|转贴|杀毒软件的引擎,最近我校网络深受病毒困扰,故发上分享。
|转贴|杀毒软件的引擎- -
[color=red]郑重声明[/color]:本贴原作者为走走看看
[size=5]为防止误解,特作如下声明:
1、 原文比较长写的也很专业,我个人很多看不懂,一下是挑选稍微能看懂的,加以精简而成。
2、 此文章已经比较老了,但个人认为写的很好。最近我们学校网络深受病毒困扰,故发上来希望能给大家些许启发。[/size]
[size=4]正文部分([color=red]精简修改后[/color]):
一、什么是杀毒软件引擎,与病毒库的关系?
首先必须指出杀毒软件的引擎与其病毒库并没有什么直接的关系。杀毒引擎的任务和功能非常简单,就是对于给定的文件或者程序进程判断其是否是合法程序。软件厂商必须自己有一个行为规范界定规则,在一个给定的范围和置信度下,判断相关操作是否为合法。用简单的话说,杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。一个完整的技术引擎遵守如下的行为过程:
1.非法自身的程序行为捕获。
2.基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平,一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术,但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒,相继开发了所谓的虚拟机,实时监控等相关技术。这个环节被叫做杀毒软件引擎工作的核心层。
3.引擎与病毒库的交互作用。这个过程往往被认为是收尾阶段,相对于前两个环节,这个阶段速度是非常慢的,杀毒引擎要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符(包括静态代码等),然后与病毒库中所存贮的行为信息进行对应,并作出相应处理。当然必须承认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。
诺顿是微软最高级的安全方面核心合作厂商,因此它的杀毒软件在某些方面工作比较特殊。诺顿和 mcafee实现方式比较相似,诺顿采用了基于系统最底层的系统核心驱动,这需要微软的系统源代码级的支持(要花许多money),业界公认,这是最稳定的实现方法,从目前而言,只诺顿一家。但是也有人质疑由于微软操作系统的不稳定性是否会拖累诺顿,有开发人士否认这种观点。
二、引擎部分的实现 。
杀毒引擎目前主流有两种实现方式:1.虚拟机技术、2.实时监控技术、3.智能码标识技术、 4. 行为拦截技术。
对于未知病毒的判断实际上代表着杀毒软件厂商在引擎研究方面的最高能力。平心而论,非美国厂商在这方面能力较差。业界对于防止未知病毒能力是按照如下方法衡量的:以评测当日的杀毒软件最新版本为该厂商的供测试版本,来评测未知病毒。
先说说虚拟机。查毒的虚拟机并不是象某些人想象的:如Vmware一样为待查可执行程序创建一个虚拟的执行环境。就目前可以知道的信息而言,卡巴斯基在这方面做得还可以, mcafee的新产品中加入了一种溢出保护技术,本质上而言也是一种所谓的虚拟技术。这里所谓的"虚拟",并非是创建了什么虚拟环境,而是指染毒文件并没有实际执行,只不过是虚拟机模拟了其真实执行时的效果。这就是虚拟机查毒基本原理。曾经跟搞杀毒的技术人员探讨是否可以采用模拟实际执行的方法来搞一套杀毒软件,回答是微软可以,因为微软可以在系统底层搞一套硬件虚拟层,来实现硬件虚拟。我忽然想到,如果微软真的搞杀毒软件,其实无论别的杀毒软件公司多么强,大家都得彻底玩完。
病毒实时监控其实就是一个文件监视器,它会在文件打开,关闭,清除,写入等操作时检查文件是否是病毒携带者。这样就可以有效地避免病毒在本地机器上的感染传播
现在的杀毒软件引擎都是虚拟机技术和实时监控技术的复合体。由于各家研发人员所研究的方向不同,各产品的杀毒品质也非常迥异。比如诺顿的杀毒理念就是在确保系统正常运行的前提下,控制最终消除可能影响系统稳定的因素;而另有些厂商则认为杀毒软件应该最快的消除有害程序。
三、各家厂商的杀毒引擎简介
