反病毒软件
反病毒软件,又称杀毒软件(英语:Anti-virus或anti-virussoftware)使用于侦测、移除电脑病毒、电脑蠕虫、和特洛伊木马程序。杀毒软件通常含有实时程序监控识别、恶意程序扫描和清除和自动更新病毒数据库等功能,有的杀毒软件附加损害恢复等功能,是电脑防御系统的重要组成。
1、基本概述
基本概念
反病毒软件是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。通常集成监控识别、病毒扫描和清除、自动升级病毒库、主动防御等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统的重要组成部分。
反病毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。“杀毒软件”由国内的老一辈反病毒软件厂商起的名字,如金山毒霸、江民、瑞星等,后来由于和世界反病毒业接轨统称为“反病毒软件”或“安全防护软件”。集成防火墙的“互联网安全套装”、“全功能安全套装”等用于消除电脑病毒、特洛伊木马和恶意软件的一类软件,都属于杀毒软件范畴。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的反病毒软件还带有数据恢复、防范黑客入侵,网络流量控制等功能。
工作原理
反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的反病毒软件还具有防火墙功能。
电脑里流过内存的数据与杀毒软件自身所带的病毒库的特征码相比较,以判断是否为病毒。另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
2、软件应用技术
自我保护技术:自我保护技术基本在各个杀毒软件均含有,可以防止病毒结束杀毒软件进程或篡改杀毒软件文件。进程的自我保护有两种:单进程自我保护,多进程自我保护。
修复技术:对被病毒损坏的文件进行修复的技术,如病毒破坏了系统文件,杀毒软件可以修复或下载对应文件进行修复。没有这种技术的杀毒软件往往删除被感染的系统文件后计算机崩溃,无法启动。
脱壳技术:脱壳技术是一种十分常用的技术,可以对压缩文件、加壳文件、加花文件、封装类文件进行分析的技术。
主动实时升级技术:最早由金山毒霸提出,每一次连接互联网,反病毒软件都自动连接升级服务器查询升级信息,如需要则进行升级。但是目前有更先进的云查杀技术,实时访问云数据中心进行判断,用户无需频繁升级病毒库即可防御最新病毒。目前用户不应被厂商所说的每天实时更新病毒库的大肆宣传而选择。
主动防御技术:主动防御技术是通过动态仿真反病毒专家系统对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定病毒,达到主动防御的目的。
启发技术:常规所使用的杀毒方法是出现新病毒后由杀毒软件公司的反病毒专家从病毒样本中提取病毒特征,通过定期升级的形式下发到各用户电脑里达到查杀效果,但是这种方法费时费力。于是有了启发技术,在原有的特征值识别技术基础上,根据反病毒样本分析专家总结的分析可疑程序样本经验,在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
虚拟机技术:采用人工智能(AI)算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的加壳和变种病毒,不但查杀能力领先,而且从根本上攻克了前两代杀毒引擎“不升级病毒库就杀不了新病毒”的技术难题,在海量病毒样本数据中归纳出一套智能算法,自己来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为。
3、软件缺陷
