剛現(xiàn)網(wǎng)銀安全危機、又出電信斷網(wǎng)事件，無孔不入的病毒、木馬趁火打劫，變本加厲，時刻都想“牛”一把。殺毒軟件更是你方唱罷我登場，技術(shù)更新加營銷創(chuàng)新，使出渾身解數(shù)爭奪市場。殺毒軟件誰更牛?信息安全市場將如何發(fā)展?一番PK之后，我們定有感悟。

2009年注定是不平凡的一年，經(jīng)濟保增長，產(chǎn)業(yè)圖振興。不容樂觀的經(jīng)濟形勢映襯出信息安全的縷縷寒意。剛現(xiàn)網(wǎng)銀安全危機、又出電信斷網(wǎng)事件，無孔不入的病毒、木馬趁火打劫，變本加厲，時刻都想“牛”一把。殺毒軟件更是你方唱罷我登場，技術(shù)更新加營銷創(chuàng)新，使出渾身解數(shù)爭奪市場。殺毒軟件誰更牛?信息安全市場將如何發(fā)展?一番PK之后，我們定有感悟。

參測的十款殺毒軟件為：諾頓游戲版、EsetSmartSecurity4.0.314(NOD32)、卡巴斯基三年版、Mcafee2009、趨勢網(wǎng)絡(luò)安全專家2009、Avast!pro4.8、Dr.web大蜘蛛反病毒5.0、瑞星2009、金山2009、江民2009，分別代表了國際和國內(nèi)頂尖水平。我們從界面和易用性、病毒包查殺、掃描速度、實時監(jiān)控、資源占用、自我保護、主動防御等方面進行PK。測試平臺為：

CPUPentiumT2130

內(nèi)存2GB

硬盤日立160GBSATA

操作系統(tǒng)WinXPSP3

網(wǎng)絡(luò)環(huán)境ADSL8Mbps

為了貼近日常應(yīng)用，測試平臺安裝了驅(qū)動、Office、常用軟件和網(wǎng)絡(luò)工具。測試完一款殺毒軟件后，用Ghost復(fù)原系統(tǒng)再測試另一款，避免相互干擾和影響，使結(jié)果更客觀。

(一)界面和易用性金山和趨勢更勝一籌

清晰明了的界面和友好的人機交互可以增加用戶親和力，也是殺毒軟件帶給用戶的第一印象。總體來看，除Avast!pro4.8外，國外殺毒軟件的界面設(shè)計風格趨向沉穩(wěn)、規(guī)范、內(nèi)斂;國內(nèi)三強的界面風格更明快、活潑、時尚。其中，金山和趨勢的功能布局更合理、易用性更強。

圖注: 金山2009主界面清晰、直觀，符合國人的胃口

圖注：趨勢網(wǎng)絡(luò)安全專家2009的主界面設(shè)計人性，易于上手

金山2009和趨勢網(wǎng)絡(luò)安全專家2009的界面清晰明了，各主要功能入口明確，很容易上手。相比之下，Eset Smart Security 4.0.314(NOD32)的界面(如圖所示)布局欠明晰，“高級設(shè)置”等功能比較隱蔽，不易查找。

圖注：Eset Smart Security界面設(shè)計十分簡潔，但不易于操控

諾頓和卡巴斯基的界面內(nèi)斂而規(guī)范，看上去很專業(yè)。Mcafee 2009的界面相對比較中性，主界面設(shè)計符合簡潔、易用的理念，但層次結(jié)構(gòu)略顯繁復(fù)，各層次之間的邏輯結(jié)構(gòu)和歸屬關(guān)系仍不醒目，對初次接觸的新用戶，尚需摸索。Avast!pro 4.8的界面更像一款精致的播放器，支持界面模式的切換和換膚。Dr.web大蜘蛛反病毒5.0的界面則非常樸素、簡單。

圖注：Avast!pro 4.8大膽地將自己偽裝成一個媒體播放器

總體來說，國內(nèi)三強的界面設(shè)計和易用性整體上要好于國外產(chǎn)品，更具親和力，這顯然受益于其開發(fā)者對國人使用習慣的了解。

多年的技術(shù)積淀和市場洗禮使主流殺毒軟件都擁有了自成體系的病毒查殺機制和日趨成熟的核心技術(shù)，遍布全球的病毒預(yù)警網(wǎng)絡(luò)和快速響應(yīng)的反毒系統(tǒng)成為殺毒軟件應(yīng)對新威脅的共性特征。因此，各主流殺毒軟件的病毒查殺能力理論上不應(yīng)有懸殊的差距，只會有個體的、非實質(zhì)性的差異。

