六大绝招,让你电脑经得起考验
金山毒霸2007评测

作者：家用电脑    来源：家用电脑    投递者：      [2007-12-29 14:37]      阅读：人

• 
  
  
  顶一下
• 选择一款真正实用的安全软件，才是规避网上各类病毒，木马的不二法门。2006年底推出的金山毒霸2007相信会是你的不错选择。

盘点2006年，计算机病毒多变种，恶意软件、流氓软件的泛滥，钓鱼欺诈网站的频繁出现，用户的上网安全承受了巨大考验。杀毒，卸载流氓软件，格盘、重装系统，几乎成为了2006年最为热门的词汇。其实选择一款真正实用的安全软件，才是规避网上各类病毒，木马的不二法门。2006年底推出的金山毒霸2007相信会是你的不错选择，它以其独有的六大绝招彻底的保护你的系统，让你电脑“百毒不侵”。

绝招一：脱壳查杀技术，撕破病毒的伪装

2006年，被截获的计算机病毒数量激增，据金山反病毒中心提供的数据，今年一个季度截获的病毒数量，大致相当于去年一年截获的数量。其中大量病毒是被传播者利用加壳打包工具处理过的，其目的是逃避杀毒软件的追杀。
    
杀毒软件处理加壳病毒，通常采取两种方法：一是对加过壳的病毒按新病毒处理，在病毒库中新增一个变种的特征。二是杀毒引擎提供脱壳算法，分析病毒加壳的类型，杀毒引擎完成解壳杀毒过程，也称静态脱壳。两者各有利弊，加新特征就需要获取新样本，没有样本之前，杀毒软件就可能无法检测到加壳病毒。静态脱壳检测速度快，资源占用少，是业界通行的作法。但开发周期较长，一种脱壳算法，只支持一种或一类相关加壳软件处理的病毒。如果病毒使用新壳，静态脱壳就需要时间来分析新的算法。杀毒厂商通常二者兼用，相互取长补短。
    
有别于虚拟机脱壳技术，金山采用数据流脱壳。虚拟机脱壳，是在正常的系统内存中开辟一个虚拟环境，在虚拟环境运行病毒程序本身的脱壳代码。这种方法的好处是减少了静态脱壳的开发周期，但缺点也是显而易见的，就是需要消耗更多的系统资源，特别是在一个病毒经过多层加壳，或者多种加壳软件嵌套加壳之后，虚拟机消耗的系统资源急剧上升，系统性能也会明显变差。
    
金山采用的数据流则更大胆，直接分析病毒运行过程中生成的数据流特征。在病毒程序运行时，首先会自行脱壳，从而暴露出程序原始特征，在病毒原始代码现身后，杀毒引擎会及时做出响应，将病毒程序清除，这种方式避免了虚拟机需要的资源开销，内存耗损。此外，数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如，病毒A是一个加壳病毒，脱壳后生成病毒B，那么只要能够清除病毒B，就可以清除与A具有相同特征的加壳病毒C，而无论C脱壳后生成的是病毒D还是F。对于静态病毒文件，由于不产生数据流，对系统不具有破坏威胁，采用数据流杀毒技术将不会被检测到。
    
测试中使用了广为流行的灰鸽子样本，经过加壳处理，在打开样本程序时，金山毒霸数据流引擎立即检测到病毒，并完成病毒清除。

图1 检测出加壳的灰鸽子