FANS面对直接带壳入库的事实，可以说：“我觉得带壳入库不是错，不误杀系统文件就可以了，误杀我感觉不严重”。

      但是你们思考过没有，其他杀软没有带壳入库的技术吗？如果他们也这样做的话，那是不是他们的查杀率也变高了？为什么他们不这样做？

      我在看待一个问题的时候，脑中会不停的连续冒问号，然后一个个的解开它。

      各位朋友看到这里，你们觉得是我不够客观，还是别人？

      二、在网络上说点话真难，说一些他们不能接受的话更难。特别是对崇拜在某某杀软里的朋友们总是不能容许甚至是容忍你说某某杀软的缺点，就算真的自己都承认是缺点的，他们也可以强辩成优点。但是，你们这样的维护某某杀软，对你们是有帮助、还是安慰自己？杀软是没有完美的，就像人一样或多或少都有缺点，都需要不断的进步，我们指出它的不足，只是希望它能更好而已，不是吗？

      三、这个节点我要对几个很多人争议或者说是反击我的问题做个回复

      先说说卡巴，说实话，没几个用卡巴的人不觉得卡巴不占内存的，装上卡巴开机时间明显慢了下来，为什么连这个也要反驳？我不得不说你们崇拜杀软崇拜到了可怕的地步，快醒醒吧，杀软只是我们使用的软件，就像我们平常用的牙膏、洗发露等日用品一样，犯得着这么愤怒吗？

      再说说小红伞，为什么在反病毒论坛上的样本区小红伞显示出高查杀率？因为小红伞大量的滥用广谱和直接带壳入库，在论坛样本区里测试的那些个小红伞迷们才会这么相信它，他甚至可以义正言辞的说：“你看，你看，小红伞查出好多病毒了！厉害吧”，呵呵，伞迷们有没有想过一个环境问题，在样本区的99%其他杀软报出的病毒或者是发帖者自己机器中的病毒，你们以为报毒的都是最厉害的杀软？那我也写一个小软件，设置个白名单，只要你运行不是系统和常用的软件以外的程序，都一律报警说是“病毒”，那些在样本区测试的人会不会以为我写的这款小软件是非常厉害的杀软呢？当然，我只是举了个例子说明问题。

      四、说说关于样本的问题，我看到有个很愤青的某杀软FANS居然说：“你拖个毒包测查杀，吓死我了，就你那么点货，也好意思拿出来。”，我真是觉得又好气又好笑，测杀软难道要用几十万个病毒样本吗？据我所知，知名的杀软最多也就上百万的病毒库量，你让我上哪找那么多的样本？在有限的条件里，最科学的方法就是随机寻找一些样本来进行测试，连科学家们在做某种测试或调查时，都是用这样的方法，这没错吧？当然，如果你有更好更科学的方法，我倒是愿意学习下。

      五、为什么我的文章，在卡饭论坛、伞迷论坛引起了强烈的反击？顾名思义，卡饭论坛就是卡巴FANS的论坛，伞迷论是小红伞FANS的论坛，这就像明星后援会，你跑到周笔畅歌迷论坛里去说周笔畅长得不够漂亮，你会不会遭到所有周笔畅歌迷的围攻？肯定会的，但是，他说的是实话，对吗？他们会说，周笔畅在我心里是最美的、周笔畅唱功很好等等之类的话。说实话，我也挺喜欢周笔畅，R&B很有陶喆的味道，但我们从整体来看，做为一个公众人物，她是不够漂亮，如果长得漂亮，歌又唱的好，那就“更好”了，不是吗？（这里只是举个例子，所以勿在这里抓语言漏洞，跟我反驳什么价值观，谢谢！）

      举个例子就说明了问题所在的根本。如果我的文章里不写卡巴的占内存、卡巴的查杀率90%；不写红伞的带壳入库、滥用广谱会有如此的激烈的反应吗？另外，我要声明，我没有说卡饭伞迷论坛不好的意思，我也常在卡饭玩，我只是举个例子说明问题而已。我们需要认真的面对现实，喜欢卡巴的朋友们当然可以继续使用卡巴，卡巴也是我较为欣赏的一款杀软。喜欢小红伞的朋友也是一样，像某个小红伞反驳我的帖子里说到的：“小红伞带壳入库也是无奈之举，我们觉得正常软件不会加壳”，先不去讨论正常软件会不会去加壳的问题，单说这种做法确实值得商榷，不是吗？在高查杀率的状态下，要保持低误报，这样才是正确的平衡之道。