反病毒软件有待改进的方面:2010年病毒分配比例更加智能识别未知病毒,从而更好的发现未知病毒,发现病毒后能够快速,彻底的清除病毒。增强自我保护功能,即使现在大部分反病毒软件都有自我保护功能,不过现在依然有病毒能够屏蔽他们的进程,致使其瘫痪而无法保护电脑,更低的系统资源占用,目前很多杀毒软件都需要大量的系统资源如内存资源,CPU资源虽然保证了系统安全,但却是降低了系统速度。
杀毒软件在不断的进步,但是众多杀毒软件只能杀死病毒,杀死木马,并且在病毒查杀过程中存在着文件误杀,数据破坏的问题。如何实现系杀毒与数据保护并存是实现现有杀毒技术需要改进的方面之一。
4、软件排行榜
本期排行榜以杀毒软件在真实环境下的防护能力为参考依据,测试周期为今年8月至11月。测试评分基于杀毒软件对恶意威胁的直接拦截率(越高越好)和对干净目标的误报数量。
入选AV-C专业评测的总共有来自全球的22款知名杀毒软件,国内有360杀毒、腾讯、金山和百度4款产品参赛。以拦截率排名,360杀毒排名全球第二,并获得AV-C“三星”最佳奖项。
根据AV-C动态防护测试拦截率成绩,2014年杀毒软件防护能力排名如下:
第一名:TrendMicro
拦截成功率99.8%
误报分7.5
趋势科技(TrendMicro)于1988年在美国加州成立,其总部设在日本东京。2002年,它推出了面向企业安全市场的EPS防护方案,采取主动性的预防措施,在病毒爆发初期就进行管理,最大限度保护用户安全,受到众多国际性大企业的青睐。
第二名:360杀毒
拦截成功率99.6%
误报分1.5
360杀毒采用第三代QVM人工智能引擎技术,将人工智能技术应用于病毒识别过程中,具备“自学习、自进化”能力,无需频繁升级特征库,就能检测到90%以上的新病毒。360也是亚洲首家入选微软全球官网推荐的安全软件。
第三名:卡巴斯基
拦截成功率99.4%
误报分0
卡巴斯基反病毒软件是世界上拥有最尖端科技的杀毒软件之一,总部设在俄罗斯首都莫斯科。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。
并列第三名:BitDefender
拦截成功率99.4%
误报分0
来自罗马尼亚的比特梵德/BitDefender(简称BD),成立于2001年,是SOFTWIN的子公司。SOFTWIN公司成立于1990年,提供高端软件解决方案及相关服务。
第五名:Avira(小红伞)
拦截成功率99.4%
误报分4
小红伞(AviraAntiVir)是由德国杀软鼻祖Avira公司所开发的杀毒软件。AntiVir除了商业版本外,还有免费的个人用版本。用户超过七千万,它改写许多人“免费杀毒软件就一定比较差”的观念,成为许多用户挑选杀毒软件的首选。
第六名:F-Secure
拦截成功率98.9%
误报分69.5
F-Secure原名DataFellows,是欧洲乃至世界知名的计算机及网络安全提供商。该公司发行的同名产品F-Secure(芬安全)为一款防毒软件,具四颗防毒引擎,采用云端即时保护网络技术。
第七名:Emsisoft
拦截成功率98.8%
误报分15
Emsisoft反恶意软件,是由奥地利Emsisoft公司开发的一款综合的反间谍和反病毒工具,清理和保护您的电脑免受病毒、间谍软件、木马、僵尸网络、广告软件和蠕虫等的威胁。
第八名:ESET
拦截成功率98.6%
误报分3
ESET是总部位于斯洛伐克布拉迪斯拉发的一家世界知名的电脑安全软件公司,创立于1992年,由两家私有公司合并而成,最知名的产品为NOD32防毒软件。
第九名:Fortinet
拦截成功率98.4%
误报分13
来自美国加州的Fortinet,由一支强大的、在网络和安全领域富有丰富经验的管理团队领导。它能够为业务通信提供最佳安全、优秀性能和低总体占用成本的服务,包括最大型的电信运营商、服务提供商等都是其服务企业。
第十名:Panda(熊猫卫士)
