安防２００８

編輯：吳敵 宋晶晶

美編：彭嘉鳴

2008年上半年，關于數(shù)據(jù)安全的話題很多，網(wǎng)絡上不斷爆發(fā)的各種病毒和木馬讓網(wǎng)游玩家、網(wǎng)銀用戶每天提心吊膽；因數(shù)據(jù)存儲設備丟失而爆出的各種丑聞讓用戶開始擔心自己的數(shù)據(jù)是否也在某次電腦維修時不慎泄露。2008年的春天，不少用戶第一次發(fā)現(xiàn)，自己所處的網(wǎng)絡環(huán)境、數(shù)據(jù)安全環(huán)境竟然是如此脆弱。究竟如何保證重要數(shù)據(jù)不外泄，成為每一個使用PC的用戶最為關心的事情之一。然而，所謂“時勢造英雄”，越是這種看似黑暗的時候，往往孕育著一個美好的黎明。無論是各大軟件、硬件廠商的不斷努力，還是網(wǎng)絡安全立法的呼聲，都預示著目前網(wǎng)絡安全所面臨的壓力，將催生一個制度健全的網(wǎng)絡環(huán)境。在此之前，作為用戶，我們能做的是通過各種一手段，保護好我們自己。然而，這并不容易做到。

新威脅來勢兇猛

2007年，讓人們印象最為深刻的病毒恐怕非“AV終結者”莫屬了。它的出現(xiàn)標志著病毒進入了一個全新時代，一個赫然向安全防護軟件發(fā)起反攻的時代。感染了AV終結者病毒的電腦中，在第一時間被破壞的是各種安全防護軟件。隨后該病毒開始自動從網(wǎng)絡上下載各種木馬，這些被病毒下載的木馬在安全防護軟件被破壞的情況下，肆無忌憚地盜取用戶的關鍵信息。

從2007年年底到現(xiàn)在，類似的病毒不斷出現(xiàn)，比較著名的有“機器狗”、“磁碟機”，以及近期逐漸流行起來的“Auto木馬群”。

機器狗病毒可以說是專門針對網(wǎng)吧開發(fā)出的一種病毒，它利用Hook系統(tǒng)取得硬盤控制權，獲得高于各種軟硬件還原程序或設備對硬盤的控制權。換句話說，即便是裝了還原卡，中了機器狗也無法還原到中毒前的狀態(tài)。

磁碟機病毒的歷史更長一些，早在2007年2月便已被發(fā)現(xiàn)，當時它的名字叫做“千年蟲”。當時由于這一病毒自身編寫的一些問題而沒有流行起來。經(jīng)過差不多一年時間的完善，病毒編寫者終于成功了，該病毒前不久大規(guī)模爆發(fā)，其癥狀與AV終結者、機器狗一樣，首先是屏蔽安全防護軟件，然后通過注冊系統(tǒng)Hook獲得高控制權，取得開機自動運行能力，將病毒注入系統(tǒng)，在U盤等移動存儲介質(zhì)上建立Autorun文件——最后，自動下載各種木馬。

而最近的有爆發(fā)趨勢的Auto木馬群則采取以數(shù)量取勝的策略，對安全防護軟件發(fā)起挑戰(zhàn)。這一病毒在執(zhí)行流程上，大體與前面提到的幾個病毒相似，不過它更加兇狠。這款病毒會用關鍵字，比如“360”、“毒霸”等，掃描系統(tǒng)注冊表啟動項，一旦發(fā)現(xiàn)立刻使用NTSD指令將其禁用，而對于卡巴斯基則采用調(diào)整系統(tǒng)時間的手段使其失效。待安防軟件失效后，這款病毒便開始注入系統(tǒng)，其行為包括根據(jù)系統(tǒng)盤內(nèi)容自動算出符合系統(tǒng)規(guī)則的EXE、DLL文件名，并在各盤符下安置病毒文件；當病毒的DLL文件成功注入系統(tǒng)后，自動刪除自身源文件，加強隱蔽性。而最為夸張的是，這款病毒目前仍在不斷更新，發(fā)作后除了同時從網(wǎng)絡上下載多達十七個針對不同游戲、網(wǎng)銀的木馬外，還會自動下載病毒更新，以對抗安全防護軟件的更新。

從2007年的暗中對抗，到2008年的公開挑戰(zhàn)，以盜取虛擬財產(chǎn)、網(wǎng)銀帳號非法牟利的“網(wǎng)絡黑金”組織已經(jīng)明顯地擺在大眾面前。一張來自金山的網(wǎng)絡黑金流程圖，很好地說明了這一切。

在網(wǎng)絡安全立法之前，我們只能依靠不斷提升自身對安全防護的認識，并依靠安全防護軟件廠商推出的產(chǎn)品保護我們的數(shù)據(jù)、信息安全。但今年年初發(fā)生的一些事情，讓我們發(fā)現(xiàn)單純的病毒、木馬防護是遠遠不夠的。

數(shù)據(jù)安全不等于安全防護軟件

2008年年初的“女星照片事件”，讓用戶們首次發(fā)現(xiàn)原來安全隱患不僅僅來自病毒、木馬，看似安全的本地脫機數(shù)據(jù)居然同樣面臨種種人為的安全威脅。這就不僅僅是裝一個安全防護軟件的問題了——電腦或硬盤一旦丟失，你的數(shù)據(jù)損失將是難以估計，無法恢復的。而隨著數(shù)據(jù)丟失帶來的問題往往是任何人都難以承擔的。

單純的病毒防護只能保證用戶在訪問網(wǎng)絡環(huán)境時不受病毒、木馬、惡意程序的騷擾，而離開這個環(huán)境的時候，或者說將數(shù)據(jù)“落實”到物理存儲介質(zhì)層面的時

