六大亮点 金山毒霸2008正式版试用手记络安(2)

　　二、六大亮点 细细评说

　　接下来笔者对软件进行了深入测试，发现可圈可点之处还是很多的，笔者总结为六大亮点：

　　亮点之一、恶意行为拦截 防御更直接

　　主动防御一直是网民热盼和厂家不断完善的技术，《金山毒霸2008》恶意行为拦截是基于对用户计算机正常状态下系统资源(如注册表、系统文件、进程的调用等)的监控，设定相应的规则，通过这一规则对可疑行为进行拦截并作出判定，从而阻止恶意程序对用户的系统造成侵害。它在一定程度上弥补了特征码查杀病毒的方式存在的“滞后性”。

　　据说《金山毒霸2008》的恶意行为拦截功能，仅对木马程序的系统入侵监控点就多达267个。笔者测试时发现，效果比较不错，不但流行的木马可以被查杀，连有些经过加花免杀处理的木马程序，也被拦截。另外当浏览器后台运行某些程序时，也会出现提示，可以使用户及时查觉浏览器是否被劫持或插入恶意进程(如图04)。

图 4

　　亮点之二、三维防御 固我长城

　　道高一尺、魔高一丈，对于越来越复杂的网络环境，以及不断更新的恶性病毒，安全产品只有不断技术升级、综合防控才能保障用户的安全。《金山毒霸2008》提出一个全新的理念——三维互联网防御体系，即采用“本地病毒库+恶意行为拦截+互联网可信认证”技术，为用户构建起立体的综合防护。

　　恶意行为拦截前面笔者已经介绍过了，这里说说“互联网可信认证”技术的工作原理，首先金山公司通过“网络蜘蛛”技术，将互联网上每秒钟内刚生成的可执行文件全部“爬”回来，然后经过自动以及人工的分析，并即时对服务器的可信认证中心和病毒库进行更新;一旦用户遇到可疑行为，依据特征码不能够判定时，马上连接至服务端进行判定。这样就可以实现从新生病毒“出生”到被识别出来，再到被查杀的周期以秒来进行计算。

　　举个例子：当用户运行一个被捆绑了最新病毒的软件时，金山毒霸的文件监控首先会利用病毒库进行特征码的比对，没有符合的进入下一步，也就是行为判断。这也是主动防御技术的重要部分，如果发现其要进行非法进程插入、破坏系统文件等行为时会被拦截。

　　但，如果遇到无法准确判断其性质的可疑行为时，软件会自动连接到金山毒霸的服务器，通过“毒霸互联网安全认证中心”进一步进行分析。这种方法，既避免了对普通用户的困扰，又可有效地堵塞安全漏洞。据悉，金山毒霸的“互联网可信认证中心”储存有海量的白名单(目前已达到6个多G)。

　　笔者注意到《金山毒霸2008》的文件安装目录由原来的Kingsoft Antivirus改为了Kingsoft Internet Security，可以理解为其意图向用户表明，这款产品不仅仅是单纯意义上的杀毒软件，而是希望打造成一个综合的基于互联网的安全平台，看来反病毒软件厂家正在全面向互联网服务提供商转型。

　　俗话说“打铁还须自身硬”，只有有效保护好自己才能杀敌，《金山毒霸2008》提供了非常不错的自我保护功能，可以有效保护金山毒霸自身的文件进程和其他相关资源不被恶意中止或删除(如图05)。但是却忽略了一点，就是以已之矛攻已盾，我们知道《金山毒霸》中提供了一款非常厉害的文件粉碎器工具，笔者试着用它来粉碎毒霸主程序文件，结果文件被轻易删除，建议在行为判断规则中加以限制，以进一步提高安全性。

图 5