赤裸裸的比较贴，但是我希望可以是技术上的

小丑鱼ZZW

    用诺顿已有一个多月了，现在的我很反感组合（总感觉哪天或者说驱动冲突，即便功能上完全没有冲突），只喜欢套装要么就单奔。以前的搭配时讲究一个原理：高查杀+主防（或者HIPS）+沙盘+防火墙。这是我眼中的完美！
先来说说卡巴，也许有些人会问我有什么资格评论卡巴？不好意思，我大概用过两年，以前为卡巴官方做过一些事情，而且大概在一年前，卡巴区某前版主找过我，有点想让我当版主的意思。（如若不信，我可以找给你看）只可惜魅力-3，呵呵，结果...当年年轻气盛，国内区水又深，现在想想，不当也罢。
    PS：版区可能有规定，不能比较，但是如果没有对比就看不出各自的特色，我觉得有比较才能更好的体现，所以请允许我将我的观点充分表达。也希望帮助更多还在纠结的人做出正确的判断。
    首先，当然拿我曾经最喜欢的卡巴“开刀”，如第一段所述，那个搭配原理，卡巴完全符合。
    一：论查杀应该没人质疑卡巴吧，世界最著名的引擎之一（“在杀毒软件的历史上，有这样一个世界纪录：让一个杀毒软件的扫描引擎在不使用病毒特征库的情况下，扫描一个包含当时已有的所有病毒的样本库。结果是，仅仅靠“启发式扫描”技术，该引擎创造了95%检出率的纪录。这个纪录，是由AVP创造的。”——摘自百度百科http://baike.baidu.com/view/7755.htm）、脱壳能力外加启发、外加那个能在世界上数一数二的病毒库。
    二：主防+应用程序控制 以下是卡巴斯基2009的流程
1，进行病毒库、DNA库、不正常的混合壳和可疑程序核对，没有则进行2
2，扫描启发分析，虚拟机在这里进行启发分析，具体可以见到的报法为Heur.Downloader等，没有则进行3
3，扫描启发+扫描DNA启发分析，具体报法为Heur.Trojan.Generic、 Heur.Virus.Generic等，没有则进行4（1），4（2）

注：以下步骤按照自动模式下的智能HIPS（4d）分析
4（1）、核对白名单和数字签名，没有则进行5（1）
5（1）、自动分组（沙盘运行），并根据初步判断的danger index进行分析，使本体获得相应组别的权限。
6（1）、有些病毒会释放衍生物，此时，每生成一个衍生物并激发运行，都会重复前几个步骤。这里有可能会随着衍生物的行为，使本体病毒的组别发生变化，例如从低受限---->高受限
7（1）、生成的衍生物有些是可以通过1、2、3进行拦截的或者嵌入驱动等等。而有些则被过，此时进入动态行为启发分析，即与行为库中的某些病毒行为进行核对，详见的报法Behavior Similar Trojan xxxx
8（1）、如果没有则会进行整体的最后核对以及评估，包括云安全机理都会在这里进行分析。

我来说说我的理解，先是主防，在主防的设置里，你会看到很多危险操作的提示，具体好像都是些内核的东西，以及加驱之类的。以前论坛有单单用卡巴主防和微点做过测试比较，实力难分伯仲。但是我的感觉是，卡巴主防可能误报比较大，因此成绩才会和微点差不多。另外卡巴的主防是根据危险的操作而言的，并不直接提示是否是毒。而且至少在我用的一段时间里，卡巴仅仅只报金山卫士加驱之类的，我记得我也运行过不少样本区的毒，当然不是单单测试卡巴主防的，也许没有触发卡巴规则，也许被应用程序控制移入到高限制或者是没有动作的样本。接着是应用程序控制，卡巴斯基的这个其实就是HIPS，自动模式下很智能（但是我认为自动模式基本上没什么用），如果是默认设置，基本上有数字签名的，符合卡巴那边规则的就直接信任，无任何功能上限制，如果有小问题的，会被移入低限制组，问题再大一点的，就高限制了（在此组下，我记得程序基本上是无法运行的，所有权限都被被限制死了）这里就有一个问题了，看过卡巴斯基低限制组的都会看到一个黄色的问号，意思是如果它执行某项，卡巴会询问用户是否允许的意思。但自动模式下低限制组里的程序，卡巴从来都不会询问，看到这里你是否明白了些什么？这一点在前两天看卡巴一族的“蚊子”的回复，得到了印证。那么是不是说开交互模式就没问题了呢？也不见得。如果有用过手动HIPS的都知道，那叫一个烦。卡巴也是如此，而且卡巴的一大败笔就是无法记住！因为当使用交互模式时，在信任组的程序还好，不会有任何提示（除非自己改过规则），其它就悲剧了。比如低限制组内某一程序要调用浏览器，此时卡巴提示，卡巴给你选项是允许、阻止、信任改程序、拦截并设为不信任，如果我希望这个程序可以调用浏览器以后不再提醒我，但是如果调用其它的必须询问我或者不允许调用其它的这就比较困难了，卡巴属于一棍子打死的类型的，要么每次询问，要么你信任他。由于我不怎么会玩HIPS且实在受不了这弹窗，因此卡巴的主防+应用程序不适合我。


     三 ：沙盘，沙盘一直是我很喜欢的一个软件，无论是上网还是防U毒，那叫一个牛，反正用了3年，从未穿沙。很多人就是拿沙盘来测试病毒的，所以其能力不容置疑。卡巴的安全桌面和安全浏览器就是用的sandboxie的OEM，只是我用SB顺手了，卡巴的那个只支持IE，也不怎么了解，所以...


