[转贴]说说最好用的杀毒软件

walkman

http://bbs.e666.cn/read.php?tid-119702-fpage-2.html
                                            哪种杀毒软件最好
      一般公认的比较著名的杀毒软件有卡巴斯基，F-SECURE，MCAFEE，诺顿，趋势科技，熊猫，NOD32，AVG，F-PORT等等。其中卡巴，macfee，诺顿又被誉为世界三大杀毒软件！每个杀毒软件都有自身的优势，当然也有不足之处！ 比如卡巴斯基的杀毒能力确实很强，对的起排名世界第一的称号，但是监控方面却存在不足，而且在内存占用方面始终令人头疼。Mcafee的系统监控恰恰是做的最好的。NOD32的扫毒速度最快，内存占用方面最少，全球获奖无数，因而成为微软御用4年的杀毒软件也绝非空穴来风。熊猫可能大家以为是中国的，其实也是洋货啦，杀毒理念和模块最先进，可惜老是提示你要重新激活，所以破解的不大完美！诺顿大家很熟悉，老实说诺顿的广告宣传还真是不错的，但是大家注意，别看广告，看疗效！当诺顿屡次告诉你XX病毒被隔离，无法清除时，你是否感到厌倦了呢？当然诺顿企业版要比个人版本的杀毒能力更强悍，建议大家使用9.0的，最新10.0占用资源有点大，不算完美。F-SECURE可能知道的人很少，别说用的人了，呵呵。我自己现在用的杀软就是这款，其实这款杀毒软件名气是相当响的。来自芬兰的杀毒软件，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比Kaspersky要好，对网络流行病毒尤其有效。在《PC Utilites》评测中超过Kaspersky名列第一。该软件采用分布式防火墙技术。f-secure 曾经超过Kaspersky，排名第一，但后来Kaspersky增加了扩展病毒库，反超f-secure 。鉴于普通用户用不到扩展病毒库，因此f-secure还是普通用户很不错的一个选择。所以我用下来的感觉就是F-SECURE的综合能力可以排第一名！但是这个软件也有不足，就是进程太多，要近15个进程，呵呵，谁叫它有四套杀毒引擎呢？不过也够安全吧。进程虽多，却一点不觉得卡！

  在此不得不提起国产杀毒软件，国产杀毒软件也有很多用户群，个性化的界面也赢得了很多用户的青睐。比如瑞星的那个小狮子就蛮可爱的，做个桌面宠物也不错。但是有很多人会说，国产的技术不行，靠不住的。呵呵，其实我倒不这么认为！国产杀毒软件我最喜欢的就是KV2005，江民的东西还是老牌子，杀毒监控实力不俗。瑞星和金山的起步晚一些，有些地方做的还是不够理想，但毕竟是在不断进步，希望能越做越好，给中国人也争光一把，哈哈。也许有人会说实际的杀毒能力说明一切，金山，瑞星和卡巴比就是垃圾等等。呵呵，那你就错了，如果说卡巴能杀掉这个病毒，金山杀不掉，就说明卡巴强于金山？反过来金山能杀掉这个病毒.2005年病毒测试包样本，是个压缩包文件，里面大概有26个病毒样本，试试你的杀软吧，呵呵，江民，金山，瑞星兵不血刃的杀光了所有病毒，再看看卡巴啊，这次傻了吧，所以说每个杀毒软件都有自己的长处，不能一拍子否定。  

    还有的朋友问我一个杀毒软件保险吗，要不要装两个来个双保险，呵呵，对于这个我觉得是可行的，但是前提是你对杀毒软件的各项设置要比较了解而且自己的电脑配置要高档点，否则不是系统容易崩溃就是电脑被两个杀毒软件拖垮的。比较典型的例子就是卡巴斯基＋KV2005的组合，很显然卡巴系统监控的不足由KV2005来弥补。卡巴只负责杀毒即可了。但是这个豪华组合要牺牲很多内存，你电脑够劲的话可以试试。另外卡巴加NOD32也是不错的搭配，NOD32查毒和监控方面都不错，而且查毒速度奇快，内存占用很小，这样你可以用NOD32进行查毒，大家都知道卡巴的查毒速度是很慢的，因为病毒库多啊，每个文件都要那13W病毒库去套，能不慢嘛！  

    有的朋友关心哪个杀毒软件病毒库多哪个就牛，呵呵，大家都以为卡巴病毒库很多是伐，现在大概13万4千左右吧，但是面对罗马尼亚的杀软BitDefender Professional近20W的病毒库，卡巴一边凉快去吧。所以BitDefender Professional在2005年一些网站的测试中取得过第一名的成绩。但是病毒库多并不能说明问题，实际杀毒能力BitDefender Professional并没有比卡巴更好，所以这个也是大家理解的误区！有人认为卡巴病毒库升级极其迅速所以最牛，虽然卡巴每小时都有升级，很频繁，但是很多病毒库都非最终版，也就是很容易出现误报现象，所以建议大家到周末的时候再升级自己的卡巴，因为周末是卡巴整理一周病毒库，删除错误病毒库的时候。