1. 诺顿:这个最熟悉了,诺顿的杀毒软件实际上防止侦测方面做得并不是很好,很多病毒程序经常搞崩诺顿的代码。诺顿的引擎应该是完全自成封闭体系的,没有资料证实诺顿曾经购买或者借鉴过别的杀毒引擎。传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计,因此曾经在微软社区在线聊天时,问过这个问题。回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要,它自己的引擎搞得挺好的。有一个叫 fenssa的家伙甚至回贴说不考虑病毒库因素,诺顿的杀毒引擎相当先进,综合防护性能很好。在微软,除了用mcafee的就使用诺顿的(这一点我比较相信,很少见到别的杀软在微软被使用)。从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看,诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合,并应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么推崇虚拟机技术)。诺顿的杀毒速度慢,应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。我个人非常喜欢诺顿的隔离机制,我认为在没有确定完全正确的处理方式之前,删除是不应该被采用的。一个高手写的病毒应该能尽可能的与系统进程相关,在这种情况下,隔离的优势立刻显现。诺顿资源占用量比较大,但实现了如下设计目标:能识别的病毒和被识别为病毒的进程完全可以正确处理,对已经不可能产生破坏作用的'病毒尸体‘不会产生误判,更不会出现出现一次又一次的在处理完某病毒后又检测其为病毒的状况。
2.Mcafee: 记得看过一篇报道说mcafee收购过别的杀毒软件引擎设计公司,据回贴可知为所罗门。在网上很少能看到关于对mcafee的杀毒引擎进行过分析的技术文档,但从他自己宣传的资料看,mcafee对虚拟机技术和实时监控研究的都挺彻底的。比如他最近宣传防止应用程序溢出的技术,应该是在不考虑硬件平台的情况下虚拟机技术和实时监控技术结合的上乘之作,尽管经常出现错误的溢出侦测。在处理大量的文件时, mcafee有一定的速度优势(微软社区中有这个问题的论述)。
3.卡巴斯基:本论坛上被过度神话的杀毒软件。我个人非常尊重卡巴斯基的高水准,但说句实话,在不考虑资源占用的情况下,卡巴斯基并没有什么足够的理由能够让我放弃诺顿,二者的水平并没有什么差异。在稳定性上,卡巴斯基比诺顿要差一些。由于早些年卡巴斯基的引擎曾经泄漏(实际上泄漏的并不是初始源代码,只是泄漏的引擎可以比较容易的反编),因此网上可以找到很多关于卡巴斯基引擎的非常详细的技术分析,尤其是德国的病毒高手写的关于如何优化卡巴斯基杀毒引擎的文章,被认为是所有采用卡巴斯基引擎的杀毒软件厂商必看的文章之一,就象美国人写的那篇VB100到底怎么测试杀毒软件(里面作者综合近几年的测试结果推测了VB100在测试时可能使用的病毒类型,相关比例等)是杀毒软件厂商在将自己的软件送测前必看的文章一样。从网上大量的分析文档看卡巴斯基的虚拟机技术是很优秀的,但是去年有人发贴认为卡巴斯基的良好的性能来源于它非常庞大的病毒库和良好的升级速度,其杀毒引擎设计水平并不高于其余的公司。卡巴斯基的引擎采用了所谓的单一形式的规则判断,众所周知诺顿是基于分类的规则处理。卡巴斯基的引擎在文件标识比对病毒库的时候被认为有着很好的性能,充分利用了处理器的处理能力,"但令人担忧的是,该公司对最新出现的技术并不充分重视",究竟是对原有引擎进行彻底改进还是大量使用新技术,估计谁都不知道。卡巴斯基的引擎存在叫做所谓的"过与简短的文件码"问题,说白了就是有时候会鞭尸,它的研究人员说正在改进。前段时间有人发帖子中指出病毒编写者只认可卡巴斯基,说实话看了很多论坛文档,好像没有哪个强人这么说过。卡巴斯基走的是与美国厂商有很大区别的研发道路,卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并不是全部。卡巴斯基是一款很好的杀毒软件,但并不是神。应该说它与诺顿,mcafee一样都站在杀毒软件的顶峰水平上。
在国内,一直有江民的杀毒软件采用卡巴斯基引擎的传闻,说句实话业界相当一部分杀毒软件都参考了其引擎设计,即使在国内也没有足够的信息证实只是江民参考了其引擎设计。很多人都使用各种各样的病毒包对卡巴斯基和江民进行测试,测试结果是完全一样。说句实话,这种测试并没有什么可信性,我个人只能认为江民可能(较大程度的)参考了卡巴斯基的杀毒引擎设计,但从两款杀毒软件的灵敏程度,杀毒速度等诸多方民看,即使江民采用了卡巴斯基的引擎,江民也应该进行了很大程度的源代码修改或者优化,另外也有消息说江民在引擎中加入了一些自己开发的技术,在实现方法上类似于数字码技术。霏凡上曾有高手指出假如公布两款软件的源代码,可能并不会有人能看出二者有什么关系。实际上,当发现江民的软件并不能使用卡巴斯基的病毒库的时候,我们就应该知道即便曾经借鉴过,二者也已经可以被认为是不同的杀毒引擎。