谈杀毒软件的“杀毒”能力（转） 个人觉得不错！

洗涤心灵的雨

谈杀毒软件的“杀毒”能力（转） 个人觉得不错！1
　　

为什么讨论“杀毒”能力呢？本来我想说“清毒”能力的，但是清毒容易被人认为是修复文件的能力。而我今天主要要探讨的是我们所用的杀毒软件在已经中毒的情况下，杀掉病毒，让系统恢复正常的能力。

注：本文中仅就安全软件的某些方面能力做讨论，并非对各个安全软件做比较，请大家理性看待。

先说说我遇到的一些情况。熟悉杀毒软件的人，相信都跟我一样，经常会遇到有朋友来求助，“快来帮我看看，我的系统中毒了……”现在的很多毒都是下载者一类，中一个就是一大堆，赶上一个感染型的更糟糕了。并不是所有的情况都适合重装。怎么办呢？一般我遇到求助的，都首先想办法杀毒，杀掉毒以后如果系统还能正常使用，那么就不用重装了。



杀一窝毒不可能手动杀，肯定先找个杀软，清理差不多了，再手动清除。这个时候就能看出杀毒软件“杀毒”能力的高下了。（以下是个人经历，并非对某些安全软件进行评价，只是为了说明问题）



做杀毒工作的杀毒软件，必然要有较高的查杀率。所以我脑海里第一选择就是小红伞。但是经过几次以后我失望的发现，小红伞对于已经中毒的机器效果并不好。比如有dll插入了explorer或者其它系统进程，红伞能够发现，但是清除不掉。Free版的红伞没有自动处理，所以报警框接连不断。朋友经常会诧异，怎么中了这么多，杀都杀不完。但是仔细观察一下报警，反反复复都是那几个文件。



后来我尝试用微点，发现微点的效果很不错。安装好以后，只要微点能够正常启动工作（当然，也有病毒屏蔽微点或者干扰微点，这就另当别论了），那么即使病毒插入了系统进程或者挂载的比较底层，微点也能提示重启杀掉，一般提示的病毒，重启了以后都能杀掉。



另外还有费尔，费尔我没有直接用做杀毒过，但是有几次有朋友在外地遇到病毒，就是我指示他们用费尔来杀毒。费尔比较好的地方就是能够恢复注册表，有些病毒利用修改注册表的方式来达到开机加载，屏蔽安软，加驱动等目的，费尔能够提示异常并且修复，修复后病毒的加载失效了，那么再次重启以后就能够顺利的杀掉。



卡巴斯基怎么样呢？我以前遇到过卡巴斯基反复重启也杀不掉一个dll的情况，不过似乎那个dll挂载到了Appinit_DLL上面，想清除它殊为不易。一般的病毒，卡巴斯基重启以后应该是能够清除的。



除了上述两个一般被我用来做应急杀毒的安全软件以外。我个人认为，Norton和Microsoft的安全软件的杀毒效果应该是最好的。这两个杀毒软件是我用过的杀软里面我所知道的，有详细的清毒流程的安软。用过Norton的人应该都知道，在Norton提示病毒清除完成以后，点开历史记录，会看到一个病毒的详细信息。最近扫描样本包的时候我就很奇怪，明明我没有运行过某些样本，但是Norton扫描完以后提示要清除某些样本需要重启。打开历史记录就看到某样本，52个注册表项，4个服务，N个文件……原因就是，当一个病毒样本被上报给Norton以后，Norton的工程师会根据样本的运行情况写一个清毒的流程，发现这个样本以后，Norton就会跑一遍这个流程，并且由于某些样本会加载到底层，所以Norton会提示重启清除。



Microsoft也是这样，昨天扫描某样本（样本本身没有运行），扫描完成以后，MFCS提示我重启，并且我的机器无法打开网页了，但是已经登陆的QQ还在线。打开网络连接查看，发现DNS设置被清空了。应该是样本有修改DNS设置的动作，而MFCS的根据解毒流程进行清理，所以清空了我的DNS 设置。



Norton和微软的安全软件发现样本以后的清理过程相当长，公认的杀毒很慢。但是慢是有它的原因的，就是他们在进行清毒流程。这种方式的缺点也比较明显，就是无论中毒与否，都要跑一遍清毒程序，耗时很久，同时，可能带来不可预知的后果（比如我遇到的DNS被清空的问题）。



总结一下：上述的分析只是浅薄的分析。我觉得，想要具备较强的“杀毒”能力，那么首先这个杀毒软件要工作在系统的底层，具备在底层拦截，终止和清除病毒的能力。其次，要有较早的启动加载能力。能够在病毒启动加载前完成加载，才能够做到重启干掉病毒。当然，如果像 Norton和Microsoft那样，具有详细的解毒流程，那就更完美了。因为那不仅仅是清除了病毒，还能够恢复系统的正常。