如果說來自網(wǎng)絡上的各種病毒、木馬，讓用戶養(yǎng)成了安裝安全防護軟件的習慣，那么種種數(shù)據(jù)被盜事件，理論上來說應該讓用戶養(yǎng)成更好的數(shù)據(jù)存儲、管理習慣。不過，就我個人了解，至少我周圍的朋友中具有良好的數(shù)據(jù)存儲、整理、備份習慣的人不多。動輒因為硬盤故障丟失全部工作內(nèi)容的人有之；經(jīng)常找不到文件存放位置的亦有之；更有甚者，在重新安裝候，安全防護軟件毫無意義。存儲設備的特性決定著你的數(shù)據(jù)是否能夠在該設備丟失的情況下仍舊保存完好，不為他人所訪問。這等于是對存儲產(chǎn)品提出了新的要求。實際上這方面，硬盤、光存儲廠商早有準備，早在2006年年底，硬盤廠商就開始推出各種加密產(chǎn)品，只是當時并不普及。而光存儲方面，在Nero和LG的推動下，我們現(xiàn)在已經(jīng)可以刻錄加密光盤了。操作系統(tǒng)的時候迷糊地將系統(tǒng)盤符設定為移動硬盤。因此，從這個角度來說，一套完善的數(shù)據(jù)存儲機制，配合一些具有加密功能的硬件設備，可以有效地幫助用戶管理好、保護好他們的數(shù)據(jù)。

軟硬件廠商——我們一直在努力

2007年，金山曾經(jīng)組織過一次小范圍的媒體溝通會。會上，來自金山珠海研發(fā)部門的發(fā)言人帶給與會者的是一縷淡淡的無奈——在沒有法律約束的互聯(lián)網(wǎng)上，道德成為最后的底線。但是對于那些通過互聯(lián)網(wǎng)，使用非法手段謀取暴利的病毒、木馬編寫、散布者而言，道德遠不如金錢誘人。即便是有這樣或那樣的無奈，各大安全防護廠商仍在不斷努力，竭盡可能為用戶創(chuàng)造一個相對安全的互聯(lián)網(wǎng)環(huán)境。

從去年年底各大安全防護廠商發(fā)布的新款安防軟件來看，主動防御技術已經(jīng)成為標準配置。而不少廠商在此基礎上研發(fā)出的基于網(wǎng)絡的增強型程序安全認證技術，更是讓主動防御功能擁有更高的效率。通過網(wǎng)絡認證程序安全，相當于獲得了一個非常龐大的文件樣本數(shù)據(jù)庫，并且這個數(shù)據(jù)庫是全動態(tài)的。這有點像網(wǎng)絡集群運算，每一個節(jié)點都是安裝了具有這種功能的安全防護軟件的用戶計算機。一旦有一個節(jié)點上報可疑文件，服務器端立刻開始進行分析、判定該程序是否為新的安全威脅；如果是新的威脅，那么服務器端會迅速將該信息以更新的形式部署到網(wǎng)絡上的每一個節(jié)點。這樣一來，凡是安裝有該安全防護軟件的計算機，在遇到該威脅，或類似未知程序時，即可做出相應判斷，禁止該程序運行，從而實現(xiàn)了所謂的主動防御功能。

這種基于互聯(lián)網(wǎng)的認證體系，要比本機基于人工智能算法的主動防御更有效一些。尤其是對于木馬或是具有欺詐性的程序而言，這種方式效率要高得多。原因很簡單：木馬本身并不能歸為病毒，木馬和病毒在基本定義上是完全不同的。按照傳統(tǒng)的殺毒模式來對付木馬，是非常困難的。而且我們前面也提到了，現(xiàn)在病毒木馬已經(jīng)結合在一起——先由病毒破壞系統(tǒng)、破壞殺毒軟件，并下載木馬；再由木馬盜取信息。單純的“打補丁”式的殺毒軟件更新，已經(jīng)難以對抗這種可以說是相當有“創(chuàng)意”的安全威脅了。

而基于互聯(lián)網(wǎng)的認證系統(tǒng)，則可以保證系統(tǒng)不被類似的問題困擾，畢竟未通過認證的程序是無論如何也不可能運行的，既然不能運行也就不存在是否要清除的問題了。當然了，這種認證體系仍然存在一定的“時間差”，因為從一個節(jié)點發(fā)現(xiàn)問題，到其他節(jié)點全面更新，這一過程中總是需要一點時間來進行分析，并制作相應更新或是策略。即便如此，這種方式仍然是目前為止，看起來最為有效的主動防御模式。

除了病毒、木馬外，另外一種導致數(shù)據(jù)外泄、被破壞的因素，就是存儲設備的丟失或誤操作。誤操作主要是對于可擦寫的存儲設備而言的，只讀光盤一般不存在這一問題；而存儲設備的丟失，則是所有數(shù)據(jù)保存設備都要面臨的問題。一般來說，我們的計算機都會有各種各樣的密碼保護，比如BIOS的開機密碼、Windows的開機密碼，甚至我們還可以給硬盤用上一套ATA密碼，用于保護數(shù)據(jù)不被訪問。但是這些密碼保護面臨著同樣一個問題——它們都可以通過種種方法清除。一旦這些密碼被清除掉，你的數(shù)據(jù)就赤裸裸地暴露在光天化日之下了。

更為有效的方式是對數(shù)據(jù)本身進行加密，這樣一來不管你的保護密碼是否被破解，你的數(shù)據(jù)都是安全的。因為即便非法訪問者得到了這些加密后的文件，對他而言也是無用的數(shù)據(jù)——除非他可以破解這些數(shù)據(jù)的加密算法——那將是一件極為耗時費力的工程，也并不是什么人都能做到的，至少那些電腦維修人員很難具備這樣的技術實力。目前希捷推出的FDE硬盤具有數(shù)據(jù)加密能力。這種FDE硬盤在向硬盤內(nèi)寫入數(shù)據(jù)的同時，便對數(shù)據(jù)進行加密。這樣一來，該硬盤一旦脫離當前硬件平臺環(huán)境，則無法讀取原始數(shù)據(jù)，只能訪問到一些無意義的加密存儲文件。

