论杀毒软件的“杀毒”能力！

jpzy

为什么讨论“杀毒”能力呢？本来我想说“清毒”能力的。但是清毒容易被人认为是修复文件的能力。而我今天主要要探讨的是我们所用的杀软在已经中毒的情况下，杀掉病毒，让系统恢复正常的能力！

PS：本文中仅就安软的某些方面能力做讨论，并非对各个安软做比较。请fans们保持冷静。

先说说我遇到的一些情况。熟悉安软的人，相信都跟我一样，经常会遇到有朋友来求助，“快来帮我看看，我的系统中毒了……”。现在的很多毒都是下载者一类，中一个就是一大堆，赶上一个感染型的更糟糕了。并不是所有的情况都适合重装。怎么办呢？一般我遇到求助的，都首先想办法杀毒，杀掉毒以后如果系统还能正常使用，那么就不用重装了！

杀一窝毒不可能手动杀。肯定先找个杀软，清理差不多了，再上手动！这个时候就能看出杀软“杀毒”能力的高下了！（以下是个人经历，并非对某些安软进行评价，只是为了说明问题，请勿口水！）

做杀毒工作的杀软，必然要有较高的查杀率。所以我脑海里第一选择就是红伞。但是经过几次以后我失望的发现，红伞对于已经中毒的机器效果并不好。比如有dll插入了explorer或者其它系统进程，红伞能够发现，但是清除不掉。Free版的红伞没有自动处理，所以报警框接连不断。朋友经常会诧异，怎么中了这么多，杀都杀不完。但是仔细观察一下报警，反反复复都是那几个文件。

后来我尝试用微点。发现微点的效果很不错。安装好以后，只要微点能够正常启动工作（也有病毒屏蔽微点或者干扰微点的，另当别论），那么即使病毒插入了系统进程或者挂载的比较底层，微点也能提示重启杀掉。一般提示的病毒，重启了以后都能杀掉！

另外还有费尔。费尔我没有直接用做杀毒过。但是有几次有朋友在外地遇到病毒，就是我指示他们用费尔来杀毒。费尔比较好的地方就是能够恢复注册表。有些病毒利用修改注册表的方式来达到开机加载，屏蔽安软，加驱动等目的，费尔能够提示异常并且修复，修复后病毒的加载失效了，那么再次重启以后就能够顺利的杀掉。

卡巴怎么样呢？我以前遇到过卡巴反复重启也杀不掉一个dll的情况。不过貌似那个dll挂载到了Appinit_DLL上面。想干掉它殊为不易。一般的病毒卡巴重启以后应该是能够干掉的！

除了上述两个一般被我用来做应急杀毒的安软以外。我个人认为，Norton和Microsoft的安软的杀毒效果应该是最好的！这两个杀软是我用过的杀软里面我所知道的，有详细的清毒流程的安软。用过Norton的人应该都知道，在Norton提示病毒清除完成以后，点开历史记录，会看到一个病毒的详细信息。最近扫描样本包的时候我就很奇怪，明明我没有运行过某些样本，但是Norton扫描完以后提示要清除某些样本需要重启。打开历史记录就看到某样本，52个注册表项，4个服务，N个文件……。原因就是，当一个病毒样本被上报给Norton以后，Norton的工程师会根据样本的运行情况写一个清毒的流程，发现这个样本以后，Norton就会跑一遍这个流程，并且由于某些样本会加载到底层，所以Norton会提示重启清除！
Microsoft也是这样。昨天扫描某样本（样本本身没有运行）。扫描完成以后，MFCS提示我重启，并且我的机器无法打开网页了，但是已经登陆的QQ还在线。打开网络连接查看，发现DNS设置被清空了。应该是样本有修改DNS设置的动作，而MFCS的根据解毒流程进行清理，所以清空了我的DNS设置！

Norton和微软的安软发现样本以后的清理过程相当长，公认的杀毒很慢。但是慢是有它的原因的！就是他们在进行清毒流程！这种方式的缺点也比较明显，就是无论中毒与否，都要跑一遍清毒程序，耗时很久，同时，可能带来不可预知的后果（比如我遇到的DNS被清空的问题）。

总结一下。上述的分析只是浅薄的分析。我觉得，想要具备较强的“杀毒”能力，那么首先这个安软要工作在系统的底层，具备在底层拦截，终止和清除病毒的能力。其次，要有较早的启动加载能力。能够在病毒启动加载前完成加载，才能够做到重启干掉病毒。当然，如果像Norton和Microsoft那样，具有详细的解毒流程，那就更完美了。因为那不仅仅是清除了病毒，还能够恢复系统的正常。

因为其它安软的使用时间不算长，所以大家可以跟帖说说看，都有哪些安软具备很好的“杀毒”能力！

sjsj861023

很少见到杀软能直接修复的...诺顿算算一个...微软的还没用过...

点点风铃

杀完毒能动就行了；要求不高；

Atlantis祭司

前排支持JP的JP文章！

对于杀软的杀毒能力没JP研究得这么深。只知道很少有杀软能像Norton这样细到从注册表项清理病毒对计算机造成的危害，Norton这点我很喜欢。

PS: 另附一张Norton对某个风险的详细信息的图，证明下JP的观点是正确的。也希望能够对大家的讨论有所帮助。



PS2: 被JP说得好想用用OneCare, 以及对Morro的更加期待。

[ 本帖最后由 Atlantis祭司 于 2009-4-8 12:32 编辑 ]

Dirk

支持一下
微点是不错

231767500

Norton~~~~

yeatsyue

微点不错滴。。。。

佰恋雨

Norton确实不错  微软的没用过  不清楚...

蛮有道理的...支持

l1I0l0O

NORTON只知道 会记录病毒的各项修改

但是没发现会自动修复更改

请负责的人详细说明在哪 ，记录了不代表修复了吧

play32

楼主文章拜读了，写的不错，偶希望杀毒软件病毒库特征码质量好侦测未知恶意程序准确率高软件对电脑系统影响极小误杀少就行了。