剛現網銀安全危機、又出電信斷網事件，無孔不入的病毒、木馬趁火打劫，變本加厲，時刻都想“牛”一把。殺毒軟件更是你方唱罷我登場，技術更新加營銷創新，使出渾身解數爭奪市場。殺毒軟件誰更牛?信息安全市場將如何發展?一番PK之后，我們定有感悟。

2009年注定是不平凡的一年，經濟保增長，產業圖振興。不容樂觀的經濟形勢映襯出信息安全的縷縷寒意。剛現網銀安全危機、又出電信斷網事件，無孔不入的病毒、木馬趁火打劫，變本加厲，時刻都想“牛”一把。殺毒軟件更是你方唱罷我登場，技術更新加營銷創新，使出渾身解數爭奪市場。殺毒軟件誰更牛?信息安全市場將如何發展?一番PK之后，我們定有感悟。

參測的十款殺毒軟件為：諾頓游戲版、EsetSmartSecurity4.0.314(NOD32)、卡巴斯基三年版、Mcafee2009、趨勢網絡安全專家2009、Avast!pro4.8、Dr.web大蜘蛛反病毒5.0、瑞星2009、金山2009、江民2009，分別代表了國際和國內頂尖水平。我們從界面和易用性、病毒包查殺、掃描速度、實時監控、資源占用、自我保護、主動防御等方面進行PK。測試平臺為：

CPUPentiumT2130

內存2GB

硬盤日立160GBSATA

操作系統WinXPSP3

網絡環境ADSL8Mbps

為了貼近日常應用，測試平臺安裝了驅動、Office、常用軟件和網絡工具。測試完一款殺毒軟件后，用Ghost復原系統再測試另一款，避免相互干擾和影響，使結果更客觀。

(一)界面和易用性金山和趨勢更勝一籌

清晰明了的界面和友好的人機交互可以增加用戶親和力，也是殺毒軟件帶給用戶的第一印象。總體來看，除Avast!pro4.8外，國外殺毒軟件的界面設計風格趨向沉穩、規范、內斂;國內三強的界面風格更明快、活潑、時尚。其中，金山和趨勢的功能布局更合理、易用性更強。

圖注: 金山2009主界面清晰、直觀，符合國人的胃口

圖注：趨勢網絡安全專家2009的主界面設計人性，易于上手

金山2009和趨勢網絡安全專家2009的界面清晰明了，各主要功能入口明確，很容易上手。相比之下，Eset Smart Security 4.0.314(NOD32)的界面(如圖所示)布局欠明晰，“高級設置”等功能比較隱蔽，不易查找。

圖注：Eset Smart Security界面設計十分簡潔，但不易于操控

諾頓和卡巴斯基的界面內斂而規范，看上去很專業。Mcafee 2009的界面相對比較中性，主界面設計符合簡潔、易用的理念，但層次結構略顯繁復，各層次之間的邏輯結構和歸屬關系仍不醒目，對初次接觸的新用戶，尚需摸索。Avast!pro 4.8的界面更像一款精致的播放器，支持界面模式的切換和換膚。Dr.web大蜘蛛反病毒5.0的界面則非常樸素、簡單。

圖注：Avast!pro 4.8大膽地將自己偽裝成一個媒體播放器

總體來說，國內三強的界面設計和易用性整體上要好于國外產品，更具親和力，這顯然受益于其開發者對國人使用習慣的了解。

多年的技術積淀和市場洗禮使主流殺毒軟件都擁有了自成體系的病毒查殺機制和日趨成熟的核心技術，遍布全球的病毒預警網絡和快速響應的反毒系統成為殺毒軟件應對新威脅的共性特征。因此，各主流殺毒軟件的病毒查殺能力理論上不應有懸殊的差距，只會有個體的、非實質性的差異。

本項測試使用的病毒包內含網頁木馬、蠕蟲病毒、盜號木馬等各類病毒3000多個，分別保存到3500多個文件夾中，然后將這些文件夾分別打包成Zip壓縮文件，再將所有壓縮包一起打包成一個Zip壓縮包。隨后用各款殺毒軟件生成的右鍵快捷殺毒方式掃描病毒包，測試結果如下表：

病毒包查殺測試結果

從上表可知，由于各殺毒軟件的計數方式和掃描細節上的區別，掃描文件的數量也有所不同。但ESS(NOD32)和趨勢 2009顯然是將壓縮包和內含文件視為同一文件對象而未分別計數。