不過，目前這種FDE硬盤在民用領域并不普及，普通用戶也很難買到這樣一款產(chǎn)品。但是，我們是可以用到擁有類似技術的產(chǎn)品的，不過這些產(chǎn)品往往是一些外置硬盤產(chǎn)品。比如Western Digital(西部數(shù)據(jù))推出的Passport系列外置移動硬盤和Seagate(希捷)推出的FreeAgent系列外置移動硬盤均具備數(shù)據(jù)同步、加密功能。通過集成在硬盤上的同步程序，我們可以把重要數(shù)據(jù)同步到外置硬盤上。如果沒有密碼的話，訪問者將看到加密后無法正常訪問的數(shù)據(jù)。當然，這些產(chǎn)品也可以提供標準外置硬盤功能，按照正常方式復制到外置硬盤中的數(shù)據(jù)則不被加密，可以任意訪問。此外，還有一類產(chǎn)品采用的是硬件加密的方式，比如BenQ推出的DP360，就是一款使用硬件密鑰加密的外置移動硬盤產(chǎn)品——在缺少硬件密鑰的情況下，硬盤將不可被訪問。

習慣決定一切

對于數(shù)據(jù)存儲、互聯(lián)網(wǎng)安全方面發(fā)生的種種情況，其實都是可以避免的，前提條件只是要求用戶有一個好的使用習慣而已。所有的失誤、意外，都可以歸結為長期不良習慣導致的必然結果。如果你將重要數(shù)據(jù)通過加密的方式保存在外置硬盤中，并妥善保管這塊外置硬盤。那么你的重要數(shù)據(jù)很難因重裝系統(tǒng)，或是其他什么別的原因造成損失。即便不使用加密功能，這種方式仍然能夠最大限度地保護你的重要數(shù)據(jù)。此外，良好的磁盤分配方案，也可以在出現(xiàn)意外時幫助你減少損失；而對于難以找到的文件，我們則可以通過“桌面搜索”功能幫助我們找到。

對于網(wǎng)絡安全而言，如果只是單純地安裝一個安全防護軟件，也不見得就能保證你永遠不受病毒、木馬的侵害。安全防護軟件還是需要用戶花上一點點時間來關注和維護的。盡管目前的安全軟件廠商已經(jīng)盡可能地將各類提示做到最少，但有些時候防火墻或?qū)崟r監(jiān)控模塊，還是會彈出一些對話框讓用戶確認。這個時候往往是安全威脅最有可能穿透你的防御工事的時候。因為一旦安全軟件彈出對話框，需要你對下一步操作進行確認，說明安全防護軟件對于這個即將運行的程序產(chǎn)生了質(zhì)疑，但又不能完全確定其性質(zhì)，因此需要用戶做進一步確認。這個時候如果根本不看內(nèi)容，而直接選擇通過認證的話，就很有可能釀成數(shù)據(jù)災難。

總體來說，養(yǎng)成良好的習慣，可以十分有效地減少出現(xiàn)關鍵數(shù)據(jù)損失的幾率，并且能夠?qū)?shù)據(jù)災難發(fā)生時的損失降到最低。個人認為，無論是安全軟件廠商，還是各類硬件設備生產(chǎn)廠商，在這方面都有責任給用戶提供幫助。幫助用戶養(yǎng)成良好的使用習慣，進而從用戶層面斷絕發(fā)生數(shù)據(jù)災難的可能。

編輯選擇獎

空缺

如何決定一款安全防護軟件的好壞?是更少的資源占用、更快的掃描速度?還是更少的提示、更安靜的環(huán)境?又或是發(fā)現(xiàn)病毒的數(shù)量?實際上。由于各款安全防護軟件的引擎不同，對于各種安全威脅的處理、應對方式也不同，我們怎么才能說哪種方式才是好的呢?

另外，單從功能性角度來看，我們測試的這些安全防護軟件的功能都很全面，可以說是不分伯仲。至于性能方面的表現(xiàn)，各款軟件之間差異也并不算太大。除了ESET的NOD32具備超快的全盤掃描表現(xiàn)外，其他軟件的表現(xiàn)可以說是比較接近。而ESET的NOD32在功能上的缺陷(不具備高級防火墻功能)，單看性能表現(xiàn)也是不全面的。因此，從全面的角度考慮，我們決定本次專題的編輯選擇獎空缺。

性能測試

安全防護軟件的測試

本次專題，我們將測試分成幾個不同的部分，分別考察軟件在不同狀態(tài)下的工作狀態(tài)。我們將重點放在了性能，以及用戶體驗兩個方面。相對于之前一次專題(詳見2007年9月號雜志)而言，本次專題我們嘗試了一些新的測試方法，包括一個病毒庫的掃描測試。雖然這種病毒范本庫的掃描測試在安全防護引擎的測試方面并沒有太大意義，但它可以體現(xiàn)出安全防護軟件的一些基本特性。比如在執(zhí)行掃描任務時的CPU、磁盤、內(nèi)存占用率。掃描所用時間。以及發(fā)現(xiàn)未知問題時提供的解決方案等等。而是否能夠發(fā)現(xiàn)全部病毒樣本，僅僅是一個參考。

具體的測試項目包括：系統(tǒng)資源占用測試、全局掃描性能測試、病毒樣本壓縮文檔掃描測試、病毒木馬模擬入侵測試。其中，系統(tǒng)資源占用測試主要用于考察安全防護軟件在系統(tǒng)無任何操作的狀態(tài)下消耗多少系統(tǒng)資源；全局掃描性能測試主要用于考察在手動或自動執(zhí)行全局掃描時。安全防護軟件的資源占用情況；病毒樣本壓縮文檔掃描測試主要用于考察在執(zhí)行此類操作時系統(tǒng)資源占用情況，以及發(fā)現(xiàn)病毒、木馬時安全防護軟件的反應及處理方式：最后一項病毒木馬模擬入侵測試則采用模擬病毒入侵的方式考察安全防護軟件面對入侵時，提供的處理方案以及反饋表現(xiàn)。