成功拦截率97.8%
误报分46
Panda(熊猫卫士)由“西班牙”*杀毒软件开发商PandaSoftware开发的杀毒软件,其独一无二的理念及品质,简单易用的特性一直受到外国人的青睐。其所属的Panda软件公司,是欧洲第一个计算机安全产品公司。
5、躲避恶意网站的方法
德国反病毒软件评测机构AV-Test的一项研究称,微软必应搜索引擎在识别网站是否包含恶意软件方面的能力是谷歌的5倍。不过,微软表示并不同意这一数据,并在今天针对AV-Test的结论发布了一份声明。必应的研发人员称,他们使用了自己的API去执行用户所输入的关键词,而不是在Bing.com上直接进行分析。不过,微软也承认,这种方法可以绕过必应的恶意软件警告系统。
微软负责必应项目的高级经理大卫-费尔斯特德(DavidFelstead)表示,必应实际上可以让用户避免点击含有恶意软件的网站,因为该引擎直接在搜索结果页面中将这些网站的链接失效,并在网站文字描述中警告用户此网站有安全隐患,不要去点击。
微软并没有将这些有可能包含恶意软件的网站直接屏蔽掉,因为这些网站大多数都是正规网站,往往是黑客攻击之后在上面放置的恶意软件。除了这些措施之外,在用户点击了含有潜在危险的链接后,必应还会再次弹出警告窗口。
费尔斯特德表示,之所以会这么做,是因为当用户搜索一个网站时,他们希望相关的网站可以出现在必应的搜索结果页面中,即便那个网站可能带有恶意软件。如果他们在必应上搜不到某个网站,那么他们会认为必应的搜索技术还不成熟。
总之,在必应搜索引擎中,接近0.04%的关键词在搜索时可能出现含有恶意软件的网站。费尔斯特德还表示,必应的警告系统可以让用户避免去点击94%的恶意网站。
近期,谷歌和必应之间的竞争有愈演愈烈的趋势,但是费尔斯特德表示,识别一个网站是否带有恶意软件是一件非常复杂的工作,现在还没有哪款搜索引擎可以100%的做到这一点。
此外,费尔斯特德还表示,微软只会向用户发出警告,而不会直接将这些潜在的恶意网站删掉,这也是为了更好的保护用户。否则,这些用户可能会跑到谷歌那里去搜索,然后在毫不知情的情况下点击了这些恶意网站。
但是,考虑到每天全世界的用户会在谷歌上进行20亿到30亿次搜索,这意味着每天有近百万的用户可能访问了恶意网站,而这无疑是一件令人非常担忧的事情。
6、常见问题
1、发现很多安装杀毒软件失败的案例都是由于不同品牌杀毒软件之间的兼容性不好引起的,当然用户们不会去安装多个,可能在卸载某一个杀毒软件的时候没有卸载干净,而很多杀毒软件考虑到兼容性,稳定性就不允许别的杀毒软件共存,所以不能安装杀毒软件的朋友可以在这方面查找原因。
2、微软件WindowsDefender,该软件是微软自带的反间谍软件,而有些杀毒软件在Windowsdefender开启的情况下会到时安装失败或是运行不正常,所以保险起见,安装杀毒软件的朋友可以试着将Windowsdefender关闭,关闭的方法也很简单,点开始按钮,打开控制面板,点击右上侧的查看方式选择大图标,选择WindowsDefender,点工具的选项,在管理员里,取消使用此程序就可以了。
3、Win8系统本身就带有很强的防御体系,用户在系统中安装第三方杀毒软件遇到失败的情况是很正常的,可按照上述的方法进行操作。
7、常用软件比较
一.瑞星杀毒软件
瑞星杀毒软件
瑞星的优劣:
1.瑞星2005的最大亮点是它的启动抢先于系统程序,这对有些病毒绝对是致命的打击。
2.预杀式无毒安装;首创网络游戏防盗抢功能的个人防火墙;针对冲击波等漏洞型网络病毒设计的漏洞扫描系统;这都是做的很好。
3.瑞星2005虽然在占用资源方面有很大的改变,但是其最大的问题仍然是占有的资源较大,让有些新手有点不适应,由于他们不明白进程,如果进程开多了,安装这个软件容易死机。
4.这个软件对有些木马几乎成为摆设,没有用途,它防杀木马效果差。
二.江民杀毒软件
江民杀毒软件