      盲目的去反驳挑出杀软缺点的人，这是在间接的扼杀了此杀软的发展。说到这里，顺带的与大家分享一些我的人生观，那些一味的吹捧你，给你戴高帽的人根本不是你的“真朋友”。真心对你好的朋友，他不会吹捧你给你戴高帽，相反，他会给你指出你的缺点所在，在你做错事的时候他会和你激烈的争吵，可是，这才是真正希望你好的“真朋友”，这才是真正的“兄弟”！（我在很严肃的在跟大家分享人生观，幽默的朋友不要钻洞BT喔，呵呵）

      偶然间，在我文章的回帖里看到了一段很有意思的小插曲，A会员在我的帖子里回复了“学习，文中除了瑞星，我都用过，感觉卡巴并不是那么卡，反而NOD32扫的时候卡得利害，红伞不用，全英文，删错文件害得我重装系统。微点很好，很强大。”这样一段话，紧接着B会员就出来提醒，B会员引用了上一位会员的回帖，然后加了一句：“这句话同时得罪了nod和小红伞....太危险了”，呵呵，可怕的舆论力量让人害怕了？这是应该反思的问题，这中间是谁的错？是A会员说出了自己真实经历的错，还是某些人太霸道的错？

        六、在我文章里，很多人问我：“我用的是什么杀软？能不能说一下，我们也装上”，我可以告诉你们的是，我没有一直使用的杀软，我一直在换着用。只要你使用禁止自动下载的浏览器（非IE核心的），只上一些安全熟悉的网站，及时打好系统补丁，不下载无名小站的可执行程序，病毒基本与你无缘。如果你一定要我推荐的话，我就说几款我觉得杀毒能力较为强悍的杀软吧。

1、卡巴；它在国内收集病毒样本的渠道确实不错，我进行的每一次样本测试中卡巴的查杀率都名列前茅，卡巴之所以能在短短几年内迅速的在国内名声鹊起不是没有道理的。卡巴总得来说非常不错，杀毒能力不可小视，虽然占用内存较大，但卡巴也在不断的修正自己的缺点，卡7对比卡6、卡5而言，内存占用问题已经得到了不错的解决，值得称赞！望能继续加油！

不过，树大招风，现在几乎所有的黑客都把卡巴列为免杀的第一对象，做每个免杀时，都先试下卡巴报不报警。所以，大家在使用的时候尽量开启实时更新。《推荐指数5颗星》

2、微点，这款杀软我是又爱有恨，爱它是因为它的杀软技术革新精神让我佩服，恨它是因为它使我无法让装了微点的机器成为我的肉鸡了。我很多黑客群里的朋友都对这款主动防御软件束手无策，加壳、加花等等手段都无法达到免杀它的效果，我一个朋友曾经改写了一个驱动级的木马过了微点，得意忘形之际，他把这个木马放到了网络上炫耀，大概过了10天左右，又被杀了，这个时候他再改特征已经晚了，气得我那朋友好一阵子郁闷。

因为它采用了行为判断技术，用整组的程序动作，API传递、监控钩子调用等等数据汇总，然后用行为判断库来判断这个程序的动作到底是不是非法的。所以加壳、加花这些免杀技术对微点毫无效果可言。（这段话可能不是很准确，毕竟我没有拿到源代码，为了坚持严谨的态度，特说明一下）

不过，也正是由于它采用了行为判断技术，也产生出了一些副作用---误报，大概几个月前，我机器上刚装的跑跑卡丁车在升级的时候，就报“可疑程序”，我发现特别是一些网络游戏的升级程序，微点会报警，这可能跟它的机理有关系。  

之后，我把这个情况上报给了他们的客服，他们的客服态度是我接触过的一些杀软客服里最好的，值得称赞！上报后，耐不住寂寞，又去装别的杀软了，不知道现在微点的误报率有没有降低？谁去测下？

如果微点能把误报率降到更低，凭借它恐怖的杀毒能力，前景非常乐观，希望微点继续加油。《推荐指数5颗星》

3、MCAFEE/麦咖啡，这款杀软可以说是有大将之风，它最大的精华所在是“自定义规则”功能，这个功能只要你有丰富的知识和设置能力，可以阻止很多未知病毒对你机器的迫害。（访问保护）举例：你可以设置一条规则，禁止任何程序修改或访问你D盘的任何文件、远程植入程序，更甚者还可以禁止往D盘拷贝入任何文件，还可以禁止一些无聊的小软件在你安装后在你的IE收藏夹里加上它的网站。

本来还想推荐MCAFEE的（缓冲区溢出保护）功能，但是看过了gyzy大侠的“基于栈指纹检测缓冲区溢出的一点思路”一文中提到的很多绕过的方法，再看到czy大侠的点评中也再次确认目前缓冲区溢出保护技术还没达到太高的境界，所以在这里就不做为特点推荐了，但还是要勾选开启的。