整套測試在一個封閉的網(wǎng)絡環(huán)境下完成，操作系統(tǒng)為Windows Vista Enterprise，測試時所有安全防護軟件的病毒定義均更新到最新版本。測試時使用的病毒樣本壓縮包為總容量1GB的RAR格式多重壓縮文件。在進行病毒樣本壓縮文件掃描時，我們并未統(tǒng)計每款軟件發(fā)現(xiàn)的病毒數(shù)量。這是因為每款軟件對于多重壓縮文件的處理方式不同，并且對于病毒、威脅的標識也不同。比如有的軟件對于多重壓縮文件并不進行太多過問，但解壓縮這種文件時發(fā)現(xiàn)威脅，軟件會第一時間報警并阻止它們運行；而有的軟件則會對多重壓縮文件進行深度掃描，但真正解壓縮帶毒文件時卻并不過問，直到該文件進入內(nèi)存準備運行時才做出相應反應。發(fā)現(xiàn)病毒樣本數(shù)量的多少并不能說明問題。

[看好你的數(shù)據(jù)]

“不要把雞蛋放在一個籃子里”，這是一個很淺顯的道理——放在不同的地方，一旦籃子打翻了雞蛋損失不那么大。這一道理放在數(shù)據(jù)安全，或是存儲領域，再合適不過了。目前用戶最為擔心的是什么?那就是個人數(shù)據(jù)的安全性。2008年年初的一起“照片外泄”事件，給人們帶來了不小的震撼，不管人們關注的角度是什么，這種情況理論上來說是可以從根本上避免的。

簡單來說，如果是極為重要，又不想繼續(xù)保存的數(shù)據(jù)文件，簡單的刪除不足以保證絕對的安全。因為現(xiàn)在數(shù)據(jù)恢復軟件機制，可以說是十分健全。以往數(shù)據(jù)丟失，我們可能會束手無策；而現(xiàn)在，隨便去網(wǎng)上找找，就能找到一套功能強大的數(shù)據(jù)恢復軟件，想要恢復一些因為刪除或是格式化硬盤損失的數(shù)據(jù)，易如反掌。對于這些數(shù)據(jù)，我們建議使用“文件粉碎機”功能將其徹底摧毀。

對于那些想要保留的機密數(shù)據(jù)，存儲在系統(tǒng)的硬盤上是極不明智的一種選擇。存儲在系統(tǒng)硬盤上的數(shù)據(jù)很不安全，一旦黑客控制電腦，或電腦被別有用心的人使用過，都有可能造成數(shù)據(jù)丟失；而系統(tǒng)故障，誤操作(比如安裝操作系統(tǒng)時選錯分區(qū))更有可能造成數(shù)據(jù)的硬損傷，并且不易恢復。不要覺得這種事情很少發(fā)生，實際上系統(tǒng)內(nèi)數(shù)據(jù)丟失、遭破壞是這個世界上每天都在發(fā)生的事情，如果你從沒遇到過只能說明你很幸運。

其實解決的方法很簡單，那就是多準備幾個“籃子”——備份。備份有很多種方式，簡單的文件拷貝是其中之一，但它的安全性最差。比如，你把一些關鍵數(shù)據(jù)備份到自己的移動硬盤上，但是不慎將移動硬盤遺失，或是借給別人用了。那么，你的這些關鍵數(shù)據(jù)就很危險了。同理，將關鍵數(shù)據(jù)進行刻錄也會面臨類似的問題——你，必須看好你的備份存儲設備。

隨著技術的不斷進步，我們目前已經(jīng)可以使用一些具有新功能的存儲設備來備份我們的數(shù)據(jù)了。目前不少移動硬盤都具備同步功能，并且是加密同步。這樣一來，同步到移動硬盤中的數(shù)據(jù)首先經(jīng)過加密，并以特定方式進行存儲，比如有些產(chǎn)品會把加密數(shù)據(jù)存儲在加密分區(qū)內(nèi)，有些則通過加密算法將數(shù)據(jù)轉(zhuǎn)換成無法識別的格式保存在硬盤上。這樣一來，即便這些備份有重要數(shù)據(jù)的設備落入他人之手，也不必擔心數(shù)據(jù)會被非法訪問。

不過這種方式存儲的數(shù)據(jù)雖然安全性很高，但調(diào)用起來不是特別方便。為了方便使用，就需要我們平時養(yǎng)成對數(shù)據(jù)分級、分類存儲的習慣，只同步那些關鍵且不需要經(jīng)常調(diào)用的數(shù)據(jù)：而要經(jīng)常調(diào)用的數(shù)據(jù)，則可以用非加密的方式存儲在外置存儲設備上，以方便調(diào)用。而這些經(jīng)常使用的數(shù)據(jù)，輕易也不會離開你的身邊，被盜取或遺失的可能性較小。

另外，對于公共PC或公用存儲設備，設置多帳號訪問是十分有必要的。比如有人要借用你的PC，那么你最好是給他單獨開設一個臨時帳號，比如你可以打開Windows的Guest帳號供他人借用PC時使用。由于Windows的帳號具有明確的權限劃分，不同帳號之間不可互相進行數(shù)據(jù)訪問。這種方式對于本機數(shù)據(jù)的保護具有一定幫助。

就算是有健全的帳號、權限規(guī)范，我們還是建議你經(jīng)常備份重要的數(shù)據(jù)，并且最好采用加密備份的方式。目前市面上支持該功能的產(chǎn)品非常豐富，而且并不需要投入太多資金就可以實現(xiàn)加密存儲的功能，可以說這是一種極其劃算的選擇。

BenQ DP360

BenQ的DP360讓我們看到了已經(jīng)很少見的硬件加密設備——密鑰。DP360帶有兩個專用密鑰，如果不連接專用密鑰，DP360將無法訪問。區(qū)別于使用復雜加密算法的軟件數(shù)據(jù)加密，硬件加密有其獨特的優(yōu)勢，那就是很難被破解。不過問題也同樣明顯，因為總會有粗心大意的用戶丟失硬件密鑰，哪怕有兩把。