可能在win3.x平台下,二者曾经很相近;但是今天我们在使用winxp.即使江民确实采用过卡巴斯基的引擎,那么可以说江民在某些方面发展了这套引擎,尽管这种发展未必与原始的研发方向相符。但无论基于何种角度考虑,我认为江民的杀毒软件还是有优秀之处的。毕竟你回头看一看国内的杀毒软件厂商,在真正的技术研发领域只有这么一面旗帜偶尔飘扬。一步步走下来,江民还是有技术进步的。只就纯技术因素而论,假如江民采用了卡巴斯基的引擎,那么今天两家厂商在不同的方向上发展着那套原始的引擎,这未必是坏事,只要不固步自封,我们好像没什么必要争论两家厂商是否一个原始祖先,怕的就是在别人都往前跑的时候自己停下来,这跟自取灭亡没什么区别。尽管市场是杀毒软件厂商的第一要素,但别忘了技术是一个杀毒软件能否基业常青的决定性力量。
[color=red](以下几个是从别的帖子上引的)[/color]
4、第四个就是熊猫了,西班牙的,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大,金山好像现在就在防熊猫,监控好像不是,杀毒和升级都是防造熊猫的。
5、DR.WEB,也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。和卡巴基本是一样的,但引擎和技术不一样,是俄罗斯官方和军队的采用的产品,商业和个人大多是采用卡巴,分两个版本。只有一个对外,而且它的技术是俄罗斯国家科学院为后盾的。这个杀毒软件公司目标不是赚钱,纯粹为了技术,所以现在都没有中文版,它从来不把二进制病毒和不能发做的木马列入病毒库,所以在一些测试中名字不是很靠前,甚至很少参加测评,占用内存很少,差不多4兆。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。
6、趋势,日本控股的杀毒软件,趋势前几年很厉害的,特别是它的企业版,基本可以和咖啡抗衡,它的引擎是模仿诺顿的,理念也和诺顿一样。
7、Antivir。就是小红伞,小红伞的启发超强,病毒库号称有六十万特征码(卡巴是十三万,我很怀疑是我看错了)。antivir有几个系列,分别为:w(workstation)版、p(premium)版和c(classic)版,其中c版是免费的。现在我们学校ftp上的是c版的,但杀毒能力和监控能力是绝对不打折扣的。antivir还没有中文版,并且高启发也会带来误报的增加,所以在此提醒各位同学在使用过程中也要合理分辨,不要误删。内存扫描和杀毒扫描分开。
8、NOD32。国外很权威的防病毒软件评测给了NOD32很高的分数。在全球共获得超过40多个奖项,包括Virus Bulletin, PC Magazine, ICSA认证, Checkmark认证等, 更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首!产品线很长,从DOS,Windows 9x/Me,Windows NT/XP/2000,到Novell Netware Server、Linux、BSD等,都有提供。可以对邮件进行实时监测,占用内存资源较少,清除病毒的速度效果都令人满意。说实话,在我的使用过程中,发现nod32和传言中的一样,对国产的木马比较免疫,如果使用,最好配上一个专门杀木马的,比如avg。nod32不带防火墙,推荐使用outpost,这是官方的配置。nod杀毒很快,我60g(大部分是程序)的硬盘深度分析全盘只需20分钟,比起卡巴全盘杀一次要一个多小时接近两个小时的速度快上好多。而且其超强的启发使得其对于一半以上的未知病毒都有查杀能力,说白一点,就是不升级也能对付一半以上病毒,这对于卡巴这种靠病毒库不升级等于瞎子的升级狂来说,nod确实很飘逸,也因此一度被认为是“毒林神汉”,“启发之王”。然而国产木马查杀能力的缺陷却始终是其为人诟病之处,对付国内的木马,很差劲,很多杀不出来
9、F-Secure。F-Secure的杀毒软件是多引擎的,故乡芬兰,集成了AVP,LIBRA,ORION,DRACO四套杀毒引擎。基本是走的卡巴的路线,加上自己的引擎。这个F-Secure我还是很推荐的,但你装上它就会发现它有N个进程,很占内存。前一段时间在VB100中超过了卡巴,你运行一下就知道什么叫多引擎杀毒了。
10、BitDefender ,来自罗马尼亚的老牌杀毒软件,48万超大病毒库(我记得有说二十万的), 个人没用过。
[/size] 呵呵,确实会有所启发,但是估计对大多数人来说还是过于专业了,何况,其实有时候我们并不关心太深层次的东西,只要管用,不管其他 [s:361] 确实挺老的文章了,而且挺可笑的是拿家用的诺顿代表赛门的实力.