MCAFEE还有一个不错的功能（有害程序策略）；举个例子：你可以把病毒常用的病毒名称加进去，例如“autorun.inf”、“logo1.exe”等等，这样就可以很好的杜绝了AUTORUN病毒和威金病毒了，再添加一些例如“ylive.exe”之类的流氓软件名称，当MCAFEE扫描到这些文件时就会自动报警删除。

MACFEE是市面上不多的一款很大程度上开放各种规则设置的杀软，这样可以让有自行设置能力的用户配置出适合自己的策略，让杀软发挥出最大的功效，再加上常规的病毒扫描，保护你的日常应用系统足够了。《推荐指数4颗星》

总结

      其实还有一些不错的杀软品牌，例如诺顿2008的技术较之之前的版本有了很大的提高，大蜘蛛强悍的杀毒引擎也是不可小视。要知道，世界上没有绝对完美的杀毒软件，本着严谨客观的态度，找到适合自己的杀毒软件才是正确之道！

后记

      再次感谢那些质疑我的朋友们，从这里我看到了很多人对杀软的崇拜到了一种可怕的地步。再拿上面的例子来说，杀软就像我们的日用品牙膏、洗发露一样，你们会为哪个牌子的牙膏好的问题而争的面红耳赤，挖空心思的钻语言漏洞，甚至是恶言相向吗？不会，但是为什么换成杀毒软件后就出现了这么荒谬的情景呢？这是一个该思考的问题。这也让我看到了发布公正评测的必要性，更坚定了我继续对各款杀软进行深入评测的信念。

拒绝盲目迷信、崇拜，客观的正视杀毒软件，我觉得这才是我们看待杀软最好的心态吧，谢谢！

附加声明：我不是任何杀软的所谓枪手，我是成都某校的大四学生，即将毕业，如果你在成都的话，可以联系我当面求证！当然，时间要快点，我毕业后要回老家重庆的。过两天就进行答辩了，4年的校园美好时光即将成为回忆，说实话，有点感伤。

题外话：这次5.12地震，也就发生在离我不远的地方，那段时间每天都在操场上露宿，哎，但看到灾区的人民，发现我们是幸福的。此次灾情夺去了我3个朋友健康幸福的生活，有一去不复返的，有痛苦残缺一辈子的，哎！身边的朋友失去了，才后悔没有好好珍惜以前的日子，人总是在失去的时候才想到后悔药，但世上却没有，希望大家在生活中多珍惜自己身边的亲人、朋友，有时间常聊聊，常见面，也常回家看看，人一生有几个知心朋友难得，别像我这样后悔一辈子了！

现在用的微点，感觉很不错

风飏

从00年到至今...
04年之前可以"算"没用过杀毒软件,因为没经历过CIH那个时代,期间因电脑中过病毒(因为我电脑上的exe文件日期全部都一样了,而且很多程序运行不正常,重做系统也无济于事),于是装上瑞星和金山毒霸扫描,但愣是没扫描出来毒..遂删之.
那个病毒在我电脑上伴随着Win98跳到了Winxp时代,

到了04年后装了卡巴斯基,还挺不错,
当时的我用卡巴斯基扫描本地硬盘所有分区竟然扫描不到病毒,但是当打开"我的电脑"浏览本地文件夹预览文件时卡巴斯基是也检测文件的(这样才会检测到,真奇怪).后来我手动一个个打开所有文件夹,让其把病毒从程序原体上清除的.

再后来卡巴斯基升级后,因为受不了报警时那个杀猪声,我就把卡巴删除了.之后一直到现在就再也没装过任何杀毒软件.
只是用Wsyscheck一些检测rookit软件来手杀...
老老实实把系统打上最新的补丁,裸奔上网也很少中过毒..

风飏

我是不建议大家用瑞星, 瑞星只是公关和广告做的好罢了..我经常听到身边的人说瑞星好 瑞星很好...
好个P啊 骗骗小白还行.
自己的主程序都保护不好的杀毒软件怎么杀病毒.

我帮别人装过两次瑞星,都是买的正版的.遇到的情况都一样
1.安装过程中安装程序没任何提示自动关闭(后来我打开Wsyscheck一看,TMD这机器简直就是养病毒的),后来用软件把可疑的进程和线程关闭后才把瑞星安装上去.
2.杀毒软件安装完成后是要提示重启系统的..当然瑞星也不例外...让我重启系统后.发现瑞星根本就没启动..转到瑞星的安装目录.
主程序文件都没了(肯定是病毒删掉的).

ZERO

看过，结论：一家之言！！！！
鉴定完毕

转了N个论坛的帖子

hanqi1112

你太厉害了！