WD Passport

Passport最大的特色是提供了一套獨立于系統(tǒng)的工作平臺，除了可以與主機之間同步數(shù)據(jù)外，還可以收發(fā)Email。對于經(jīng)常外出的用戶來說，使用起來極為便捷。經(jīng)過WD Sync同步過的數(shù)據(jù)，即經(jīng)過加密處理。雖然從資源瀏覽器中可以看到這些數(shù)據(jù)，但它們已經(jīng)被加密成無法打開的特殊數(shù)據(jù)了。此外，WD Sync提供“失物招領”功能，相信那些拾到硬盤，卻打不開任何數(shù)據(jù)的人，會按照失物招領里的地址聯(lián)絡我們的吧。

LG GSA—H55L

這款LG的GSA-H55L與其他光存儲產(chǎn)品，在基本性能方面并無太大不同。但從功能方面來看，這款產(chǎn)品除了提供了對Light Scribe的支持外，還提供LG與Nero公司共同開發(fā)的全新光盤加密技術SecurDisc。這項新技術能夠防止未經(jīng)授權訪問CD和DVD上的數(shù)據(jù)。如果在刻錄數(shù)據(jù)時使用了SecurDisc，那么這張光盤上的數(shù)據(jù)要保險得多——沒有驗證碼就不能訪問。

ESET NOD32防病毒軟件

ESET的NOD32防病毒軟件最大的特色在于小巧。其安裝程序僅有12MB，并且擁有極好的掃描速度和系統(tǒng)占用率。相對于其他安全防護軟件而言，NOD32的內(nèi)部結構簡單到了極致。采用匯編語言編程，基于模塊化的設計，讓NOD32不但體積小巧，并且性能表現(xiàn)出色。當然，也正是因為精簡的設計、小巧的體積，導致它的界面十分簡陋。甚至，我們很難相信這是一個可以運行在Windows Vista下，并與系統(tǒng)結合緊密的安全防護軟件。

在功能上，這款產(chǎn)品雖然小巧，但功能依然算得上很全面。首先，它并沒有明確的防火墻功能，而是提供了一個網(wǎng)絡監(jiān)視模塊(IMON)，這個模塊常駐于內(nèi)存，在Winsock級來防止惡意代碼入侵電腦，它會掃描互聯(lián)網(wǎng)瀏覽網(wǎng)頁(HTTP)、以及POP3電子郵件協(xié)議。這一模塊具備部分防火墻功能但并不全面，在防止黑客入侵方面，這一模塊可以說是無能為力的。不過Windows Vista用戶不需要擔心這一點，Windows自帶的防火墻功能在大部分情況下已經(jīng)足夠了，結合NOD32的IMON模塊，系統(tǒng)仍舊可以保持在安全狀態(tài)。

NOD32中最為重要的一個模塊是AMON，即文件實時監(jiān)控功能。這一模塊的主要作用就是實時掃描計算機即將訪問的文件。NOD32整體采用ThreatSense智能啟發(fā)式偵測引擎配合傳統(tǒng)特征碼掃描引擎，能夠有效地防護來自互聯(lián)網(wǎng)的多種未知、已知安全威脅。而AMON模塊正是基于這一技術的具有主動防御能力的實時監(jiān)控模塊。當有惡意程序試圖進入系統(tǒng)時，AMON模塊會對用戶提出警告，并阻止程序進一步運行。而另外一個DMON模塊的作用是專門監(jiān)視微軟的Office軟件，通過監(jiān)視微軟提供的API，在打開Office文件時首先檢測文件是否被感染(包括在IE上打開Office文件)，可以有效地避免因打開受感染，或帶有惡意宏指令的Office文件而導致系統(tǒng)受損。最后一個模塊EMON，是一個輔助的模塊，通過MAPI接口與電子郵件客戶端軟件協(xié)同工作，比如Microsoft Outlook、Microsoft Exchange，配合IMON給用戶提供完善的系統(tǒng)保護。

除此之外，NOD32還具有基于網(wǎng)絡的認證體系。當本地的NOD32發(fā)現(xiàn)未知威脅后，首先是阻止威脅運行，并對可疑文件進行隔離。隨后，NOD32會將本機不能確認是否是新型威脅的可疑文件向ESET服務器提交，將這些文件交由ESET分析、取得認證后，類似程序或威脅再次出現(xiàn)，NOD32會根據(jù)新的更新進行自動處理。

江民殺毒軟件KV2008

江民殺毒軟件KV2008，在保留之前版本全部功能的基礎上，提供了更多的安全防護模塊。與之前的KV2007相比，KV2008再次改進了智能分級殺毒引擎，在掃描速度上有更好的性能表現(xiàn)。同時，KV2008更加完善了實時數(shù)據(jù)流檢測、主動防御功能，不再需要像KV2007那樣在正常掃描后進行未知病毒掃描，主動防御功能徹底實現(xiàn)了實時化，隨時保護系統(tǒng)安全。

另外，江民殺毒軟件KV2008提供了一個獨立的防火墻控制界面。通過簡潔的控制界面，用戶可以實時了解當前網(wǎng)絡狀態(tài)，并對突發(fā)事件進行響應。比如在被感染的情況下，用戶可以通過防火墻控制界面及時切斷網(wǎng)絡，最大化保護自己的機密信息不被泄露。除此之外，江民殺毒軟件KV2008仍舊是一體化UI設計，用戶可以在主界面上了解到絕大多數(shù)信息，并實現(xiàn)絕大多數(shù)操作。同時，江民殺毒軟件KV2008還提供了一個迷你面板，在不需要復雜操作的時候，一些簡單的應用，比如升級、掃描，都可以在迷你面板中完成，啟動速度更快，使用更便捷。