SAV和NAV的差别不只一点两点~
不是说病毒制造者认可卡巴,是指他们有时会故意利用AVP的缺陷来让它误报并以此为荣. 以前有不少文件都是只有卡巴报,样本发到MC或者PCC都说无毒的情况.
还有, NAI和Mcafee还是有区别的吧,虽然现在是MC了... [quote][b]引用第2楼[i]viciv[/i]于[i]2006-12-08 15:06[/i]发表的[/b]:
确实挺老的文章了,而且挺可笑的是拿家用的诺顿代表赛门的实力.
SAV和NAV的差别不只一点两点~
[/quote]
[quote][b]引用第2楼[i]viciv[/i]于[i]2006-12-08 15:06[/i]发表的[/b]:
还有, NAI和Mcafee还是有区别的吧,虽然现在是MC了...
[/quote]
这倒没什么,企业版与个人版引擎基本是一样的,做的是引擎的比较,不是杀毒能力。原作者也承认企业版是比个人版强点。
原帖也没说Network Associates Inc(NAI)等同于mcafee。
原帖在word里有十几页呢,我怕太大太长没人看,所以精简了好多。不过从回帖数量的角度来看,也没什么效果。 企业版与个人版引擎基本是一样的
您开玩笑呢? [quote][b]引用第4楼[i]viciv[/i]于[i]2006-12-08 22:36[/i]发表的[/b]:
企业版与个人版引擎基本是一样的
您开玩笑呢?[/quote]
没开玩笑,每家能研发一个自己的并且优秀的引擎就已经是很不错了。如果那么好研究,那干嘛驱逐舰、金山要求向dr.web购买引擎技术?您说对吧?
不只是诺顿的企业版和个人版的引擎技术基本一样,咖啡的也是如此,比如说8.0i和10.0,目前最新的都采用5100引擎。
以前曾一度有世界上只有五个杀毒引擎其他都是仿制的谣传,当然这明显是不对的,但其实也反应了引擎研制的难度。 我就知道有人会说咖啡~呵呵
如果你和MC香港组有交流的话你就会知道, MC并没鼓励个人用户去用5100, 4400已经很稳定. 5K有很大不同,并且在前摄等等方面不太稳定. 你可以去找Mcafee的steve xu.