本項測試使用的病毒包內(nèi)含網(wǎng)頁木馬、蠕蟲病毒、盜號木馬等各類病毒3000多個，分別保存到3500多個文件夾中，然后將這些文件夾分別打包成Zip壓縮文件，再將所有壓縮包一起打包成一個Zip壓縮包。隨后用各款殺毒軟件生成的右鍵快捷殺毒方式掃描病毒包，測試結(jié)果如下表：

病毒包查殺測試結(jié)果

從上表可知，由于各殺毒軟件的計數(shù)方式和掃描細節(jié)上的區(qū)別，掃描文件的數(shù)量也有所不同。但ESS(NOD32)和趨勢 2009顯然是將壓縮包和內(nèi)含文件視為同一文件對象而未分別計數(shù)。

從病毒識別數(shù)來看，江民2009表現(xiàn)最好。至于掃描速度，則是ESS(NOD32)出類拔萃，僅用7秒就識別出了3462個病毒，效率驚人，盡管略有囫圇吞棗之嫌。Avast!pro 4.8勇奪銀牌，江民和金山緊隨其后。相比之下，諾頓游戲版和瑞星2009有些力不從心，費時較長，它們似乎對多層嵌套壓縮包的處理，并不在行，當然，這對它們病毒的查殺準確度倒是絲毫不受影響。卡巴斯基、Dr.web大蜘蛛5.0和趨勢網(wǎng)絡(luò)安全專家2009的查殺效率接近，差距不大，處于中游。

Mcafee 2009在這里表現(xiàn)極其另類，它選擇一個超級取巧的方法，在連續(xù)查出了幾個病毒后，直接將病毒樣本包視為毒巢徹底隔離，從而超近道完成了任務(wù)。即使我們在掃描選項中開啟zip壓縮文檔查殺功能之后，它仍然在第一時間直搗毒巢，將整個病毒壓縮包完全封殺掉，以根除掉所有可能的安全隱患，這也在某種程度上體現(xiàn)了當前殺毒技術(shù)的優(yōu)化趨勢，大幅提升掃描效率。

快速掃描和精準查殺是殺毒軟件優(yōu)良品質(zhì)和核心技術(shù)的重要體現(xiàn)。我們對每款殺毒軟件在同樣的環(huán)境下進行全盤掃描，以測試掃描速度，結(jié)果如下表所示：

全盤掃描速度對比表

從表中可知，各軟件的默認設(shè)置在文件計數(shù)方法和掃描細節(jié)上有明顯區(qū)別。諾頓游戲版的掃描速度可謂“風馳電掣”(當然它也是掃描文件數(shù)最少的)，實力毋庸置疑，充分體現(xiàn)了其全面優(yōu)化的新一代殺毒引擎的優(yōu)勢!卡巴斯基的表現(xiàn)也非常搶眼，有望改變“慢工出細活”的一貫形象。

ESS(NOD32)的表現(xiàn)中規(guī)中距。Avast!pro 4.8也有不錯表現(xiàn)。Mcafee 2009非常賣力，但由于核心引擎并未進行本質(zhì)改進，因此感覺上還是有勁使不上。趨勢網(wǎng)絡(luò)安全專家2009的默認設(shè)置會掃描瀏覽器Cookie和系統(tǒng)漏洞，最高支持6層嵌套壓縮文檔，文件計數(shù)也比諾頓和ESS(NOD32)高出數(shù)倍。Dr.web大蜘蛛5.0在默認設(shè)置下耗時最長，期待改進。若啟用諾頓、卡巴等的“智能掃描”、“iSwift”和“iChecker”等技術(shù)，再次掃描時的速度會大為提升。在國內(nèi)三強中，江民表現(xiàn)最好，瑞星速度最慢。

