主动防御

主动防御已成为和查杀毒相并列的主要核心功能，所包含的项目较多，在网页木马通过最近一段时间，其发挥巨大的作用，现已成为许多安全产品供应商争相宣传的一个热点。

经过测试，在网页防木马墙方面，江民KV2008的“新网页监视”独具特色，但由于其界面设计问题，设置起来很不方便；而金山毒霸以“互联网可信认证”作为08版的一大技术亮点，即利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序。在恶意程序攻击主动防御方面，金山毒霸的另一亮点功能“恶意行为拦截”，对系统中的恶意行为主动进行拦截，并且智能判断是否自动处理恶意行为，表现颇为出彩；瑞星2008则通过动态监视系统中活动进程的动作，根据预制的启发引擎规则，检测可能存在的包含恶意代码的程序。在主动防御方面，卡巴斯基虽以防御著称，但起表现似乎更倾向于对那些可能或即将发生的破坏行为进行防范，力求将所有的威胁扼杀在萌芽阶段，于是却不支持系统漏洞检测等功能。另外在测试过程中，我们发现金山毒霸2008一项功能——网页防挂马技术，传统的网页监控是通过对网页脚本的分析，并通过已有木马特征来进行发现威胁且拦截，但网页防挂马不用分析脚本，而是直接发现通过网页漏洞侵入的木马，反应速度更敏捷，更重要的是网页防挂马脱离木马特征库的限制，不管是已知或未知的木马程序，都可以抵御。

经检测，有安全检测的软件为：瑞星、诺顿、金山毒霸，将三者相对比：

瑞星的系统安全检测：对系统漏洞、软件自身情况进行判断；诺顿的系统安全检测：简单判断自身监控是否开启；金山毒霸2008的系统安全检测：同时对系统漏洞、软件自身情况、网络防火墙进行检测，值得一提的是，它结合清理专家对系统的检测结果，使其对系统的安全情况做出更准确的判断。

主动防御功能测试结果如下所示：

对恶意文件的拦截查杀情况

对于恶意文件的处理往往需要及时、准确并且明确的拦截、提示和清除。在此测试中笔者在系统中模拟下载威胁和释放威胁的恶意行为，检测五款杀软件的在对待这些恶意行为时有何不同表现，结果如下：

模拟下载威胁的恶意行为的测试：

卡巴斯基 7.0

卡巴斯基的文件监控能比较准确的发现正在下载的威胁，并且提示用户是否删除。而且卡巴也会将正在下载威胁的恶意行为文件拦截后弹出提示气泡：有恶意的HTTP对象；检测到木马。但这样的显示信息不全，让人费解。对于看不懂的用户来说，这个气泡弹出并没有什么意义。（图8）

诺顿 2008

对于下载到的威胁，诺顿2008只提示用户自动防护禁止了安全风险，对下载威胁的恶意行为文件全然不知。（图9）

金山毒霸2008

金山毒霸文件实时防毒准确拦截连续下载的威胁，并将正在下载威胁的flashget.exe发送至金山可信认证系统进行识别认证，之后返回并发现falshget.exe为正常文件，给出气泡提示用户；如果发现是未知的，会根据威胁的程度给出不同的处理方式。（图10）

瑞星 2008

在falshget下载威胁时，瑞星并没有发现和拦截。在威胁下载完后进入存放病毒目录下，直到对威胁文件进行操作，瑞星的文件监控才能检测到威胁。（图11）

KV2008

江民 KV2008在falshget下载威胁时并没有被发现和拦截，与瑞星同样要等威胁下载完后进入其存放目录下，对威胁进行操作才能监控检测到病毒。（图12）

模拟释放威胁的恶意行为的测试：

卡巴斯基 7.0

在释放威胁时，卡巴斯基发现释放的威胁并将其拦截（如图），但是并没有发现产生释放威胁行为的恶意文件。（图13）

诺顿 2008

诺顿拦截住了释放出来的威胁（如下图），但是同样的，并没有发现释放威胁的恶意文件。（图14）

金山毒霸2008

金山毒霸文件实时防毒准确拦截释放的威胁，并将释放病毒的程序WinRar.exe发送至金山可信认证系统进行识别认证，后返回并发现WinRar.exe为正常文件，给出气泡提示用户(如下图)。如果发现是未知的，会根据威胁的程度给出不同的处理方式。（图15）

瑞星 2008

在释放威胁时，瑞星并没有发现和拦截，只有对威胁进行操作时，瑞星才能文件监控才能检测到病毒。此时的恶意行为检测也并没有检测到释放威胁的恶意文件，此功能形同虚设。笔者特意将设置中系统加固设置的系统目录勾选上，再进行模拟释放威胁到系统目录的测试，此时才发现瑞星的主动防御拦截住释放威胁的WinRar，但需要用户自己识别这个程序是否可信及让用户手动加入白名单，这样的处理方式需要用户比较了解软件，对不太了解软件的用户，这个功能只能起到监控的作用，并不能起到主动防御的作用。（图16）

KV2008

江民 KV2008在发现并拦截释放的威胁，但是并没有发现释放威胁的恶意行为文件。（图17）

小结：在测试中，无液是利用falshget.exe下载威胁或是利用WinRar.exe释放威胁，在所有设置都保持默认的情况下，金山毒霸 2008都拦截住这两种情况的恶意行为文件，并且对其进行可信认证的校验及相应处理，其他四款杀软中，卡巴斯基7.0对下载威胁的恶意行为能识别到，但没有任何的处理，只是将拦截到的结果报告给用户，而其他三款杀软都没有识别到释放威胁的宿主文件。而对于瑞星的主动防御系统目录，虽然有拦截到WinRar正在释放威胁，但它对恶意行为文件的处理方式也不如金山毒霸2008,在这方面笔者认为金山毒霸2008的恶意行为拦截比其他四款杀软是略胜一筹的，时下这个功能够不够强大一定程序上决定了一款杀毒软件对未知病毒的防御能力。

综述

1．瑞星 2008

瑞星 2008版本中，其基本功能以及防护能力都有一些有益的改善，比如动态监视系统等，但其界面设计和系统资源占用上仍有许多需要改进的地方。

推荐指数：★★★

2．金山毒霸 2008

从新版本的金山毒霸可以看出金山公司这一年的努力程度，无论从界面、还是查杀能力、或者功能和防御力上都有不俗的表现，新增的抢杀技术、恶意行为拦截、金山可信认证三大技术使其防杀毒能力上又上一层台阶。

推荐指数：★★★★

3．江民 KV2008

江民系列老牌杀毒软件，依旧保持其传统成分，新改进力度不够，要成为真正受用户欢迎的优秀安全软件，江民仍有很长的路要走。

推荐指数：★★

4．卡巴斯基 7.0

卡巴作为绝对大牌的安全软件，其强劲的病毒查杀能力从不值得大家怀疑，新版本拥有了更人性化界面，只是希望其过于严密彪悍的查杀功能可以稍微放过一些大家的爱软吧。

推荐指数：★★★

5．诺顿 2008

新版本的诺顿依旧是值得大家所信任和喜爱的，不管在其功能、防护能力上，还是在其界面上。如果诺顿能把它的门槛降一降，稍稍符合中国国情，咱也对这外来郎真正感激涕零了。

推荐指数：★★★★