10来年之后，在贝尔实验室的三个工程师编写了一个叫做“Core War”的游戏，游戏的交战双方在内存中运行，复制自己并相互追杀，还会放下一些关卡，甚至会停下来修复被对方破坏的指令。游戏开始后玩游戏的人只能在屏幕上观战而不能做任何更改，直到交战的某一方被另一方完全“杀死”为止。

        1983 年11月3日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750计算机系统上进行了实验。第一个完整意义上的病毒诞生，从此，病毒的潘多拉魔盒被正式打开。

        1986 年初，巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德 (Amjad) 两兄弟为了打击那些盗版软件的使用者，设计出了最早在世界上流行的“巴基斯坦智囊”病毒，该病毒感染软盘引导区。

        1988年11月2月，美国康乃尔大学23岁的研究生罗伯特·莫里斯 (Robert T.Morris)制作了一个蠕虫病毒，并将它放到美国Internet网络上，致使计算机网络中的6000多台计算机受到感染，许多联网计算机被迫停机，直接经济损失达9600万美元。从那时起，病毒与反病毒软件之战拉开了序幕。

        让我们记忆最深刻的，应该是1999年4月26日，那个阳光灿烂的星期一，成千上万的人在早上打开电脑准备开始工作的时候只看到屏幕一闪就一片黑暗，CIH病毒让电脑再也启动不起来了，同时更为惨痛的是硬盘中的数据全部丢失，损失难以估计。

        2003年，当我们快要感觉不到病毒存在的时候，冲击波病毒突袭全球，把整个互联网搅得天翻地覆，重新唤起我们对病毒的记忆……

        虽然随着操作系统的不断完善，包括CIH在内的很多兴风作浪一时的病毒已经渐行渐远，但网络的发展，尤其是宽带的普及在方便了人们使用电脑的同时，也为新病毒的传播打开了方便之门。近年来，针对电子邮件、聊天软件，甚至网络游戏和银行账号的病毒（木马）层出不穷。在数量不断增加的同时，病毒的破坏能力也在不断提高，如果没有一款强有力的反病毒软件为我们筑起安全防线，在网络上我们就只能是待宰羔羊，面对肆虐的病毒毫无防范能力。当然，我们也能够看到反病毒软件也在不断的进化，经历了多场与病毒的恶战，反病毒软件的性能也越来越强。同时，随着64位PC和智能手机及其他掌上移动处理平台的普及，我们相信64位的病毒和移动平台的病毒也将会登上历史舞台，新平台的病毒与反病毒之战即将开打……

        因此，《电脑报》数字实验室特别策划了本期“8款桌面级反病毒软件”的横向测试。

考虑到测试结果的最大有效性，本次测试采用了目前用户数量相对较多的性能在中低档的平台。CPU为Celeron D 2.4GHz、主板为青云PX865PE Pro、内存为256MB DDR266×2（双通道）、硬盘为7200转／分的迈拓80GB。同时，我们选择了目前用户数量最多的Windows XP 平台，并且安装了SP2补丁包及其它关键补丁。在测试平台上，为了模拟用户真实使用环境，我们安装了ACDsee 3.1、Photoshop 7.0、Flashget 1.65、Foobar2000、Foxmail 5.0、Office2003（包括Word、Excel、Outlook、Powerpoint）、Winrar 3.4、暴风影音视频播放器、MSN 7.0等常用程序。

        为了保证测试的真实性和公平性，我们以安装了所有驱动程序和前面所列应用软件的系统为基础做了GHOST镜像备份，在这个基础上分别安装了参测的8款杀毒软件。每一款杀毒软件都在用GHOST恢复到基础状态下安装，并统一在2005年5月31日9：00～16：00升级病毒库，以保证所有参测软件的系统原始情况相同，不会受到任何干扰，同时病毒库数据最为接近。

        参测软件：《诺顿网络安全特警2005》（以下简称诺顿）、《PC-cillin 2005网络安全版》（以下简称PC-cillin）、《卡巴斯基反病毒单机专业版5.0》（以下简称卡巴斯基）、《金山毒霸2005》（以下简称金山毒霸）、《瑞星杀毒软件2005》（以下简称瑞星）、《江民杀毒软件KV2005》（以下简称KV2005）、《Kill泰阿安全胄甲》（以下简称Kill）、《光华反病毒》（以下简称光华）