记得我01年刚到金山安全区的时候就看过类似的帖子了, 现在只能一笑而过~
P.s 毒霸早已不用dr.web的引擎了,自己搞了一个, 虽然据说借鉴了Dw不少好东西(金山姚凯语). ICQ上问过卡巴斯基的Igor,问他江民的事, 他也只是笑而不答...我所有的卡巴也只是试用key,用完就找他再拿而已. 呵呵,viciv应该是位校友吧?果然是高手,先学习了。
其实我也不是跟你争论什么,只不过是举例来说明一下,并没有什么过激的意思。
我个人现在用的是咖啡8.5i,当然也算是有点跟风,但其实软件都是这样的,只有用的人多了才会发展,不是吗?呵呵,5100至少有技术上的升级,如果一直没有人用,那mc开发他干啥?又何必在新产品(个人版)中应用?稳定如何也是要不断发展的,8.0出了两三年patch就有了14个,8.5又何尝不会呢?我个人比较喜欢8.5,因为防护更全面,呵呵,虽然前段时间8.5刚出时就有撤回的情况。
关于金山的事我也道听途说那么一点,我也没有说现在金山用的是dr.web的引擎,嗯,您再看看我的回帖应该能发现我说的是购买。金山几年前由于没有得到dr.web的续约,所以中途出了个双引擎计划,其中一个是自己搞的,至于现在是双引擎还是单引擎就不得而知了,据说现在续约还在和dr.web谈判。这也是旧话,不提也罢。当然我也是道听途说,可能有偏差,最近在一些杀毒软件坛子里泡的比较旧,也感慨法大电脑病毒多,才想发这么个帖子,希望能带来些启发,如果误导了别人,还恳请见谅。当然讨论到这,呵呵,话题有点偏了。
对了,关于viciv说自己只用卡巴试用key的情况,我本人对这点比较佩服,因为我帮别人装卡巴时都是直接用盗版的key,却没有想过版权的问题,现在用的mafee也是一样。 [s:289]
[color=skyblue]
嗯,刚刚搜了一下viciv的帖子,对您的状况比较感兴趣,您是本科直接去的国外吗?[/color] 嗯~ 关于MC的Patch, 针对杀毒软件的应该只有6个左右, 其余有关于EPO等等的, 记不得了. 不过您说的有道理啊. 个人版前摄等等都没有, 5k的启发式比4k强不少,个人感觉... 正式版没用, 只用beta了~
毒霸现在单引擎, 蓝芯, 刚问的金山珠海的姚凯.
尽量少用盗版软件把, 中文版系统可以用360safe送的卡巴, 英文版系统可以 Active Virus Shield,或者NOD32试用key. 卡巴也不完美, 莫名其妙的和其它软件冲突,比如我的outpost beta. office03学校送的, 07的话到powertogether刚申请,应该一个月之后vista enterprise+office 07 pro就能到了.
您也客气了~ 我以前听关注杀毒软件的, 12km,金山等等认识了不少挺牛的人, 现在都没啥联系了.... 给卡巴上报样本过百,也侥幸拿到几套毒霸瑞星(那时候金山还是李铁军呢,现在全变成姚凯发奖了). 喜欢AVP是因为它的老大尤金卡巴斯基也会亲自分析样本还给我回过不少信,不像某些国产厂商, 三四年不干正经事就知道打嘴仗... 都好早的事情了.
觉得确实受益匪浅, 起码裸奔也不会中毒了 :)
嗯,我在明尼苏达. 法大一年级. 实际情况是:
现在的卡巴6.0资源占用情况比瑞星不知要好多少倍!
不要总是被以前的观念误导 [quote][b]引用第9楼[i]不乖小王子[/i]于[i]2006-12-10 16:41[/i]发表的[/b]:
实际情况是:
现在的卡巴6.0资源占用情况比瑞星不知要好多少倍!
不要总是被以前的观念误导[/quote]
和本帖有联系吗?没说卡巴占资源什么的 实际情况是, KAV6 比 avp4.5内存占用多多了, 就更不用提3.5
谁拿瑞星当回事.... 其实我发这个帖的目的是为了告诉大家,杀毒软件不是只有卡巴一家,其他好的也是还有很多的,不要只盯着一家看。
目前有很多病毒都是对卡巴作免杀,如果我们都是用同一种杀毒软件,这其实是很不好的,一个人中了就会连累一大片。而且,从盗版的角度将,容易造成key的被封(呵呵,用盗版当然也是坏事)。
我丝毫没有诋毁卡巴的意思,我很赞同原帖作者说的“卡巴和诺顿、咖啡一样,都站在杀毒软件的最高水平线上。”
至于瑞星、金山,和这些知名厂商相比确实还有很多不足,不过这正是他们要改进的地方。瑞星参加今年的vb100%的测试,好像排在的三十位还是多少,超过了微软自己的杀毒软件那,可喜可贺。国产技术含量最高的应该是江民,呵呵,但也都得继续改进。话说回来,国产杀毒软件对付国产病毒和木马还是很有效的,所以我也不是要我们的同学都换,各有千秋嘛。
另一方面,杀毒软件的使用还是和个人习惯、喜好有关的。不同杀毒软件其功能侧重点也是不一样的,比如卡巴杀毒能力很强,但防毒能力却一般,有时候中毒了发现不了,等病毒库更新后再杀恐怕就鞭长莫及了;又如咖啡,但杀毒能力一般,防御力强,用的好,可以不中毒,但是有因为杀毒能力不强,有时不小心运行了病毒,那么就不行了;而诺顿,即使带毒运行还能保证系统非常稳定,当然,你的机子可能满是病毒。所以各个杀毒软件都各有特点,看个人喜好。 对了,说道资源占用,这里有个误区。
占cpu和占内存是不一样的,卡巴占用内存不多,但是还是有人说卡巴斯基是卡吧死机,因为卡巴占cpu比较厉害。
而像诺顿咖啡之类的,占用内存很多,占cpu却还过得去,所以跑起来速度不快但不卡,很流畅。
当然也不是说占内存就比占cpu好,cpu够好而内存不够和cpu一般内存够大两种情况选择应该是不一样的。 顶!!!!!!!!!!!!!!!!!!!!!!!!! 主要是人不会用,不是软件不够强. 裸奔也照样可以不中病毒.