測試的各款殺毒軟件都具有實時監(jiān)控功能。相比之下，卡巴斯基由“反惡意程序”、“系統(tǒng)安全”、“在線安全”、“內(nèi)容過濾”組成的“4D”防御體系(如圖所示)使實時監(jiān)控和系統(tǒng)保護、主動防御等功能高度融合、協(xié)同聯(lián)動，涵蓋了應(yīng)用程序和文件監(jiān)控、Web和郵件監(jiān)測、即時通訊和流量監(jiān)控、家長控制和設(shè)備控制等有關(guān)的軟、硬件資源和本地、遠程應(yīng)用，監(jiān)控全面而精細，反映出深厚的內(nèi)功和嚴謹?shù)脑O(shè)計理念。

圖注：KIS 2009的“4D”防御體系

Avast!pro 4.8的監(jiān)控同樣強大，擁有防火墻、文件讀取、網(wǎng)頁防護、即時通訊、郵件收發(fā)、P2P軟件防護、腳本攔截等七大防護模塊和獨特的靜寂模式。ESS(NOD32)和諾頓游戲版支持文件操作、郵件收發(fā)、網(wǎng)頁瀏覽等常規(guī)監(jiān)控。

Mcafee 2009在安裝了個人防火墻、反垃圾郵件、隱私保護等組件后，支持功能也非常完善，擁有了文件、郵件、Web、流量等眾多豐富的監(jiān)控功能。趨勢網(wǎng)絡(luò)安全專家2009支持敏感文件和服務(wù)修改、Web欺詐、隱私數(shù)據(jù)防竊、郵件收發(fā)等監(jiān)控。Dr.web大蜘蛛5.0自帶SpIDer Guard實時監(jiān)控程序，提供“智能”和“其它”兩種監(jiān)控模式(如圖所示)，支持文件、郵件和惡意程序等監(jiān)控。

圖注：Dr.web大蜘蛛5.0的SpIDer Guard實時監(jiān)控程序

在國內(nèi)三強中，金山和江民的監(jiān)控(如圖所示)較周全，支持文件、郵件、網(wǎng)頁、即時通訊、腳本(惡意行為)監(jiān)控;而瑞星只有文件和郵件兩類監(jiān)控，只是在賬號保險柜和嵌入式殺毒中支持QQ和MSN，其防火墻也主要防范漏洞攻擊和蠕蟲攻擊等，可見其監(jiān)控功能有待加強。

圖注：江民KV2009的監(jiān)控功能，比較完善

降低殺毒軟件的資源占用水平已成為廠商和用戶的共識，各廠商也在產(chǎn)品的研發(fā)和更新中不斷嘗試和突破。但由于殺毒軟件的核心引擎相對穩(wěn)定，外延功能又不斷擴展，除非下大力氣徹底更新核心架構(gòu)，否則難有實質(zhì)性的突破。各殺毒軟件在監(jiān)控和掃描時的實測平均CPU/內(nèi)存占用水平如下表所示：

資源占用水平對比表

從表中可見，諾頓游戲版憑借NIS 2009版中300多項改進和60余項創(chuàng)新所帶來的脫胎換骨式的革新，在資源占用方面獨領(lǐng)風騷，笑傲群雄。這也證實了諾頓官方宣稱的“零資源占用”并非夸夸其談。而作為微軟曾“御用”5年、全球唯一54次通過VB100認證的ESS(NOD32)也同樣表現(xiàn)不俗。

Avast!pro 4.8也顯示出不凡實力。趨勢網(wǎng)絡(luò)安全專家2009和Dr.web大蜘蛛5.0也表現(xiàn)不錯。卡巴斯基2009和Mcafee 2009比以往版本也有了一定程度的改進，但還算不上“身輕如燕”，尚需進一步優(yōu)化。國內(nèi)三強中，金山表現(xiàn)最好，這可能與其起家時采用的引擎架構(gòu)有關(guān)——從金山毒霸Ⅴ至2009，其資源占用水平總體優(yōu)于瑞星和江民，這一優(yōu)勢，至今未變。

病毒與反毒的斗爭早已白熱化，越來越多的病毒已由最初的躲避變?yōu)橹苯印皻⒌簟睔⒍拒浖１Ｗo自身的安全對于殺毒軟件來說至關(guān)重要。我們通過任務(wù)管理器和IceSword 1.22兩種途徑來嘗試終止殺毒軟件的進程，以此測試其自我保護能力。需要說明的是，本項測試只是希望對新一代安全軟件的自我保護功能進行一次簡單的挑戰(zhàn)，以體驗一下其自我保護的功能設(shè)計，而不能完全代表其真正抵御病毒破壞的能力。