 我们把测试分为程序性能测试、查杀病毒能力测试和附加功能测试。

        程序性能测试

        程序性能测试分为占用空间、无操作时系统资源占用测试、文件读取操作中CPU资源占用测试和海量文件扫描时间及CPU资源占用测试。

        占用空间以安装防病毒软件并升级完病毒库时的“Documents and Settings”、“Program Files”和“Windows”文件夹的占用空间和安装前相对照得出反病毒软件的占用空间。

        无操作时系统资源占用测试是在防病毒软件升级病毒库完成后，重新启动电脑并将系统静置5分钟，其间无任何操作，随后在 Windows 自带的任务管理器中记录下软件进程所占用的CPU资源、物理内存的可用数及PF使用率，以此来了解程序的性能和资源占用。

        普通文档读取操作中CPU资源占用测试是测试访问普通文档（包括文档、可执行文件、压缩文件及其他格式文件）和带毒文件时的CPU资源占用率（其中访问带毒文件时的CPU资源占用取峰值）。

        海量文件扫描时间及CPU资源占用测试是测试在扫描一个包含2323个各种格式文件的分区（5.02GB），其中包括文本文档、Word文档、Excel文档、各种格式的图片文档、应用程序、大型游戏、各种压缩包和安装文件（包括一个426MB的视频文件压缩包和一个297MB包含3497个文件的大容量压缩包）、视频和音频文件、及478个各类病毒，以检测在启发状态／非启发状态的查毒时间和扫描各种文件时的CPU资源占用率。

        编注1：由于主要测试反病毒能力，因此在此过程中，我们选择都不安装防火墙模块，不过诺顿无法剥离防火墙，只好安装防火墙后将它禁用。我们发现禁用网络防火墙释放的内存并不多（仅4MB左右），对性能影响不大。

        查杀病毒能力测试

        查杀病毒能力是一款反病毒软件最核心最重要的功能，查杀病毒的能力直接反映防御病毒、木马的能力，查杀病毒能力是筑就安全防线最重要的一环。因此，我们力求在测试中尽可能全面地检查反病毒软件的查杀病毒能力。在此项测试中，我们测试了杀毒软件对2003年至今的大范围病毒样本、目前的流行病毒样本、变体病毒样本、分卷压缩文件中包含的病毒样本、单层压缩及加壳病毒样本和多层压缩嵌套格式病毒样本的查杀能力。

        由于大部分老牌病毒均已退出历史舞台，用户碰到老病毒的机会也比较少，因此，除了变体病毒以外，我们此次测试没有涉及2003年以前的老病毒。2003年至今的大范围病毒样本包含2003年至今出现的1889个病毒样本，其中Windows病毒542个、脚本病毒417个、其他病毒28个、蠕虫病毒902个；目前的流行病毒样本478个，包括bot（僵尸网络）46个，病毒21个，黑客工具39个、间谍软件 6个、木马／后门281个、蠕虫31个、压缩及加壳病毒54个；变体病毒样本采用用MTE（病毒制造机）制造的1000个变体病毒；分卷压缩包括以9.84MB分卷的6个压缩包，总计35个文件、54MB，其中包含目前的流行病毒样本中的21个病毒；单层压缩及加壳病毒样本包括3个病毒的ACE、ARJ、CAB、Tar、TGZ、RAR、ZIP等格式的单层压缩文件和ACProtect、ASPack、ASProtect、PECompact、pepack、Petite、pex099、Telock、UPX、WWpack32等加壳格式文件；多层压缩嵌套格式病毒样本则是采用单层压缩及加壳的那3个病毒样本用Winzip和WinRAR进行3层、5层、10层和20层压缩嵌套。

        编注2：由于只有少数反病毒软件会报告染毒文件数，大多反病毒文件都报告病毒数量，而部分染毒文件感染有多种病毒，同时考虑到病毒样本程序并不是一个完整的程序，即使反病毒软件报告已经修复也无法验证是否真的修复，因此在可以设置时我们将所有参测软件设置为发现病毒直接删除带毒文件，以此方法尽可能准确地统计反病毒软件的查毒率。无法删除时我们采用手工对照的方式来统计查毒数量。