江民殺毒軟件KV2008提供了“一鍵恢復”功能。這實際上是一個獨立的程序，叫做江民電腦保護系統(tǒng)。這套保護系統(tǒng)可以根據(jù)用戶需要制作系統(tǒng)快照，創(chuàng)建還原點。以便在系統(tǒng)出現(xiàn)故障時做恢復使用。不過與操作系統(tǒng)自帶的系統(tǒng)還原功能不同的是，江民電腦保護系統(tǒng)的速度非常快，創(chuàng)建還原點和恢復時間都很短。此外，江民電腦保護系統(tǒng)可以創(chuàng)建多達1000個還原點，功能十分強大。

金山毒霸2008

金山毒霸2008是一款具有主動防御能力的安全軟件產(chǎn)品，而且它實現(xiàn)主動防御的方式十分特別。金山毒霸在病毒庫和主動防御的基礎上，采用了最新的“互聯(lián)網(wǎng)可信認證”技術，進一步提高了抵御未知病毒的能力。當用戶的系統(tǒng)遇到無法準確判斷其性質(zhì)的可疑程序行為時，立即鏈接金山毒霸的服務器，通過“毒霸互聯(lián)網(wǎng)安全認證中心”瞬時即可完成后續(xù)的處理工作，既避免了對普通用戶的困擾、又可有效地堵塞安全漏洞，從而大大提升了對電腦病毒的查殺能力，增強了對新病毒的反應速度。實際上，這是一種通過擴大數(shù)據(jù)樣本庫，進而提升人工智能對程序識別能力的一種做法。這種方式巧妙地避開了單機狀態(tài)下數(shù)據(jù)樣本單一的缺陷，從而使得對潛在威脅的識別率大幅提升。

當然，除了比較流行主動防御外，金山毒霸原有的功能在新的金山毒霸2008版本中仍舊予以保留，并進一步增強。金山毒霸2008包括三個組件，分別是：金山毒霸、金山網(wǎng)鏢，以及金山清理專家。三個組件各司其職并且相互關聯(lián)，有效地起到病毒防護、網(wǎng)絡安全防護，以及漏洞修補等作用。

金山毒霸2008可以對病毒和木馬等威脅進行查殺，提供本地病毒庫掃描、惡意行為攔截和可信認證技術的三重防護。能夠?qū)τ脩粝到y(tǒng)中多達1000項的關鍵區(qū)域進行掃描，結合可信認證技術以及各類監(jiān)控狀態(tài)判斷，從而智能判斷當前用戶系統(tǒng)的安全性。而增強的搶殺技術確保在系統(tǒng)啟動早期，徹底清除所有病毒、木馬、惡意軟件等威脅，讓各種威脅在發(fā)作前就徹底被清除干凈。金山網(wǎng)鏢作為個人網(wǎng)絡防火墻，根據(jù)個人上網(wǎng)的不同需要，設定安全級別，有效地提供網(wǎng)絡流量監(jiān)控、網(wǎng)絡狀態(tài)監(jiān)控、IP規(guī)則編輯、應用程序訪問網(wǎng)絡權限控制，黑客、木馬攻擊攔截和監(jiān)測等功能。而金山清理專家則可以與金山毒霸聯(lián)合對系統(tǒng)進行診斷，給用戶更為準確的系統(tǒng)健康指數(shù)，作為系統(tǒng)是否安全的權威參考。集成的金山清理專家還提供方便實用的自動運行管理、文件粉碎器、歷史文件清理、垃圾文件清理和LSP修復等多款小工具。

卡巴斯基互聯(lián)網(wǎng)安全套裝7.0

新一代的KIS在基本引擎上進行了進一步完善。除了保留了之前的全部功能外，這次的KIS 7.0還加入了前攝行為分析和實時行為分析功能。如果用戶下載的程序和卡巴斯基實驗室數(shù)據(jù)庫中的特征碼不匹配，卡巴斯基反病毒軟件7.0將在一個安全隔離的虛擬環(huán)境中運行該程序。在這里，反病毒軟件將在用戶運行該程序前檢查惡意或者潛在的威脅行為，確保在用戶計算機上運行的程序是干凈安全的，而實時行為分析則會對系統(tǒng)上的程序、進程進行即時分析，如果發(fā)現(xiàn)惡意程序或者潛在的危險程序行為，反病毒軟件將阻止該進程，同時通知用戶該進程的危險行為并恢復惡意進程對系統(tǒng)的更改。

卡巴斯基互聯(lián)網(wǎng)安全套裝7.0單機版中，產(chǎn)品除了包含反病毒軟件7.0所有功能外，還添加了更具針對性的安全保護技術。它在反病毒軟件7.0的基礎上，內(nèi)置了個人防火墻，為計算機防御入侵和數(shù)據(jù)泄露提供新一代保護；而個人防火墻使用IDS/IPS技術來監(jiān)控網(wǎng)絡活動，防止黑客控制用戶的計算機或者竊取數(shù)據(jù)；隱身模式允許用戶以隱身方式安全地上網(wǎng)沖浪，以防止計算機成為黑客攻擊的目標；同時，卡巴斯基互聯(lián)網(wǎng)安全套裝7.0單機版還可以過濾釣魚郵件，防止用戶訪問釣魚網(wǎng)站。

除此以外，卡巴斯基互聯(lián)網(wǎng)安全套裝7.0單機版還開發(fā)了隱私控制和家長控制兩大新功能。當前網(wǎng)絡中存在很多惡意程序，它們大多數(shù)都會企圖從Windows存儲區(qū)獲得用戶的網(wǎng)上銀行、拍賣網(wǎng)站、支付系統(tǒng)、聊天室及在線游戲的帳號和密碼。卡巴斯基互聯(lián)網(wǎng)安全套裝7.0單機版能夠監(jiān)控并阻止一切企圖從這個存儲區(qū)竊取機密數(shù)據(jù)的活動，從而很好地保護用戶的隱私數(shù)據(jù)。