     四 ：防火墙。在那个著名的反泄漏测试中卡巴的防火墙算是一流的了，作为一个不是专做防火墙的厂商，已经很不错了，而且卡巴防火墙也能隐身（默认不开启隐身）。其它了解不多，就不多做说明了。

     五：特色及建议：卡巴斯基的本土化应该是我见过最好的之一，更新病毒库都很及时，对于一些BUG修复得也很快，自保强，外加KSN（卡巴斯基的云）。整体来说相当不错，2012在资源上的改进也不小，只是我还是感觉占用到，这点看下虚拟内存或者CPU就知道了。对于卡巴的主防那块来说，我觉得卡巴不适合一些小白，因为自动模式下，卡巴比较弱，对于交互模式，即便是一些老鸟有时候也可能无所适从。我的建议是，如果想用卡巴，那么先去了解下HIPS的东西。在使用新软件时，先将卡巴调制自动模式，让卡巴先来设置规则，之后再开至交互模式，当然自己也可以适当进行修改一什么允许，什么询问，什么阻止，这样比较好。




    接下来是诺顿，由于接触的时间不长，请恕我肤浅的认识。还是老规矩，和第一段的组合比较，很明显，诺顿缺了沙盘，查杀还行。那么重头戏就是SONAR了，和卡巴的不同，SONAR的智能让我非常满意，无需用户参与。网上查了下资料：
    SONAR是一种行为侦测的技术，其可以在建立病毒定义档及间谍软体侦测定义档前，阻止恶意程式码侵入。这些新兴且未知的恶意程式码会透过木马程式、蠕虫、大众邮件病毒、间谍软体或者下载软体病毒的形式进行攻击与破坏。当许多产品仅使用一组有限的启发式法则时，SONAR可以透过广泛且异质的应用行为数据，大幅提升其防护能力，且明显地将误判率降至最低。对消费者而言，将可以不需透过繁琐的确认提示，即能达到零时差的防护效果。SONAR技术不需受到用户既有的经验限制，以及额外的系统资源，就可以保护消费者免除新兴威胁的影响。因此，当客户使用SONAR进行防护时，不需要客户进行交互作用。
   另外诺顿还有漏洞防护技术，我所了解到的一个是对浏览器的防护（这点我感觉我有沙盘了，所以用处不大），其次就是对于一些应用软件所出现的漏洞，在未更新修复之前，诺顿可以对此做出防御...额额额，写到这儿我也有点乱了，感觉对于诺顿的了解还真只是处于皮毛，希望楼下的各位能够给予我补充，能让我充实这个贴子，让更多的人了解诺顿，了解卡巴。

    特色及建议：诺顿的特色应该就是全面的防御和脉动更新了，及时更新又不影响网速，作为重武器中的一员，诺顿的资源控制非常好，很流畅，且扫描过后立马释放资源。另外诺顿也有和卡巴一样的云信誉。至于建议嘛，能不能把空闲扫描去掉啊，太鸡肋了，当年卡巴斯基2010也是这样不能关闭rookit扫描搞得怨声载道。还有就是误杀有点高，这可能和本土化有关，有心给老爸装，但是一直担心怕哪天误杀了炒股软件，他又什么都不懂，也不会判断误报，最后我基本上就不能再和各位聊天了。


总结：卡巴和诺顿实在难分高下，且撇开查杀、防火墙之类差不多的东西，单就主防而言是最好比较的了，因为一个智能一个手动，看完此篇你是否心里有了更进一步的了解和认识了呢？


卡巴的东西写得不是很全，由于本人的技术以及篇幅的关系，就说些重点的。如果文中有不妥或者需要补充的，请在楼下回复，千万别口水啊，我好不容易写完的。希望帮助那些还在纠结卡巴和诺顿的孩子。 最后还是那句：没有最好的杀软，只有最适合你的杀软！

eriol_sky

神贴留名，再就是建议两家能不能出下原生64位的。

wanglei7865

从智能来说还是用诺顿更省心

wjcharles

学习了很多卡巴的知识，家里一台笔记本在用确实不错，想问一下PDM是属于哪个步骤的？

诺顿有官方技术介绍
http://bbs.kafan.cn/thread-1215671-1-1.html
上面这个翻译的已经很详细了，更详细的见英文版
http://www.symantec.com/theme.jsp?themeid=star&tabID=4

另外SONAR自带沙箱，但全自动处理，对用户透明，上面介绍中有提到

h8888

     我不习惯长篇大论，就直奔主题吧。就比较一下自己所了解的部分——卡巴的墙和SEP的墙：如果是在默认设置下比较，那么，两者都很智能，安全性就相差不远，都是一般般的，不过不失；如果是在自定义设置下比较，那么，卡巴墙的可折腾的地方不多，安全性提升的空间有限，而SEP墙就不同了，可以好好的折腾，甚至可以把官方原有的规则全部推倒，重写上自己喜欢的规则，安全性提升的空间极大。

粉色回忆

很好，一目了然

伊始爱艳

写的可以。受教了

Kevin_Memo

谁告诉你诺顿没有沙盘的？

hack528

测评不全面

guobao13

首先说一下，卡巴现在的启发貌似并不强，不知道百度百科里面那个没有病毒库的情况下查杀率很高的结论从何而来，而且很多病毒都对卡巴进行了免杀处理，而且为了减少占用卡巴已经弱化了很多部分，应用程序经常抽风，时不时的规则就乱了。总之，卡巴现在要做的就是减少bug，在不影响查杀的情况下尽量减少占用