    还有有的朋友认为杀毒软件只要杀毒厉害就是一流的，其实这种观点我认为也不对，比如macfee，它其实杀毒并没有怎么厉害，肯定没有卡巴那么野蛮，但是为什么它也拥有广泛的用户群，有很好的口碑，很显然macfee的监控做的很完美，可以说滴水不漏，监控这么好的杀软我想杀毒能力稍微弱点又有何妨呢？因为第一道防线病毒都无法逾越的话不就是最大的成功么？反观卡巴杀毒是厉害，但是恰恰是由于它监控的不足，使病毒可以入侵，但鉴于杀毒能力很牛，所以第二道防线病毒就通不过了，这样逆向思考或许就能想通了！

    另外一个大家关心的问题就是装了杀毒软件是否还要加装防火墙的问题，哪款防火墙最好等等！呵呵，其实个人感觉XP SP2自带的防火墙也已经蛮不错了，够用了。如果大家
真的有要求的话，我个人认为可以这么做:
      1，如果你选择安装的是F-SECURE client security的话，那么这款杀毒软件自带防火墙程序，而且这个防火墙排名欧洲第一，绝对可以了已经。这样你就可以不必再另外安装了，这个选择比较便捷！

    2，ZA，也就是ZONEALARM，用户群也蛮多额，ZA功能确实比较强大，但是对普通用户而言还是比较难上手，而且过于严格的规则可能导致上某些论坛出错，而且最新的ZA版本与卡巴斯基有严重冲突，所以卡巴的用户如果要安装ZA防火墙的话还是悠着点，哈哈。实在想尝试的话可以考虑安装5.5版本的，这个稳定。

    3，OP，也就是outpost，口碑很好，用户对其评价很高，号称世界排名第二的东东，对于广告拦截很有效果，反黑能力也很强悍，网上找个破解补丁可以使用10年，但是可能占用系统资源多一点，配置不高的用户可能上网会感觉有点延迟。而且这款防火墙比较专业，上网过滤的东西也很多，很多网站的图片也被过滤掉，用户可能看的不习惯，所以大家自己看着办吧。

    4，Tiny personal firewall pro，tiny防火墙是我用过的防火墙里面感觉技术最为先进的一款，貌似是国外军方防火墙，呵呵。Tiny的规则相当严格和复杂，对于一些刚上手的朋友而言肯定吃不消的，而且tiny防火墙与卡巴的网页扫描功能有冲突，所以这款防火墙是超级强悍，东西绝对是一流的，不怕麻烦的朋友可以尝试安装。

    5，Lns，也就是传说中的look'n'stop，号称世界第一的顶级防火墙，只有600多KB，容量很小，系统资源占的很少，但是功能极其强大，只可惜设置超级复杂，很难上手，一般用户还是选择放弃吧，呵呵，虽然有一些别人编订的规则包，但还是不大适合我们使用。

    6，天网，相信用的人满天飞，世界排名未知，呵呵，其实是根本埃不到边。天网可以算是一款入门级别的防火墙，和上述5款防火墙最大区别是非常容易上手，根本不需要设置什么东西，拿来就用！普通用户如果怕不装防火墙感觉不安，但又怕设置麻烦的话，干脆就用用天网算了。   

    国产的瑞星或者天网都会标榜自己的防火墙规则是多么多么丰富，貌似搞的很牛的样子，其实恰恰相反，规则越多防火墙性能越差，比如瑞星几乎天天更新规则，天网更是广告做到声称自己有1000条规则库文件，每次上网，天网防火墙不断闪动红色感叹号，报告XX用户试图连接本机XX端口，该包已被拦截，这个是不是增加你的心里安慰呢？每时每刻都在拦截信息，哪有这么多黑客会盯着你，天网这样做好像有点夸大其词了。其实有这么多规则顶用么？规则一多上网速度就越慢，每个探测端口的信息防火墙就要用近千条规则去衡量，这不傻掉啊！真正一流的防火墙并不需要超级多的规则，也不需要频繁更新，就如卡巴防火墙，虽然界面极其简单，更新也不快，但是一个隐藏模式就足以令国产的瑞星和天网闭嘴！  

      很多人热衷于做网上安全测试，我也做过几次，后来发现也不能说明什么问题，加装一流防火墙和不装防火墙就一定有本质区别？就拿诺顿安全测试来看，只用XP SP2自带防火墙就可以轻松通过所有测试，全部显示安全。呵呵，装个ZA也是安全，那到底装不装呢？所以大家也不要迷信这些测试网站。自己认为怎么顺手就怎么用好了！

    其实对于杀毒软件除了国内的，国外的杀软建议大家都使用英文原版的，那些汉化内核的版本最好别用，bug太多，除了真正出过简体中文版本的，不过我个人还是不喜欢，呵呵。

walkman

2008杀毒软件豪华贴，链接如下：
http://bbs.e666.cn/read.php?tid- ... toread--page-1.html

老顽童

目前有这几个：RogueCleaner，Ad-aware，Guardio，ewido，和随便什么瑞星，江民，喀吧，诺顿，麦咖啡等盗版的都可以，然后就基本安全了。另外什么杀毒也是相对的，用磁盘编辑器手工也可以杀毒。