江民的优点和不足:
1.KV2005突出特点是独创的“系统级深度防护技术”与操作系统互动防毒,彻底改变以往杀毒软件独立于操作系统和防火墙的单一应用模式,开创杀毒软件系统级病毒防护新纪元,很有自己的特点。
2.采用先进的“驱动级编程技术”,能够与操作系统底层技术更紧密结合,具有更好的兼容性,占用系统资源更小。
3.KV2005采用了先进的“立体联动防杀技术”,即杀毒软件与防火墙联动防毒、同步升级,对于防范集蠕虫、木马、后门程序等特性于一体的混合型病毒更有效。
4.但是防火墙的英文让不明白英文的人一头雾水。
5.对木马的查杀虽优于瑞星。
三.卡巴斯基杀毒软件
卡巴斯基杀毒软件
卡巴斯基对很多新手来说,也许还很陌生,但是相对有些国内的杀毒软件,它绝对是个好软件。
1.几乎所有的功能都是在后台模式下运行,系统资源占有低。
2.最具特色的是该产品每天两次更新病毒代码。
3.更新文件只有3-20kb,对网络带宽的影响极其微小,能确保用户系统得到最为安全的保护。
4.对木马的查杀优于很多国内软件。
5.但是该软件对电脑的硬件和软件要求相对较高。
四.金山毒霸杀毒软件
金山毒霸杀毒软件
1.它对病毒防火墙和黑客防火墙二合一,然后又一分为二。
2.办公防毒嵌入MicrosoftOffice的安全助手,保障Word、Excel、PowerPoint文档免受宏病毒攻击。
3.网页防毒有效拦截网页中恶意脚本。
4.聊天防毒自动扫描清除QQ、MSN、ICQ的即时消息及其附件中的病毒,彻底查杀QQ狩猎者、MSN射手。
5.对木马的查杀在国内领先!
五.东方微点
东方微点
微点主动防御软件功能介绍:
1.无需扫描,不依赖升级,简单易用,安全省心。
反病毒技术的更新换代,使得反病毒软件的使用习惯也发生了翻天覆地的变化。微点主动防御软件令用户感受到前所未有的安全体验,摒弃传统使用观念,无需扫描,不依赖升级,简单易用,更安全、更省心。
2.主动防杀未知病毒
动态仿真反病毒专家系统,有效解决传统技术先中毒后杀毒的弊端,对未知病毒实现自主识别、明确报出、自动清除。
3.全面保护信息资产
严密防范黑客、病毒、木马、间谍软件和蠕虫等攻击。全面保护您的信息资产,如帐号密码、网络财产、重要文件等。
4.智能病毒分析技术
动态仿真反病毒专家系统分析识别出未知病毒后,能够自动提取该病毒的特征值,自动升级本地病毒特征值库,实现对未知病毒“捕获、分析、升级”的智能化。
5.强大的病毒清除能力
驱动级清除病毒机制,具有强大的清除病毒能力,可有效解决抗清除性病毒,克服传统杀毒软件能够发现但无法彻底清除此类病毒的问题。
6.强大的自我保护机制
驱动级安全保护机制,避免自身被病毒破坏而丧失对计算机系统的保护作用。
7.智能防火墙
集成的智能防火墙有效抵御外界的攻击。智能防火墙不同于其它的传统防火墙,并不是每个进程访问网络都要询问用户是否放行。对于正常程序和准确判定病毒的程序,智能防火墙不会询问用户,只有不可确定的进程有网络访问行为时,才请求用户协助。有效克服了传统防火墙技术频繁报警询问,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。
8.强大的溢出攻击防护能力
即使在windows系统漏洞未进行修复的情况下,依然能够有效检测到黑客利用系统漏洞进行的溢出攻击和入侵,实时保护计算机的安全。避免因为用户因不便安装系统补丁而带来的安全隐患。
9.准确定位攻击源
拦截远程攻击时,同步准确记录远程计算机的IP地址,协助用户迅速准确锁定攻击源,并能够提供攻击计算机准确的地理位置,实现攻击源的全球定位。
10.专业系统诊断工具
除提供便于普通用户使用的可疑程序诊断等一键式智能分析功能外,同时提供了专业的系统分析平台,记录程序生成、进程启动和退出,并动态显示网络连接、远端地址、所用协议、端口等实时信息,轻轻松松全面掌控系统的运行状态。