家長控制功能是指卡巴斯基互聯(lián)網(wǎng)安全套裝7.0單機版可以讓家長通過創(chuàng)建網(wǎng)站黑名單的方式，以此來限制孩子訪問一些網(wǎng)站。并能定義禁止訪問類型，如禁止訪問暴力、色情及賭博網(wǎng)站，能夠根據(jù)用戶類型為孩子、青少年及成人定義訪問列表；另外，家長也可以限制孩子的上網(wǎng)時間。

趨勢科技網(wǎng)絡安全專家2008

趨勢科技推出的網(wǎng)絡安全專家2008是一款具有主動防御功能，并且可以提供全方位網(wǎng)絡安全防護的安全防護軟件。

趨勢科技的網(wǎng)絡安全專家2008從命名方式上就已經(jīng)表明了對于網(wǎng)絡安全的態(tài)度——那就是全方位防護。網(wǎng)絡安全專家2008的英文全稱是“Trend Micro Internet Security 2008”，簡稱“TIS”；而該軟件的上一個版本為“PC-cillin 2007網(wǎng)絡安全版”。熟悉趨勢科技的用戶都知道，PC-cillin實際上是趨勢科技的反病毒軟件品牌，網(wǎng)絡安全版則可以理解成通過“反病毒軟件+網(wǎng)絡安全軟件”，這種組合方式提供全面服務功能。

網(wǎng)絡安全專家2008一改此前留給用戶的印象，以全新的姿態(tài)出現(xiàn)在用戶面前。當然，名稱的變更并不能說明什么問題，一款安全軟件必須有“真本事”才能為廣大用戶所接受。網(wǎng)絡安全專家2008在功能上進行了大幅度改進，而功能上的改進則是來自底層技術的更新。

在網(wǎng)絡安全專家2008中，最為引人注目的一項技術革新就是“AEGIS億級盾”技術了。實際上，這項技術是由三個模塊組成的，包括針對網(wǎng)頁安全認證的“WRS網(wǎng)址信譽評鑒技術”、提供本地主動防御功能的“OSP系統(tǒng)主動防御技術”，以及針對文件信息認證的“FRS文件信用件測技術”。

其中WRS網(wǎng)址信譽評鑒技術主要針對用戶訪問的網(wǎng)址進行安全性鑒定，該技術可以對用戶所訪問的網(wǎng)站進行實時分析，發(fā)現(xiàn)可疑網(wǎng)站時，立即自動封鎖存取，保護用戶免受侵擾，而0SP系統(tǒng)主動防御功能會對系統(tǒng)關鍵區(qū)域，比如內(nèi)核、文件、網(wǎng)絡、注冊表、進程等項目進行實時監(jiān)控，從系統(tǒng)底層提供全方位安全防護；FRS文件信用監(jiān)測技術則可以提供用戶文件信用等級檢測，并且結合中國本地病毒特征碼，提供最符合用戶需求的防護功能。

除此之外，針對傳統(tǒng)防御功能，比如病毒防護、網(wǎng)絡釣魚詐騙識別、Rootkit防護等等，網(wǎng)絡安全專家2008同樣提供完善的支持。

除了這些用戶層面外的技術、功能，在用戶能隨時接觸到的功能方面，網(wǎng)絡安全專家2008同樣提供了全新功能。比如個人帳號信息防竊取功能，可以時刻過濾用戶郵件、網(wǎng)絡訪問以及聊天信息，監(jiān)控用戶設置好的保密信息不被泄露。而無線網(wǎng)絡監(jiān)控功能則可以有效地監(jiān)控來自陌生計算機的訪問，讓用戶在任何位置安全上網(wǎng)。

瑞星殺毒軟件2008

瑞星殺毒軟件2008是一套基于新一代虛擬機脫殼引擎的安全防護軟件產(chǎn)品，雖然在名字上它仍然叫做“殺毒軟件”，但瑞星殺毒軟件2008絕不僅僅是殺毒那么簡單。實際上，它是由多個不同組件組成的互聯(lián)網(wǎng)安全套裝。這套軟件包括：瑞星殺毒軟件2008、瑞星個人防火墻2008、瑞星卡卡上網(wǎng)安全助手。理論上來說，用戶可以根據(jù)自己的需要有選擇地安裝軟件的各個部分，但顯然整套軟件整體配合更好。

新一代的瑞星2008殺病毒軟件在引擎上進行了進一步優(yōu)化，無論是在系統(tǒng)占用還是掃描速度上，都有比較不錯的表現(xiàn)。由于采用了新的虛擬機脫殼技術，讓這款產(chǎn)品能夠有效地檢測、查殺頑固病毒，并具備強殺功能，同時能夠監(jiān)控即時通訊工具以及下載工具進行的文件傳輸，確保系統(tǒng)不被病毒木馬侵害。另外，這款產(chǎn)品同樣具有主動防御能力，這主要是體現(xiàn)在瑞星2008對于實時監(jiān)控模塊的改進上，全新的三層主動防御策略可以有效地判別未知程序的安全性，而智能化的安全策略可以有效地減少安全軟件因未知程序進入系統(tǒng)做出響應，進而不斷彈出對話框打斷用戶工作的情況發(fā)生。

在智能防火墻方面，瑞星個人防火墻2008版具有木馬識別、家長保護、反釣魚、多賬戶管理、上網(wǎng)保護、模塊檢查、可以文件定位，以及IP攻擊追蹤等功能。其功能要遠遠強于Windows自帶的防火墻。另外，本次瑞星還同時推出了帳號保險柜功能。該功能可以說是專門針對網(wǎng)絡游戲、股票軟件、即時通信工具，以及網(wǎng)上銀行客戶端設計的。該功能可以采用加密的方式，將用戶的重要帳號信息單獨保存，并在必要的時候供用戶調(diào)用，從而實現(xiàn)用戶帳號與系統(tǒng)隔離的功能。這樣一來即便用戶的系統(tǒng)中了盜號木馬，也可以將損失降低至最小。