walkman

http://club2.cat898.com/newbbs/d ... d=18&id=2067178
　　都是个人观点，高手看着玩，新手可以细看（转贴请标明来源卡饭，谢谢）（1月6号补：才发现这文章被老大提到论坛最上面了，有点诚惶诚恐的感觉，其实当时写这文章，主要是发点牢骚，没想到关注的人如此多......其实我在卡饭真不算高手，只是用的杀软可能比较多，经常折腾着玩，有点小感受，一家之言，拿出来和大家交流罢了。卡饭其它版我不是太了解，但国外杀软版，防火墙版，HIPS版，每个版主都是高手，咨询版的ALEXBLAIR，人称罗大人，也是高手。jpzy，7sumetai，等等，这些是高手高手太多，我就不一一说了，还有些我只认识头像，名字记不得了。大家有问题可以向他们请教。
　　还有一点，有人说我不可能用这么多杀软，估计是我看了不少贴，综合了下，写的这文章。这里我强调一下，我目前大概用了40多款杀软，防火墙20多款，这篇文章出现的杀软，墙，都是我比较熟悉的，正因为我比较熟悉，我敢说一说，真不熟悉，是不敢随便发言，怕误导了别人。试用，折腾杀软，防火墙，已经是我的爱好。
　　而今天之所以重新编辑，整理一下这文章，也是因为我这个人其实性情得很，很多时候，说话并不周全，重新编辑一下，希望尽量做到客观，公正，以免对新手造成误导。我尽量用补充的方式，对原文进行改进，直接修改，感觉不是太好~呵呵）

1 世界第一的BitDefender？

　　我挺喜欢这杀软，尤其是08版本，改进很大，资源占用少了许多。
　　但很多文章为什么说这个杀软是世界第一呢？如何来的世界第一呢？
　　一切都开始于这个排行榜BitDefender得了第一toptenreviews这个排行榜完全没有任何技术含量，只是简单罗列功能，然后比下在同样多功能下，谁便宜。
　　BitDefender排名那个第一，所以其实是性价比排行第一。
　　很多人英文不太好，马马虎虎看一下，然后就把老外的东西转过来大多数网友不明就里，继续转来转去。然后BitDefender就这样成了世界第一了。
　　BitDefender的优势就是性价比，便宜，性能还行，真要说杀毒，查毒的能力，BitDefender现在要想进入前5名，都有点困难。这个各位玩杀软的人都明白，我就不多说了。
　　而且大家注意看那所谓测试，很多杀软都缺席，比如说TrustPort，因为TrustPort根本就不会参加这类测试，因为太贵了，你要来搞性价比评比，那么就输定了就好像显示器中要来搞个性价比测试一样，EIZO的显示器肯定是输定了，赢的是AOC之类，EIZO22寸的显示器15W一台，它能不输么？呵呵总结：其实toptenreviews不算测试，只是一个参考每款杀软价格因素的排行榜。一个消费指南。
　　还有需要大家注意的是：并不是说BD就不能用了，BD是个好杀软，只是如果你报着世界第一的心态去用这个杀软最后肯定让你比较失望！
　　或者说使用任何杀软都不能报着世界第一的心态去用，这种心态太盲目了，只能平添烦恼（1月6号补充：BD这个杀软，不是说就不能用了，它的性能还是比较强的，我只是摘下它第一的帽子，并不是说叫大家别用了~BD如果你要用的话，我建议你只装它的杀软，它的防火墙，我是没太弄好，老是和一些国产软件冲突，这个问题论坛上也有人提到过。）


2 世界排名第一的防火墙，和所谓的无敌安全3组合。

　　这个文章出现在很多IT论坛上，大意是推荐世界第一的防火墙ZONE+卡巴+EWIDO 甚至有些版本还有这个文章的名字五花八门。比如什么 安全软件3驾马车，什么让你系统固若金汤的安软组合。这个文章卡饭就有，出现了N次，还附带个墙的排行榜.....仔细一看，又是toptenreviews的排行榜，昏了首先这个所谓固若金汤的安软组合没HIPS就不说了。
　　单看他推荐的ZONE版本，就有问题。
　　ZONE是不错，但这文章里居然还在推荐5.5版本，其实人家官方网站都说了，5.5有重大漏洞，请升级到而且这个文章其实是N年前的，出现了N年了，每年都在到处流传，只是把标题换了下，年份一换，又成了新一年的排行榜再说了，你仔细一看，就发现这个排行榜的问题没有毛豆，没有JET，没有你说07年的测试没这3个墙，那还比个啥？甚至连PCT这样的很大众化的墙都没有所以这个不单是性价比的排行榜而且还是个相当片面的排行榜，选手太少，怎么都是前10强啊！
　　matousec的漏洞测试才算正经八百的测试，比较严格进入前10强就不错了。
　　注意，我不不是批ZONE，ZONE相当好，性能不错，使用简单。我给我不少朋友的机器都装的ZONE，ZONE是相当值得信赖的。
　　总结：别再给别人推荐ZONE老版本了，危险啊！
　　还有EWIDO已经被收购了，360是根据文件名杀马，能力很是平庸。
　　而且没有任何组合能保证你就100%安全了。
　　（1月6号补充：比较好的组合方式是，1墙 + 1杀软 +1 HIPS  。还觉得不行，沙盘，虚拟机.......一起上，呵呵。而且安全组合其实方式很多，很难说什么什么组合就无敌了，每种组合的特点，效果，都不一样，不太好比较。有人问我用什么墙，或者什么组合比较好，其实这个挺难回答，我真的怕说一什么墙，结果你一用，又不理想，甚至造成损失。如果硬要我说，那么我觉得卡饭开了专区的这几个墙，还有开了专区的这几个国外杀软，包括开了专区的HIPS都是值得信赖的。墙区里，ZA,OP,毛豆，这些墙都是强悍好墙，LNS，JET这些墙，DIY度更高，更灵活，但新手可能觉得麻烦。墙区里，就是风云比起来，可能要稍微弱点，但风云简单好用，占资源也很小，我有台老机器，就是用风云。所以你真吃不准用什么墙，我建议你把墙区里开了专区的每个墙都用一下，感觉一下什么最适合你。同样的道理，你选择杀软和HIPS，也可以去国外杀软区，HIPS区，挨着每个开了专区的安软都用一下。然后你找到适合你的杀软，墙，HIPS之后，你再试下他们能不能装在一起，装一起能不能冲突，冲突的话，看用互相排除能否解决。
　　这样自己亲身动手，比迷信什么无敌安全组合推荐贴要强。
　　最后说下我目前的组合：我一台配置较高的机器，装了双杀软 小红伞+EAV， 墙是用的毛豆3，HIPS是毛豆3自带的另外一台机器（老婆使用） 组合是 AVAST + 风云  ，给她选安全软件都折腾得我不行了，换了10多种方案，最后定下来是这个，AVAST,风云，都是简单好用，不占什么资源，女人是种挑剔的动物，稍微卡那么一点点，比如说毛豆有时候弹对话框慢那么0.5秒，她就觉得不爽，最后折腾了好久，也就AVAST + 风云 才适合她用，其它方案，不是她觉得不爽，就是电脑不爽（中毒了）HIPS没装，她嫌麻烦。
　　还有一台机器（老爸用），最开始是 卡巴+ZONE ，也是嫌HIPS麻烦，他意见挺大，只好不装，给他老人家弄过咖啡，但后来发现效果不好，他不会用，还喜欢瞎弄，搞得电脑成毒窝了，后来换来换去，杀软，墙，弄了一大堆，他都觉得不爽~最后弄成了FS套装，好了，他觉得用起来比较简单，而且实际效果也挺好，FS套装杀软，墙，HIPS于一体，简单强悍）所以说安软组合方式，是个很灵活的东西，一定得根据个人具体情况来）