從病毒識別數來看，江民2009表現最好。至于掃描速度，則是ESS(NOD32)出類拔萃，僅用7秒就識別出了3462個病毒，效率驚人，盡管略有囫圇吞棗之嫌。Avast!pro 4.8勇奪銀牌，江民和金山緊隨其后。相比之下，諾頓游戲版和瑞星2009有些力不從心，費時較長，它們似乎對多層嵌套壓縮包的處理，并不在行，當然，這對它們病毒的查殺準確度倒是絲毫不受影響。卡巴斯基、Dr.web大蜘蛛5.0和趨勢網絡安全專家2009的查殺效率接近，差距不大，處于中游。

Mcafee 2009在這里表現極其另類，它選擇一個超級取巧的方法，在連續查出了幾個病毒后，直接將病毒樣本包視為毒巢徹底隔離，從而超近道完成了任務。即使我們在掃描選項中開啟zip壓縮文檔查殺功能之后，它仍然在第一時間直搗毒巢，將整個病毒壓縮包完全封殺掉，以根除掉所有可能的安全隱患，這也在某種程度上體現了當前殺毒技術的優化趨勢，大幅提升掃描效率。

快速掃描和精準查殺是殺毒軟件優良品質和核心技術的重要體現。我們對每款殺毒軟件在同樣的環境下進行全盤掃描，以測試掃描速度，結果如下表所示：

全盤掃描速度對比表

從表中可知，各軟件的默認設置在文件計數方法和掃描細節上有明顯區別。諾頓游戲版的掃描速度可謂“風馳電掣”(當然它也是掃描文件數最少的)，實力毋庸置疑，充分體現了其全面優化的新一代殺毒引擎的優勢!卡巴斯基的表現也非常搶眼，有望改變“慢工出細活”的一貫形象。

ESS(NOD32)的表現中規中距。Avast!pro 4.8也有不錯表現。Mcafee 2009非常賣力，但由于核心引擎并未進行本質改進，因此感覺上還是有勁使不上。趨勢網絡安全專家2009的默認設置會掃描瀏覽器Cookie和系統漏洞，最高支持6層嵌套壓縮文檔，文件計數也比諾頓和ESS(NOD32)高出數倍。Dr.web大蜘蛛5.0在默認設置下耗時最長，期待改進。若啟用諾頓、卡巴等的“智能掃描”、“iSwift”和“iChecker”等技術，再次掃描時的速度會大為提升。在國內三強中，江民表現最好，瑞星速度最慢。

測試的各款殺毒軟件都具有實時監控功能。相比之下，卡巴斯基由“反惡意程序”、“系統安全”、“在線安全”、“內容過濾”組成的“4D”防御體系(如圖所示)使實時監控和系統保護、主動防御等功能高度融合、協同聯動，涵蓋了應用程序和文件監控、Web和郵件監測、即時通訊和流量監控、家長控制和設備控制等有關的軟、硬件資源和本地、遠程應用，監控全面而精細，反映出深厚的內功和嚴謹的設計理念。

圖注：KIS 2009的“4D”防御體系

Avast!pro 4.8的監控同樣強大，擁有防火墻、文件讀取、網頁防護、即時通訊、郵件收發、P2P軟件防護、腳本攔截等七大防護模塊和獨特的靜寂模式。ESS(NOD32)和諾頓游戲版支持文件操作、郵件收發、網頁瀏覽等常規監控。

Mcafee 2009在安裝了個人防火墻、反垃圾郵件、隱私保護等組件后，支持功能也非常完善，擁有了文件、郵件、Web、流量等眾多豐富的監控功能。趨勢網絡安全專家2009支持敏感文件和服務修改、Web欺詐、隱私數據防竊、郵件收發等監控。Dr.web大蜘蛛5.0自帶SpIDer Guard實時監控程序，提供“智能”和“其它”兩種監控模式(如圖所示)，支持文件、郵件和惡意程序等監控。

圖注：Dr.web大蜘蛛5.0的SpIDer Guard實時監控程序

在國內三強中，金山和江民的監控(如圖所示)較周全，支持文件、郵件、網頁、即時通訊、腳本(惡意行為)監控;而瑞星只有文件和郵件兩類監控，只是在賬號保險柜和嵌入式殺毒中支持QQ和MSN，其防火墻也主要防范漏洞攻擊和蠕蟲攻擊等，可見其監控功能有待加強。

圖注：江民KV2009的監控功能，比較完善

降低殺毒軟件的資源占用水平已成為廠商和用戶的共識，各廠商也在產品的研發和更新中不斷嘗試和突破。但由于殺毒軟件的核心引擎相對穩定，外延功能又不斷擴展，除非下大力氣徹底更新核心架構，否則難有實質性的突破。各殺毒軟件在監控和掃描時的實測平均CPU/內存占用水平如下表所示：