卡巴在监控里排除压缩包等等不可执行文件, 看看还占CPU不占~~
windows onecare那微软都不好好干, 买的罗马尼亚的GeCAD而已. 而且作为Windows Live OneCare Perpetual Beta组的成员, 我拿到新版除了UI变化也没觉得有什么值得骄傲的地方, 我们那么多人反馈要他取消30天定期clean-up,防火墙增加白名单黑名单它就是不加上...所以Onecare是可以忽略调的..反正1.5我是看不到希望
p.s. 瑞星并没通过VB100%.. 西海岸那个给钱就能过,连毒霸都过了~~ 无良厂商除了会tm欺骗善良的国民,还能干什么? AV-test那个古老的化石包, 过了也没什么可骄傲的.
NOD32这么好的杀毒软件在国内没火起来,真不知道是NOD32的幸或不幸 [quote][b]引用第15楼[i]viciv[/i]于[i]2006-12-12 02:34[/i]发表的[/b]:
防火墙增加白名单黑名单它就是不加上...所以Onecare是可以忽略调的..反正1.5我是看不到希望
p.s. 瑞星并没通过VB100%.. 西海岸那个给钱就能过,连毒霸都过了~~ 无良厂商除了会tm欺骗善良的国民,还能干什么? AV-test那个古老的化石包, 过了也没什么可骄傲的.
NOD32这么好的杀毒软件在国内没火起来,真不知道是NOD32的幸或不幸[/quote]
哦,呵呵,那我记错了,不是vb100%。
其实nod32现在在中国用的人还是不少的,因为试用id的关系,这在一些坛子里的投票统计中可以看出来,当然这些人都是好歹比较了解电脑软件的。所以说,在稍微玩过些软件的人中,比如我这样的,对于软件的选择都还是有点判断力的。
而瑞星金山之类的之所以能在国内市场占有率上遥遥领先,除了对付国产病毒木马比较有效的优点外,更主要的是宣传做的比较好。好的宣传再加上个漂亮的外观就能让人觉得软件本身功能强大,很多刚入门的人因此就选择了瑞星、金山。
Nod32对付病毒其实是很不错的,很多人说bitdefender好,因为今年排了个第一,但其实这个测试除了杀毒能力之外还有另一项,一项很少人看到的在同一个网页下方的启发式杀毒测试,那个排名第一的就是是nod32。对付未知病毒的能力才能真正体现杀毒的实力,病毒库是亡羊补牢的做法,所以启发是以后杀毒软件发展的方向。
另外,采行为判断手段的杀毒软件其实也很有发展潜力,国产的如微点,外国的如cyberhawk,当然这目前都不是主流。 瑞星比KB更占资源?????? 不知道这个光华为什么敢卖188元
15分钟查杀160G硬盘?
[url]http://www.viruschina.com/admin/dinggou.asp[/url] 偶用瑞星怎么从未中过毒??? 和使用的人有关系,呵呵。
说的是杀毒能力,不是用的人有没有中病毒 以本人亲身经历作证:在学校接种过来一个病毒,3分钟搞废正版诺顿,破坏其组件,于是在电脑黑屏前换成了卡巴6,立马解决问题。
没别的好说了。 [s:361] [s:361] [s:361] 楼上的,其实诺顿很强的,不能这样说的。
页:
[1]