walkman

3被误解的卡巴3件事

一 ： 卡巴卡机器这又是流传盛广的谣言，当然和卡巴本身的默认设置有关系：默认开机自动扫描很多人不知道，装杀软不会仔细看，统统点下一步下一步结果让这个鸡肋的设置害了，没体会到卡巴的强大，反而觉得卡巴不好使了而且你装了新软件，卡巴发现开机的MD5值不对了，那么又会扫。
　　你说你开机的时候，他在那里猛扫，速度能不慢么？
　　其实卡巴7在512内存，1.4GCPU的机器上，就能很流畅的运行了。
　　而且现在卡巴7占内存并不多，25MB左右，算比较少了还有一种情况，我发现有些人设置成了升级后自动扫描，这个也是比较昏的设置卡巴升级快，2小时差不多就要升级一次，这样升级完后就自动扫描一次，你说能不卡？
　　你在那里工作，他在后台悄悄的升级，并且悄悄的扫描你再好的机器都卡。卡巴现在的CPU占用，有时候还是比较高，会出现飚升，这应该是和卡巴的监控有关。但一般来说，是不影响正常使用。
　　不过我是从来不推荐周围不太懂电脑的朋友，使用卡巴的。大家使用卡巴前，掂量下你自己的水平，如果你觉得你是对电脑什么都不懂那种，那就别用卡巴

二： 卡巴百毒不侵？

　　这个是很愚蠢的广告，估计是代理商干的愚蠢事。那里有百毒不侵的杀软？那是不可能的就是如果某某药品打广告：包治百病你觉得那是正常的么？
　　卡巴是很强大，但神话卡巴，其实是不理智的。
　　那么卡巴该怎么用？怎么看待？
　　卡巴最大的优势是在服务，反馈迅速，你遇上什么新毒，解决不了，杀不死，你完全可以上报到俄罗斯总部然后你去睡个午觉，看场电影，等个2，3个小时一般就有反馈了，然后你升级，一般这样就能轻松干掉病毒了时间长点的话，也是6个小时左右有反馈。
　　也就是说卡巴良好的服务，让卡巴在很多新病毒面前有巨大优势但绝对不能以为卡巴就百毒不侵了如果你报着百毒不侵这个信念来装上卡巴，我劝你最好别用，免得你失望

三： 卡巴误杀，造成系统问题

      这个完全是无中生有，因为暴料的是国产某杀软公司，这个公司很搞笑，说卡巴的用户给他们打投诉电话呵呵，你家的海尔冰箱坏了，你会给三星打电话么？
　　你家的华硕主板坏了，你会打电话给技嘉：喂，技嘉啊，我家华硕坏了。所以一看那暴料文章的开头就知道是造假，这个杀软公司的造假水平也很低劣，逻辑思维有问题，已经成了一个世界性的笑话。
　　这个事情也不便多说，大家应该都明白。
　　总结：卡巴很强大，但卡巴不是神，肯定有一下解决不了的病毒，那么你就上报吧，其实人家卡巴的卖点就是这个。
　　拿不准到底是不是病毒的时候，你也应该上报，不要自作聪明把文件删了，然后怪卡巴误报。
　　用卡巴不上报，等于没用卡巴（1月6号补充：再说下卡巴卡机器的事情，因为引擎，扫描方式，病毒库，等等各种原因，杀软不同，其占资源，扫描速度也不同，这是必然的。卡巴设置好了，绝对不会让你卡死了那种感觉，或者慢得不行了那种感觉，但卡巴的流畅程度，还是不如小红伞，AVAST，蜘蛛，AVG等杀软，这个是肯定的，但我们使用卡巴，并不是看中它资源上的特点，每个优秀的杀软，特点各不一样，根据自己的需要，择其使用就行了。现在使用卡巴，完全是没必要要担心会占你多少资源，卡巴肯定不是老机器的首选，但也绝对没有网络上流传的什么什么卡吧卡吧就死机了。理性的看待一款杀软太重要了。）


