杀毒软件哪个好？

嘿嘿，自己取这个题目的时候觉得，这个破题目感觉像要给某软件做广告，或者就是一篇杀毒软件的横向测评报告。嘿嘿，错了，不是。是什么呢？看下去。看不懂的可以以各种方式吱一声，我负责解答，我解答不了的，我可以帮你问问google，google上面也没有的，可能只有比尔盖茨说得清楚了，这样看来，比尔盖茨=上帝。嗯，这次你对了。(你看我说话这么言简意赅，连符号都用上了，我哪里罗嗦了？嗯？今天批评我很罗嗦的某人)

好了好了，开始入正题，咳咳……

最近杀毒软件呢，出了几件大事，嗯嗯，大事！大事！大事哦！作为IT人士的我呢，如果不说两句，心里十分之不痛快也。注意：我是IT人士哦！作为一个成功的IT人士呢……好，下次再说IT人士的话题。现在说杀毒软件。

最近杀毒软件出了两件大事，

一件是Norton(诺顿，一种著名杀毒软件)杀了也就是强行删了中文版Windows XP(微软公司推出的一种电脑操作系统软件)的两个重要的dll文件，导致这些Windows XP用户开机蓝屏，也就是说这些用户头天关了电脑，第二天一早打开电脑，发现：哇色，我的电脑怎么了？这个品牌的破电脑，再也不买它了！谁怀疑得到Norton身上呢？

另外一件是Kaspersky(卡巴斯基，另外一种著名杀毒软件)杀了瑞星卡卡(瑞星<另外另外一种著名杀毒软件及其公司>推出的一种非杀毒软件)的升级文件，导致瑞星卡卡的用户不能正常升级瑞星卡卡。

下面正常说话。

对这两起事件，网上评论很多，有神经病扯到了国家民族的高度，这种人可以不去管它。不过，值得关注的是，有一种主流民意认为这是Norton和Kaspersky的错。当然从经济赔偿上面讲，norton绝对应该赔偿用户的损失，kaspersky的事情谈不到赔偿上。但是从技术上面讲，我比较相信Norton和Kaspersky是技术上无辜的。

要谈这个问题，我们先要了解现在杀毒软件有哪些基本技术帮助我们防御病毒。首先肯定最基本的是病毒码判断技术，绝大部分病毒都有自己独特的一段代码是其他正常软件不会有的，找到了这段代码等于找到了病毒的身份证，也就可以把病毒揪出来。第二，由于很多病毒现在用了各种各样的技术伪装自己，比如加壳技术，所以真实的病毒执行代码并不容易获得，所以各种杀毒软件想出了另外一种判断病毒的方式，就是判断软件的行为来判断这个软件是不是病毒，这就是所谓的主动防御方式。举个例子，中国的警察叔叔喜欢查身份证，如果哪天查到一个身份证，发现这个身份证是通缉犯，那警察叔叔就会毫不犹豫把通缉犯抓起来。但是，罪犯并不一定都在通缉的黑名单上，即便通缉的黑名单上有罪犯，狡猾的罪犯也知道换一个身份证。所以警察叔叔必须学会主动防御，比如，一旦某人发生了抢银行的行为，那么警察叔叔可以毫不犹豫的说这个人是罪犯并且把它抓起来。这就是被动防御和主动防御。

为什么我比较相信Norton和Kaspersky是无辜的呢？

先说Norton。Norton傻啊？不知道这种事会对商业利益和商业信誉造成损害啊？难道有人会相信Norton的项目主管和微软有仇？一般来说不会吧，所以我们可以初步判断Norton这个属于误杀。

这里要解释一下什么叫做误杀，误杀就是把本来不应该杀掉的文件当作病毒杀掉了。这在主动防御中比较容易出现。也就是说某软件产生了某些行为，看起来好像很符合病毒行为的定义，但是其实这些行为是正常的合法的。还是警察叔叔的例子，比如银行抢匪的行为有一个重要特点，就是把钱大把大把的往外运，但是人家银行正常转账也会大把大把把钱往外运，那警察叔叔监控到银行的钱被大把大把往外运的时候，抓还是不抓呢？所以一般我们不把这种行为看作一定会产生危险的，我们只把它们称为有潜在危险的行为。在软件上面找一个例子，比如，金山词霸在鼠标抓词的时候用到了一些软件注入的技术，软件注入也是很多病毒会用到的技术。可以这么说，绝大部分软件注入的应用都是病毒，因为好端端的没事，一个软件干嘛去对别的软件动手动脚的呢？所以大部分杀毒软件把软件注入定义为潜在危险行为。所以也就有很多杀毒软件对金山词霸的鼠标抓词报病毒的现象。因为主动防御的这种不确定性，大部分软件在处理主动防御的时候都是很谨慎的，比如提示用户，这里有潜在的危险行为出现，是一直不管它还是干掉它，主动权交到了用户手里。

回到Norton的话题，Norton这次误杀可能不是主动防御引起的，因为Norton没有提示用户，而是选择直接干掉之，说明Norton软件比较确定这是一个病毒(这里的病毒指广义的病毒、木马、后门等等)。那么，真的是“误杀”吗？既然不是Norton故意为难微软，Norton的软件又很确定这是一个病毒(实际上据说是一个后门)，那么我倾向于相信这两个文件真的有问题。看来微软是不是要好好找一找问题的所在了，这次是Norton还好说，下次是人家利用漏洞的攻击，又造成冲击波那样的惨剧就不好了。

然后再说Kaspersky。Kaspersky据说和瑞星有仇，当然嘛，同行是冤家嘛。不过Kaspersky要干掉直接把瑞星软件干掉就行了吧，干嘛要不痛不痒的干掉一个瑞星卡卡呢？并且还只是瑞星卡卡的升级功能相关的文件而已。所以我相信，Kaspersky这是“无心之失”，我甚至于相信瑞星卡卡真的有什么“潜在的危险行为”存在，瑞星可以反省一下自己，并且大方的让我们知道，是不是在卡卡这个软件中做了什么不光彩的动作？

另外就Kaspersky和瑞星这个事情，我想讲一下软件行业处理这样的事情的通则。软件不兼容是常有的事情，比如新版的操作系统vista和很多软件的兼容性就不好，常常造成冲突。一般的解决办法是，如果不兼容会造成用户损失的，由出问题的软件及时负责帮助用户避免或者减少损失，然后两方充分沟通，力争在最快时间通过软件补丁等办法为消除冲突，达到最终兼容的结果。反观瑞星的做法，不管从瑞星还是Kaspersky的声明当中，我都没有看到瑞星发现问题之后去和Kaspersky沟通的迹象，而是先发了一个措辞强硬的声明，含沙射影的指责Kaspersky利用杀毒软件排挤对手。瑞星这种做法令我觉得很不齿。

还有，就像我前面说的，很多杀毒软件在面对潜在的危险行为的时候，都会给出提示，提示用户避免还是保留这个行为。如果Kaspersky报卡卡有问题，用户只需要点击“跳过”就可以避免删除卡卡的文件而导致的不能升级。很遗憾我也没有看到瑞星首先发布怎样让用户避免误杀，而是只有气势汹汹的指责Kaspersky。

所以，不管是遵守软件行业的通则也好还是对用户解决问题的服务也好，瑞星都还有很长的路需要走，一个成熟的公司不是靠贬低对手而成功的。我们真心希望看到瑞星的越来越好。