        编注3：加壳是通过一系列的数学运算，将可执行程序或动态链接文件改变，以缩小程序体积或加密程序。由于加壳非常复杂，很难判断一款反病毒软件是否支持某种加壳格式。因此，只要程序识别出一个加壳的病毒，我们就认为它支持该加壳格式。

        附加功能测试

        在附加功能测试中，我们对参测反病毒软件的除杀毒以外的其他功能进行了对比，包括防火墙功能、隐私控制、光盘引导杀毒、反垃圾邮件、Web访问控制、救援磁盘、主动漏洞扫描及修复、安装过程是否扫描病毒等功能；此外，还包括参测软件的用户手册和说明文档的内容及印刷情况、病毒库及引擎的升级频率、使用时间和价格。

一款拥有相对较低的资源占用率和较高的杀毒率的反病毒软件是非常受用户欢迎的，毕竟，反病毒能力才是反病毒软件最重要的功能。在拥有相对较低的资源占用率和较高的杀毒率后，功能的丰富性就是一件不得不考虑的事情了。毕竟现在的应用环境非常复杂，能够拥有更多的预防和扩展功能能够更有效地预防和杀除病毒。

        程序性能测试结果分析

        经过和未安装任何反病毒软件的Win XP系统的对比，我们可以看出，卡巴斯基是空间占用最少的软件，而诺顿则占用了相当多的空间，虽然现在用户的硬盘容量普遍比较大，但我们认为在相同的性能下，当然是体积越小越好。

        重新启动电脑并静置5分钟后，由于没有任何操作，所以杀毒软件的监控程序处于闲置状态，所有参测软件的CPU占用率全部为0％。就内存可用数来说，瑞星、金山毒霸和光华取得前三名，诺顿和PC-cillin占用内存最多，显得比较臃肿。

        海量文件扫描是尽可能地模仿用户的真实使用环境，因此我们在该分区内放置了各种类型、不同大小的文件，以求结果尽量真实。由于我们的海量文件扫描分区中有很多各种类型和大小的压缩文件，而KILL并不能真正扫描除“ZIP”格式以外的压缩文件，因此它的扫描时间是最短的。PC-cillin是唯一一个仅报告原始文件数量的软件，因此我们不知道它究竟扫描了多少文件。光华在海量文件扫描中出现一个非常奇怪的问题，在打开光华的文件实时监控时，海量文件扫描无法完成，连续4次在扫描了6分钟左右程序失去响应，关闭文件实时监控后，扫描得以完成，但它的文件数统计方式非常奇怪，我们不知道2109个文件，扫描数146707是如何统计出来的，因此我们没有把146707视为真实扫描成绩。号称支持格式最多的卡巴斯基表现除了卓越的文件识别能力，扫描了55388个文件，成为文件扫描数量的冠军，但同时它也付出了极大的代价——耗费时间竟长达20分57秒。综合文件扫描数量和扫描时间来看，金山毒霸的效率是最高的。

        在读取普通文档的时候，各个软件的CPU资源占用都差不多，都在10％～20％之间，对于普通用户来说，是可以接受的。但是读取带毒文件的时候，就出现了比较大的差异，我们看到金山毒霸、瑞星、KV2005和卡巴斯基的表现都非常不错，都控制在50％左右，而诺顿和PC-cillin竟然上升到100％。从海量扫描的CPU占用来看，金山毒霸的表现非常优秀，大幅领先其他软件，诺顿和PC-cillin的表现仍然垫底。不过，值得一提的是，卡巴斯基、诺顿和PC-cillin在压缩包内原文件较小时，释放了很多内存资源给系统。

        另外需要说明的是，由于现在的杀毒软件大都拥有文件指纹识别技术，为了公平判断，我们在海量文件扫描中没有启用该技术，而是取了三次测试的平均值。

        编注4：文件指纹是原来在企业版杀毒产品中采用的技术，它会在第一次扫描时，记录下用户的文件信息，再次扫描文件时，对那些没有改变的文件，就可以跳过不扫描，以提高扫描速度。