小红伞的误报

这个德国杀软还没进入中国市场，就有了误杀的传言。其实小红伞的误报相当少！主流的软件都不会报的（前提是官网下载）小红伞主要也就是报QQ，多玩几个国外杀软，你发现报QQ不是少数，因为QQ本来就能算是危险软件。
　　大多数国外杀软都要报QQ的。（注意，其实小红伞报QQ是危险软件，不是报的病毒，任何在端口在有危险的软件，小红伞肯定要报的）很多安装小红伞的朋友，英文并不太好，不知道排除QQ，然后QQ几乎每台电脑都有，所以感觉就报了很多，一些人就以为小红伞怎么误报这么严重呢？其实报QQ怎么能叫误报呢？明明是报得很正确，QQ确实是危险软件啊。
　　我以前有篇文章，说了下小红伞的“误报”一事，以及其它一些心得，新手可以看看，老鸟们直接无视吧我估计小红伞进入中国市场后，会加入大量的国产软件的白名单，到时候小红伞用起来会更顺心。
　　（这个是中国杀软市场的潜规则，进入中国市场，你就必须低头，有些软件你惹不起，你要报了，明明是他有问题，最后也要说是你有问题）要说误报，Sophos，IKARUS这些才是比较多。
　　总结：放心使用小红伞，前提是你懂一点英文和懂一定的安全知识（1月6号补充：更详细说下误报的事情，任何杀软都有误报，小红伞的误报率，并不算高，是完全可以接受的范围之内，而且报了之后，是会给你提示，到底怎么处理，你留意一下，绝对多半报的是你机器里的注册机。用小红伞一年多了，我这里乱七八糟的工具，软件，也挺多，没有发生一次重大的误报事件，我这里指的重大误报，是指报系统文件，然后用户也没仔细看，随便就点删除，结果造成系统崩溃。小红伞目前是 完全没有这种情况的。我这里的误报都是注册机，算号器，破解补丁，唯一一次对我造成有影响的误报，是误报了骑马与砍杀的一个升级补丁，但第二天小红伞升级后就不报了。
　　所以我认为，小红伞的那点误报，第一不会造成什么大问题，第二比较起小红伞快速的回馈速度，你上报你拿不准的文件，是能快速给你回馈的，所以你完全没必要担心误报之事。
　　而且现在小红伞连QQ都不报小红伞真的是不错的杀软，还免费，懂英文的朋友不要错过这么好的东西，那点误报率，完全是在正常的接

walkman

受范围之类）

被神话的NOD32

      占资源小，和被丑化杀马能力这个是二版科技大力宣传的结果，NOD32占资源确实比较少，但已经被神话了。
　　我不喜欢二版的很多宣传用语已经市场推广策略。
　　首先是进入大陆市场这么多年，也不给人家弄个中文名字搞得现在很多人以为NOD32是诺顿二版大力宣传NOD32占资源小，官网上搞了很醒目的图表，大有世界最小的架势其实现在EAV占资源不小了，我机器上占37MB了，不算小，当然也不算大。
　　NOD32独特的监控方法，使得几乎是不占什么CPU。这个确实是NOD32的优点但不占CPU也不占什么内存资源的杀软还有AVAST,蜘蛛（驱逐舰），AVG 等等尤其是AVG和驱逐舰，占的资源比NOD32还要小。
　　有些人说NOD32杀马能力不好，这个完全是谣言，不知道那里传来的谣言很多人装了NOD32，然后又装AVG,上了 网后用AVG一扫，扫出一堆COOKIE来，于是急吼吼的说：NOD32杀马不行！
　　或者是样本区找了个木马，NOD32扫不出来，然后就满世界宣传，NOD32杀马能力不行，搞得跟真的是的。
　　不是说不鼓励自己做测试，但你自己测试那么几个，几十个样本，完全不能说明问题啊！
　　AV-Comparatives的测试，NOD32这几个月的木马检测出率大概在97%左右，其实是相当不错的了当然你要给NOD32配合一个杀马软件，我也不反对，我建议给NOD32配合个HIPS，这样比较好总结：大家理智点，NOD32绝对不是浪得虚名，怎么可能杀不了木马呢？不要听信谣言。
　　遇见NOD32杀不了的木马，也别惊慌，上报就是，用杀软其实首先应该学会的就是上报