資源占用水平對比表

從表中可見，諾頓游戲版憑借NIS 2009版中300多項改進和60余項創新所帶來的脫胎換骨式的革新，在資源占用方面獨領風騷，笑傲群雄。這也證實了諾頓官方宣稱的“零資源占用”并非夸夸其談。而作為微軟曾“御用”5年、全球唯一54次通過VB100認證的ESS(NOD32)也同樣表現不俗。

Avast!pro 4.8也顯示出不凡實力。趨勢網絡安全專家2009和Dr.web大蜘蛛5.0也表現不錯。卡巴斯基2009和Mcafee 2009比以往版本也有了一定程度的改進，但還算不上“身輕如燕”，尚需進一步優化。國內三強中，金山表現最好，這可能與其起家時采用的引擎架構有關——從金山毒霸Ⅴ至2009，其資源占用水平總體優于瑞星和江民，這一優勢，至今未變。

病毒與反毒的斗爭早已白熱化，越來越多的病毒已由最初的躲避變為直接“殺掉”殺毒軟件。保護自身的安全對于殺毒軟件來說至關重要。我們通過任務管理器和IceSword 1.22兩種途徑來嘗試終止殺毒軟件的進程，以此測試其自我保護能力。需要說明的是，本項測試只是希望對新一代安全軟件的自我保護功能進行一次簡單的挑戰，以體驗一下其自我保護的功能設計，而不能完全代表其真正抵御病毒破壞的能力。

進程終止測試對比表

由進程終止測試對比表可知，10款殺毒軟件中自我防護能力最差的是趨勢網絡安全專家2009，用任務管理器即可輕松終止除TMBMSRV進程外的其余進程，致使趨勢2009失效，其次就是ESS(NOD32)，egui進程一旦被任務管理器終止，就會導致任務欄調用ESS異常。其它8款軟件都具有一定的自我保護能力，能有效對付一般的進程終止企圖，但在IceSword的“屠刀”下，表現各異。

諾頓游戲版、Avast!pro 4.8和金山毒霸2009毫無還手之力，立馬被斬;卡巴斯基在啟動IceSword時會提示其屬于“低限制組”程序，詢問是否放行。首次終止其雙進程AVP時未獲成功，但終究無法抵抗IceSword的凌厲攻勢，多次抗擊后“陣亡”; Mcafee 2009很有意思，在任務管理器中被終止后又自動加載，但被IceSword “斬殺”后就再也“無力回天”了;瑞星2009同樣在頑強抵抗后“犧牲”;只有江民2009和Dr.web大蜘蛛5.0固若金湯、堅不可摧，IceSword也無計可施，看來它們“刀槍不入”的“鐵布衫”果然名不虛傳!

主動防御技術使殺毒軟件變被動查殺為主動出擊，一改過去“事后諸葛亮”的形象。它通過總結病毒和木馬的編碼規則和活動特征，分析系統中各API接口之間的邏輯關系，在病毒庫中沒有特征碼的條件下力圖識別未知的病毒或惡意軟件。

各大殺毒軟件在識別未知病毒方面各有高招。諾頓采用了基于行為殺毒技術的實時SONAR主動防護，結合官方服務器來對文件和進程進行安全認證，所有“安全”的文件和進程會獲得“安全證書”，取得高信任級別，從而快速捕獲潛在的未知威脅。

卡巴斯基也通過官方服務器對全球用戶上傳的數據匯總分析，以此比對可疑文件和進程。ESS(NOD32)、Mcafee 2009、Avast!pro 4.8和Dr.web大蜘蛛5.0是啟發式殺毒技術的典型代表，尤其是ESS(NOD32)采用的ThreatSense引擎高級啟發式檢測技術，通過代碼分析、基因碼和動態虛擬機三種手段檢測各種變種和未知病毒;而Mcafee 2009新一代主動保護 (Active Protection)也能提供全面的即時檢測和即時保護功能。啟發式殺毒無疑是未來反病毒技術發展的重要趨勢，為我們提供了一種通用的、無需頻繁升級、先知先覺式的病毒檢測技術。

趨勢網絡安全專家2009則是采用OSP系統主動防御技術，實時檢測系統內核、注冊表、進程等15處項目，結合“云安全”網絡防護技術來防范可能的病毒和威脅。國內三強中，瑞星和金山是“云安全”技術的推崇者，通過官方服務器和龐大用戶群上傳的病毒庫來分析可疑文件和進程，同時提高殺毒軟件的響應速度和病毒處理能力。

江民則另辟蹊徑，將“虛擬機脫殼引擎(VUE)”技術、啟發式殺毒和“沙盒”技術結合起來，強調“云安全”防毒系統與未知病毒防殺技術的融合，致力于構建“從已知病毒的迅速響應到未知病毒的立體防殺”安全防范體系。