        查杀病毒能力测试结果分析

        由于只有Kill、金山毒霸和诺顿可以选择采用启发或非启发式扫描，其他的各杀毒软件均直接使用启发式扫描，因此我们将不对非启发式扫描做对比。就开启和关闭启发式扫描来看，实际三款软件的查毒数量差异都非常小，可以忽略不计。同时，大多数软件的默认设置扫描级别都非常高，因此，我们直接采用最高级别设置加启发式扫描来统计结果。

        在大范围病毒样本测试中，我们看到卡巴斯基以最高的杀毒率成为该项测试的冠军，虽然有410个文件由于软件报告“对象无法修复”、“未知原因”和“不支持对压缩文件的处理”而无法删除，但再次扫描卡巴斯基仍然能够查出它们带有病毒并禁止访问。虽然并不是所有带毒文件都被删除，但我们仍然认为卡巴斯基的查毒率是最高的。此外，从流行病毒样本的扫描结果来看，卡巴斯基仍然以绝对优势获得了冠军。虽然相对查杀时间较长，但卡巴斯基以时间换取了效率。在大范围病毒样本测试中，KV2005删除的病毒文件数量最少，其原因是在查毒并删除的过程中，有200个左右的蠕虫病毒无法在查杀过程中删除，而在嵌入式杀毒界面中却能够顺利查杀删除。对此，江民公司的技术人员给出的解释是：由于实时监控程序的优先级要高于查杀程序，而这一部分病毒已经被实时监控程序控制，因此无法在杀毒过程中删除。综合考虑，在大范围病毒样本测试和流行病毒样本测试来考量，诺顿和光华紧跟在卡巴斯基之后。

        针对变体病毒的测试，我们通过查杀由母体变形出的1000个变体来判断反病毒软件是否拥有识别变体病毒的能力。由于该病毒母体较老，金山毒霸无法识别病毒的母体，因此也就无法识别所有的变种，其他所有的参测软件均顺利通过测试。

        从分卷压缩包内病毒的查杀结果可以看出除了KV2005和Kill，大部分参测软件都能够对分卷压缩包进行查杀，尽管只有卡巴斯基是无论对哪个单独的分卷进行查毒，都会对全部分卷压缩包进行查杀，所有病毒均被识别，其他参测软件都只能对分卷单个压缩包进行查杀，但我们认为这个结果是可以接受的。

        在压缩文件格式的识别测试中，PC-cillin、卡巴斯基、KV2005和光华均通过了全部的测试，表现非常好，金山毒霸在这个项目的测试表现不好，Kill表现最差。让人奇怪的是在Kill的压缩文件扫描类型中选中RAR文件，Kill仍然无法识别RAR压缩包内的病毒文件。诺顿、卡巴斯基、瑞星、KV2005、Kill和光华在完全识别了压缩文件内的病毒之后，除了能够清除的病毒是将病毒从压缩包中清除并保留压缩包以外，不能清除的压缩文件内的病毒全部选择了不改动，最大限度的保护用户的数据。金山毒霸则只删除了RAR文件和ZIP文件，其他压缩文件中的病毒金山毒霸报告不能删除，保留了原来的压缩文件。只有PC-cillin是将识别出带毒的压缩文件全部删除了。

        将病毒加壳以逃避杀毒软件的查杀是病毒制造者们惯用的手段，不过现在的杀毒软件对加壳病毒的查杀越来越强。从测试中我们可以看到卡巴斯基和KV2005对加壳病毒的查杀都非常好，诺顿、Kill和光华稍逊一筹，金山毒霸的表现不够理想。

        我们用多层混合压缩嵌套病毒样本来检测参测软件的查杀深度，从测试结果我们可以看到，卡巴斯基、金山毒霸、瑞星、KV2005和光华对多层混合压缩嵌套病毒的查杀非常好，诺顿无法查杀20层以上的混合压缩嵌套病毒，PC-cillin的程序设置界面可设置的最高查杀深度为6层，因此我们可以看到，5层以上的混合压缩嵌套病毒PC-cillin都无法查杀，Kill更是连3层的混合压缩嵌套病毒也无法查出。

[本文共有 2 页，当前是第 1 页] <<上一页 下一页>>