      被夸大化的F-Secure占资源大

      其实512内存运行F-Secure就流畅只要设置合理不会卡的。
　　这个和卡巴的被误解有点类似很多朋友比较性急，急匆匆的装上了，发现有什么问题，马上就说不好不好，不对不对其实往往是自己没设置好。
　　也不愿意静下心来仔细研究，设置一翻。
　　这样往往错过了好东西，而且急匆匆的到论坛上去说这不好，那不好给新手造成了误导。
　　F-Secure就背上了占资源的黑锅，很多人也就想当然：哦，4引擎，当然占资源其实F-Secure的套装带墙，带HIPS，带4引擎，占60MB内存，几乎不卡你说这占资源多么？？
　　当然你不能把F-Secure和AVG这样的小资源占用杀软来比4个引擎和1个引擎来比资源占用，你觉得公平么？
　　总结：内存大于512MB就可以装FS了，这玩意比你想像的流畅我是相当喜欢FS，用起来很省心的



      7 被忽视的AVG杀软，和被神话的AVG杀马


      现在一提起AVG，大家就想起AVG的杀马了，这个都是雅诗的功劳。AVG应该考虑给雅诗发工资，为AVG的中国推广，立下了汗马功劳。
　　AVG杀软相当好，但没几个人用，甚至很多人不知道AVG还有杀软其实AVG的杀软现在能力很不错了，和蜘蛛和可以一拼，超越NORMAN，Sophos等老牌。
　　甚至可以和NOD32一拼了（至少我认为）而且AVG的杀占资源很小的，又有免费版本，大家可以试用一下AVG的杀马是不错，但也被神话了，很多人认为AVG是世界第一杀马........（都是某些帖子害的，我现在巨讨厌标榜某杀软什么什么世界第一）

      AVG有个特点！
　　那就是对COOKIE文件很敏感你上了网，用AVG一扫保证扫描出一堆COOKIE文件，比较熟悉安全知识的朋友都知道，AVG扫描出的很多COOKIE，往往是无关紧要的但新手们往往就大呼小叫：啊！我机器这么多木马！啊！AVG真厉害！
　　真正比AVG能力强的，至少是能力不相上下的有：Spyware Doctor（Spyware Doctor的能力很不错，但占资源比较凶猛）,TrojanHunter，Spyware Terminator 等等AVG能力算得上中上，但如果要说AVG是最好，或者说什么世界最强杀马，我觉得算不上，好些木马AVG查而不杀，这种情况我遇到很多次其实安软这东西你多试几个，结论自然就出来了最怕就是网上一搜索：最强的杀马软件然后就按照搜到结果去下一个，还不是去官网下的......然后急急忙忙装上，你说这样可靠么？

　　总结：大家关注一下AVG杀软，别迷信AVG杀马



      8 用错的地方的咖啡

      这个又是媒体导向产生的误解，关于咖啡，你网络上一搜索，就是什么防御天下无敌，美国白宫御用等等于是很多新手趋之若鹜，也不想下自己到底会不会使用。（不是学咖啡多复杂，而是大多数人没那心思）我见不少新手装咖啡，然后过段时间中了一大堆毒，然后开始骂，说咖啡不好，说咖啡不行其实是他们自己不会设置规则，咖啡规则设置好了，是相当强悍的问他们为什么装咖啡呢？
　　1 是别人推荐，别人说咖啡好，但也不把话听完，就急忙装上咖啡，其实自己根本不会设置2 又是网络上一搜，一看评价很不错，很高，然后急忙下一个装下，其实自己完全是不懂这就是把咖啡用错地方了咖啡是个好东西，但别用在菜鸟的机器的上，你的朋友若是不懂电脑，那么还是给他装个使用简单的杀软吧，比如AVAST什么的。
　　总结：别人用着好的东西，未必适合你，这个和JET感觉差不多，高手使用很爽，菜鸟完全不会用，最后搞得一团糟


     9 被唾弃的VB100%测试和AV-Comparatives 测试

      不知道为什么有些人就说这些个测试无意义这其实是评价杀软能力的很重要的参考啊，当然参考不能当成唯一评判标准。
　　平时个人就只是在样本区收集点病毒，你能收集多少病毒？
　　然后自己做点测试，其实这样的测试并不全面（病毒样本少）VB100%和AV-Comparatives 测试都是很严格和严谨的测试能力弱的杀软，马上就能在这两测试上原形毕露。
　　而且从我自己做的很有限的测试来看，AV-Comparatives的测试相当准确，我自己的测试得出杀软强弱的结果，和他们的测试结果差不多。所以我个人也比较信赖这个事情似乎是很多人通病，从一个极端走到另外一个极端从盲目崇拜测试排行到盲目排斥测试排行其实这两个测试是很重要的参考，是值得相信的，但不要迷信就行。
　　别搞得太极端了总结：
　　有句话我很喜欢：
　　“没有绝对的知识，只有意见。”


　　10 被夸大的熊猫烧香


      懂点病毒知识的人都知道，熊猫也就是一个威金加个壳罢了，那个被抓的病毒作者其实根本没能力制造病毒，只会用工具加壳但国产杀软大多比较孱弱，所以倒下一大片国外杀软小红伞根本就不会中，卡巴中了也能升级解决只有国产杀软才大力炒作，借机会多卖几份。最好笑的是，居然升级杀不了，还得靠出专杀总结：加壳的威金居然横行中国，可见国人安全意识的淡薄。