除此之外，卡卡上網(wǎng)助手則擔負著彌補殺毒軟件、防火墻功能不足的功能。卡卡上網(wǎng)助手與瀏覽器集成度極好，可以有效地防止間諜軟件、流氓軟件的入侵，并能夠提供廣告攔截、IE插件清理功能。同時，卡卡上網(wǎng)助手還能提供諸如系統(tǒng)一件還原、系統(tǒng)清理等功能。

賽門鐵克諾頓網(wǎng)絡安全特警2008

諾頓網(wǎng)絡安全特警2008重要功能涵蓋瀏覽器防護的Browser Defender、提供身份安全保護的Norton Identity Safe功能、Home Network家庭網(wǎng)絡狀態(tài)檢測與防護、行為偵測技術SONAR、反釣魚防護、SONAR智能型防火墻、One-ClickSupport單鍵支持以及增強的效能，各項增強功能將提供計算機用戶完善的保護，抵御各種新興的在線威脅。

對于Internet Explorer所面對的網(wǎng)絡漏洞的新興或未知威脅提供防護，尤其是防止利用ActiveX、JavaScrip和VBScript以瀏覽器為目標的混淆程序代碼的攻擊，Browser Defender能夠保護用戶不受偷渡式下載(Drive-by Downloads)或是造訪已被黑客植入惡意程序的網(wǎng)站之害。

SONAR智能型防火墻則像之前帶有SONAR技術的反病毒模塊一樣，可以自動判斷并做出決定，讓用戶省去繁復的安全設定的手續(xù)，并且封鎖間諜程序，防止其從網(wǎng)絡偷取個人資料，也協(xié)助阻擋黑客入侵控制用戶的計算機。

賽門鐵克諾頓網(wǎng)絡安全特警2008提供的Norton Identity Safe功能非常強大。它被集成在瀏覽器中，結合Norton Account功能，將用戶的重要信息，比如信用卡、身份證等等，存儲在網(wǎng)絡上。在用戶通過瀏覽器進行交易時，只需要輸入Norton Identity Safe的驗證密碼，即可直接調(diào)用加密后的個人信息，并自動完成瀏覽器中信息表單的填充。

這樣做的好處一來是比較方便，用戶只要記得一個密碼就可以方便地調(diào)用各類信息；二來是可以徹底避免Key Logger之類的木馬盜取用戶關鍵信息，將安全級別提升了一個檔次。可以說，這是一種非常人性化的設計，真正做到了設計上以用戶為第一優(yōu)先考量。

而Home Network則提供了一些只有企業(yè)版安全防護軟件才有的功能。首先是它會對局域網(wǎng)的網(wǎng)絡環(huán)境進行檢索，搜索當前網(wǎng)絡中的計算機，然后判斷當前PC的安全性，用戶可以根據(jù)提示對不信任，或是存在安全隱患的PC進行訪問限制，被限制的PC無法訪問用戶PC上的資源。這樣在局域網(wǎng)內(nèi)爆發(fā)病毒時，可以最大限度保證自己的數(shù)據(jù)安全。

此外，諾頓網(wǎng)絡安全特警2008也開始像Norton 360一樣，提供簡單明了的提示和解決問題方法，大多數(shù)情況下用戶只要單擊一下“修復”按鈕，就可以完成整體的維護工作(包括掃描、升級等常用操作)。此外，用戶可以通過在線即時通信方式與賽門鐵克的技術支持人員在線溝通，以最方便快捷的方式解決用戶遇到的問題。

賽門鐵克諾頓360 V2.0

賽門鐵克一直嘗試著在用戶體驗方面進行一些革新，比如最進的兩個版本NIS套件，就在這方面做了不小的嘗試——統(tǒng)一化的用戶界面，更為簡潔的操作模式，讓用戶耳目一新。但真正做到了簡潔易上手的是諾頓360產(chǎn)品，雖然在安全引擎方面，這一系列產(chǎn)品與NIS有著密不可分的聯(lián)系，但在用戶UI以及應用體驗方面，諾頓360卻與NIS迥然不同。

與上一代產(chǎn)品相同，諾頓360 V2.0同樣將功能劃分為四個模塊，包括：PC保護、身份保護、備份以及PC整理。而新版的諾頓360 V2.0與之前的諾頓360相比，基本引擎和安全功能上有較大提升。目前新版的諾頓360 V2.0可以提供與諾頓網(wǎng)絡特警2008相同的安全防護引擎，包括SONAR行為偵測技術、SONAR智能防火墻；另外像是Browser Defender、Norton Identity Safe等最新功能，也已經(jīng)被集成在諾頓360V2.0中。PC防護引擎更新后，帶來的好處是防御能力更強、安全性更高，以及更好的性能表現(xiàn)。

值得一提的是諾頓360 V2.0中的身份防護，直接將Norton Identity Safe功能帶到了用戶面前，用戶可以在這里直接設置好相關身份卡等信息，而不需要像在NIS2008中那樣，要么在瀏覽器中設置，要么在NIS中反復點擊多次，進行設置。在諾頓360 V2.0中，這項操作變得極易上手。功能方面，這項功能與NIS2008中完全相同，可以保護用戶的重要信息不被Key Logger等惡意程序盜取。

除了在基本安全防護功能上的改進外，諾頓360 V2.0在備份功能上也做出了新的調(diào)整。諾頓360 V2.0現(xiàn)在支持HD-DVD、Blu-ray Disc格式的光盤，以及iPod，備份數(shù)據(jù)位置選擇更多，用戶可以根據(jù)自己的需要選擇備份位置，確保機密數(shù)據(jù)的安全。諾頓360 V2.0仍然支持網(wǎng)絡硬盤備份，并提供2GB免費備份空間供用戶使用。這次的諾頓360 V2.0加入了對FireFox瀏覽器的反釣魚功能支持。而諾頓360 V2.0的幫助支持界面也進一步改進，去掉了一些不必要的窗口，讓用戶可以更快地通過在線方式獲得來自賽門鐵克的專業(yè)技術支持。