進程終止測試對比表

由進程終止測試對比表可知，10款殺毒軟件中自我防護能力最差的是趨勢網(wǎng)絡(luò)安全專家2009，用任務(wù)管理器即可輕松終止除TMBMSRV進程外的其余進程，致使趨勢2009失效，其次就是ESS(NOD32)，egui進程一旦被任務(wù)管理器終止，就會導(dǎo)致任務(wù)欄調(diào)用ESS異常。其它8款軟件都具有一定的自我保護能力，能有效對付一般的進程終止企圖，但在IceSword的“屠刀”下，表現(xiàn)各異。

諾頓游戲版、Avast!pro 4.8和金山毒霸2009毫無還手之力，立馬被斬;卡巴斯基在啟動IceSword時會提示其屬于“低限制組”程序，詢問是否放行。首次終止其雙進程AVP時未獲成功，但終究無法抵抗IceSword的凌厲攻勢，多次抗擊后“陣亡”; Mcafee 2009很有意思，在任務(wù)管理器中被終止后又自動加載，但被IceSword “斬殺”后就再也“無力回天”了;瑞星2009同樣在頑強抵抗后“犧牲”;只有江民2009和Dr.web大蜘蛛5.0固若金湯、堅不可摧，IceSword也無計可施，看來它們“刀槍不入”的“鐵布衫”果然名不虛傳!

主動防御技術(shù)使殺毒軟件變被動查殺為主動出擊，一改過去“事后諸葛亮”的形象。它通過總結(jié)病毒和木馬的編碼規(guī)則和活動特征，分析系統(tǒng)中各API接口之間的邏輯關(guān)系，在病毒庫中沒有特征碼的條件下力圖識別未知的病毒或惡意軟件。

各大殺毒軟件在識別未知病毒方面各有高招。諾頓采用了基于行為殺毒技術(shù)的實時SONAR主動防護，結(jié)合官方服務(wù)器來對文件和進程進行安全認證，所有“安全”的文件和進程會獲得“安全證書”，取得高信任級別，從而快速捕獲潛在的未知威脅。

卡巴斯基也通過官方服務(wù)器對全球用戶上傳的數(shù)據(jù)匯總分析，以此比對可疑文件和進程。ESS(NOD32)、Mcafee 2009、Avast!pro 4.8和Dr.web大蜘蛛5.0是啟發(fā)式殺毒技術(shù)的典型代表，尤其是ESS(NOD32)采用的ThreatSense引擎高級啟發(fā)式檢測技術(shù)，通過代碼分析、基因碼和動態(tài)虛擬機三種手段檢測各種變種和未知病毒;而Mcafee 2009新一代主動保護 (Active Protection)也能提供全面的即時檢測和即時保護功能。啟發(fā)式殺毒無疑是未來反病毒技術(shù)發(fā)展的重要趨勢，為我們提供了一種通用的、無需頻繁升級、先知先覺式的病毒檢測技術(shù)。

趨勢網(wǎng)絡(luò)安全專家2009則是采用OSP系統(tǒng)主動防御技術(shù)，實時檢測系統(tǒng)內(nèi)核、注冊表、進程等15處項目，結(jié)合“云安全”網(wǎng)絡(luò)防護技術(shù)來防范可能的病毒和威脅。國內(nèi)三強中，瑞星和金山是“云安全”技術(shù)的推崇者，通過官方服務(wù)器和龐大用戶群上傳的病毒庫來分析可疑文件和進程，同時提高殺毒軟件的響應(yīng)速度和病毒處理能力。

江民則另辟蹊徑，將“虛擬機脫殼引擎(VUE)”技術(shù)、啟發(fā)式殺毒和“沙盒”技術(shù)結(jié)合起來，強調(diào)“云安全”防毒系統(tǒng)與未知病毒防殺技術(shù)的融合，致力于構(gòu)建“從已知病毒的迅速響應(yīng)到未知病毒的立體防殺”安全防范體系。