　　11 格式化能杀毒？


　　真这样的话，杀毒软件厂商全都垮掉了。格式化的办法有些病毒这样能对付，但有些病毒这样是解决不了，因为它能往BIOS跑电脑里任何有储存功能的地方，都能容纳病毒，并非只有硬盘。
　　而且我们平时说的低格，其实是清零而已，真正的低格是需要送厂里去（所谓的物理低格），自己靠软件是不可能实现所以说，自己搞个低格软件，格式化硬盘了，重新分区了，就以为自己机器没毒了，这个是不可能的~（补充：我承认能解决一些病毒，但我周围的朋友中毒了，我从来不会说：格盘吧，格了就好！我都得不厌其烦的装杀软，升级，然后杀~一个不行，再换一个...........）所以还是老老实实的装杀软杀吧（编辑帖子补充一下，我个人至少遇到不下5次，需要放电cmos才解决问题的电脑，这是在电脑报上学的，但总 的来说，遇见格式硬盘都还解决不了的病毒，那实在是少之又少，不是每个病毒都会感染你的BIOS的，呵呵，所以新手们也别太紧张，这是很小的几率，尤其是现在的新电脑，BIOS保护越来越好，出现这个格盘都解决不了的情况，可能性很小了。但能存储数据的地方，就必然也能有病毒，这个是必然的，虽然几率越来越小）


      总结：流传了10几年的谣言，估计还要继续流传下去（  1月6号补充：这条很多朋友提出异议，这个怪我没说清楚，现在我再详细说一下。
　　1 格盘相当于是“清除”掉硬盘上的数据，病毒也是数据，所以也能一并清除，但问题就在于，有些病毒不只存在于硬盘上，所以你只格盘，未必能解决问题。
　　当然现在BIOS保护技术越来越好，这几年都没出现能钻到CMOS里的病毒，所以我周围好些人都说：装啥安全软件呢？麻烦，隔段时间GHOST就行了嘛~~或者全盘格，然后重新装不就行了我是不赞成这种淡薄的安全意识，病毒猖獗，其中一个原因就是因为很多人安全意识淡薄，CIH现在虽然没有了，但谁能保证未来不会出现更厉害的感染COMS的病毒？
　　2 有些数据，被感染了病毒，但你还得要那些文件，你不能说都格盘，删了吧，所以你还得用杀软来清毒3  能防就防，装好了墙，HIPS,杀软，能漏网的毒那不是比你裸奔强多了？干嘛非得等中毒了再去格盘呢？提前就做好预防准备，那不是更好么？ ）12 不装杀软和墙，裸奔这是受高手误导了，很多卡饭高手是不装杀软和墙，这个我也知道（比如说我最崇拜的英俊潇洒玉树临风的罗大人，常年华丽的裸战在网络第一线，哈~）其实某些高手确实没装杀软和墙但HIPS，沙盘，虚拟机，各种像冰刃的辅助工具....一大堆你能和他们比么？？？？？？？
　　所以你要是觉得自己不是高手，我劝你老老实实的装杀软和墙，最好把HIPS也装了有人说：我裸奔1年了，没事啊那么我们也不是天天感冒，我们家里为什么要准备感冒药呢？
　　商场也不是天天着火，为什么要准备灭火器呢？
　　总结：今天你肉机了没有？


　　最后总结：
　　1  大家多试用几个杀软，很多问题就明白了，每个杀软用几个月，然后下点病毒包来自己测试。每用一个杀软，都截个资源占用的图，到时候一比较，资源占用情况也出来（SSM里面看资源占用很方便~）死抱着一个杀软是很不明智的，当一个杀软的激进派粉丝，也不太理智，消费者嘛，用不着那样，咱谁的东西好就用谁的。
　　2   千万不要相信某种组合就是无敌，某款杀软就是万能，没有无敌和万能。
　　以后大家发贴也别用什么 最强，世界第一等等。甚至有些杀软，居然敢在广告中自称守护神，太夸张了，使用杀软，评价杀软，都需要理性，动不动说什么什么最强，无敌，甚至称神，这理智么？
　　3   卡饭真的很多高手，但他们一般潜水，我希望高手们都多浮出水面，讲讲安全知识4   我说完了，大家看得辛苦了，开始华丽的灌水吧~哈[ 本帖最后由 remiel 于 2008-1-6 23:35 编

老顽童

不要妖魔化病毒，嘿嘿。

      在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中，再感染其他系统。
　　可执行文件感染病毒后又怎样感染新的可执行文件
　　可执行文件.COM或.EXE感染上了病毒，例如黑色星期五病毒，它驻入内存的条件是在执行被传染的文件时进入内存的。
　　一旦进入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作：
　　（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；
　　（2）当条件满足，利用INT 13H将病毒链接到可执行文件的首部或尾部或中间，并存大磁盘中；
　　（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。
　　操作系统型病毒是怎样进行传染的?
　　正常的PC DOS启动过程是：
　　（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；
　　（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000:7C00处；
　　（3）转入Boot执行之；
　　（4）Boot判断是否为系统盘，如果不是系统盘则提示；
      non-system disk or disk error
      Replace and strike any key when ready
　　否则，读入IBM BIO.COM和IBM DOS.COM两个隐含文件；
　 　（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件，将COMMAND.COM装入内存；
　　（6）系统正常运行，DOS启动成功。
　　如果系统盘已感染了病毒，PC DOS的启动将是另一番景象，其过程为：
　　（1）将Boot区中病毒代码首先读入内存的0000:7C00处；
　　（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存，监视系统的运行；
　　（3）修改INT 13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘，都离不 开对磁盘的读写操作，修改INT13H中断服务程序的入口地址是一项少不了的操作；
　　（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处，进行正常的启动过程；
　　（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
　　如果发现有可攻击的对象，病毒要进行下列的工作：
　　（1）将目标盘的引导扇区读入内存，对该盘进行判别是否传染了病毒；
　　（2）当满足传染条件时，则将病毒的全部或者一部分写入Boot区，把正常的磁盘的引导区程序写入磁盘特写位置；
　　（3）返回正常的INT 13H中断服务处理程序，完成了对目标盘的传染。

[ 本帖最后由 老顽童 于 2008-2-9 08:16 编辑 ]

老顽童

越来越多的电脑爱好者认为，病毒是影响系统安全的重要因素。有的时候当杀毒软件处理完病毒程序后，会造成双击硬盘盘符打不开、右击出现等AUTO字样等，殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。

解读autorun.inf

　　由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件，并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件，用户可以用文本编辑软件进行编辑（注：该文件只能位于驱动器的根目录下时，才能实现启动加载），该文件包含了需要自动运行的命令，如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。

病情描述

　　当用户在选择：工具-文件夹选项-查看-显示所有文件和文件夹时，计算机无法显视出autorun.inf文件，任意点击C、D、E盘符时会另外打开窗口，而U盘、MP3等第三方存储盘更是如此，插入计算机后，画面文件一闪即过，想查看主目录下的autorun.inf文件，却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件，盘符右击，目录中出现AUTO或两个打开字样（粗字体，细字体）信息等情况，利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。

解决方法

　　面对以上的情况，有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多，这里提供一种方法让用户尝试。

　　一、让文件不再隐藏

　　打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值，单击右键 新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体，在盘符下输入命令attrib，此时便可查看是否有一个名为SH   autorun.inf的文件，完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏，用户只要打开相应的盘符即可看到此文件，将其删除即可。（小提示：attrib 命令是用来设置文件属性 ，attrib +s或-s [文件名] 设置文件属性是否为系统文件 ，attrib +h或-h [文件名] 设置文件属性是否隐藏 ）。

　　二、删除病毒

　　在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件，将其删除，U盘同样。并在依次打开开始菜单中的：运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目，或者运行regedit调出注册表，在其内找到HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run 删除类似C:\ WINDOWS\system32\SVOHOST.exe 键值项即可。

　　三、清除病毒遗留

　　打开我的电脑C盘，在WINDOWS\ 与WINDOWS\system32\ 目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示：每个文件夹都有两个，因为病毒原因导致系统产生两个一样的文件，其中有一个类似文件，用户在删除时一定要注意不要误删除），重新启动电脑后系统将一切正常。

　　后记：隐藏病毒文件并不可怕，可怕是不知其原理而盲目下手，困此而导致系统文件损坏，系统崩溃无法启动，当用户重新对C盘格式化，利用ghost软件恢复系统后，如果其他盘符不进行格式化，那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下，才能彻底解决所带来的困惑！


　　怎样从端口判断是否病毒或木马？端口可分为3大类：

　　1、 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

　　2、注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

　　3、动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

　　一般的，病毒、木马不会采用第一类，即0-1023端口。但是也有例外的，例如红色代码就是用80这个端口。所以，不能笼统的说某某端口出来的就一定是病毒、木马。另外目前的木马定制功能越来越强大，可以随意设计通讯端口，这也给鉴别是不是木马带来了困难。



反病毒技巧：拔营起寨 针对插入式木马的清除方法


　　目前网络上最猖獗的病毒估计非木马程序莫数了，现在的木马攻击性越来越强，在进程隐藏方面，很少采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等，这些木马也是目前最难对付的。现在教你查找和清除线程插入式木马。

　　一、通过自动运行机制查木马

　　一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：

　　(1)注册表启动项

　　在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]查看下面所有以Run开头的项，其下是否有新增的和可疑的键值， 也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe %1%”。

　　(2)系统服务

　　有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

　　(3)开始菜单启动组

　　现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]键名为Startup。

　　(4)系统INI文件Win.ini和System.ini

　　系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“=”后面是空白的；还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

　　(5)批处理文件

　　如果你使用的是Win9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身；如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。

　　二、通过文件对比查木马

　　新出现的木马主程序成功加载后，会将自身作为线程插入到系统进程中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例)：

　　(1)对照备份的常用进程

　　大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下：开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc >X:\processlist.txt”(提示：不包括引号，参数前要留空格，后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。

　　(2)对照备份的系统DLL文件列表

　　对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir *.dll>X:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。

　　(3)对照已加载模块

　　频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

　　(4)查看可疑端口

　　所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如卡卡助手和瑞星个人防火墙。


系统安全：如何巧妙从进程信息中 判断病毒和木马


　　任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法

　　当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

　　除了上文中的两种方法外，病毒还有一招终极XXXXX——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

　　上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe

　　常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

　　在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。

explorer.exe

　　常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

　　explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。

iexplore.exe

　　常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

　　iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

　　常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

spoolsv.exe

　　常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

　　限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

　　1.仔细检查进程的文件名；

　　2.检查其路径。

　　通过这两点，一般的病毒进程肯定会露出马脚。

[ 本帖最后由 老顽童 于 2008-2-9 08:20 编辑 ]

中翔

我用微点+卡巴。
但是卡巴只是用来扫描，把监控都关闭并且不启动
自我感觉良好，10个月未中招

franklee

病毒进程肯定会露出马脚。