终极PK！寻找史上最牛的木马查杀软件

二、交代规矩：我们这样测试

如何考量一款软件在木马查杀方面的优劣呢？可参考的标准非常多：查杀效果、扫描速度、资源占用率、查杀机制、误报率、木马库升级频率及容量等等。下面介绍一下我们的测试方法：

第一步：通过Ghost安装一个完全“干净”的系统，安装木马查杀软件，并将其升级到最新的病毒库。

第二步：将我们的木马测试包解压缩到某个目录，利用木马查杀软件对该目录进行扫描，记录其扫描时间、扫描过程中的内存及CPU占用率、查杀结果。

小提示：

在扫描过程中，我们打开了两个Word文档、1个QQ以及1个MSNMessenger程序，之所以开启这些程序，是为了模拟大家真实使用电脑时的状况——很少有人会关闭所有其他程序，专门进行木马扫描查杀。

第三步：由于各个杀毒软件之间会产生一些兼容性问题，为了保证测试的最大限度公平，我们在测试完一款软件之后，都会重新Ghost一个“干净”系统，再进行下一款软件的测试。

第四步：在所有软件测试完毕后，统一汇总，并进行点评，给出我们的选择意见。

注意：我们如何保证测试公正性？

如果把这场测试比作一次“考试”，那么木马测试包就相当于“考卷”，“考卷”的公正性非常重要，将直接影响测试结果，我们如何保证它的公正呢？

其一，测试包庞大。这个测试包一共包含975个木马样本，足足有197MB，量越大，则公平性相对就越高。

其二，测试包中的木马样本都是当前最流行的木马病毒，并非使用一些“过期”的老测试包，这可以模拟出现在网民的普遍遭遇，测试结果更有实用价值。

其三，测试包中的木马样本涵盖了QQ、网页、网络游戏等应用类的木马，范围比较广。

三、初试：查杀机制和木马库，谁更牛？

所谓查杀机制，就是查杀木马的流程和方法，这一点决定了查杀的效率和效果，非常重要。实际上，不管是杀毒软件还是专业的木马查杀工具，大家都采用的是基于特征码的查杀方法。所以，总体上以上六款软件的查杀机制都是类似的。

当然，差异还是有的。比如对特征码匹配判断的尺度上，有些软件相对放得比较宽，这样可以保证尽可能多的查杀结果，有些软件就要求非常严格，不容易造成误判，但也可能漏掉木马。

此外，360安全卫士针对木马采用了免疫、查杀、防御三层的“主动防御”查杀理念，这一提法更加系统，对木马采用三层防护：其中第一层为免疫，通过监控注册表和系统文件防止木马入侵，如果入侵，则祭出360安全卫士特有的“破冰技术”。即便前两层都被突破，还将最有目的性的账号部分进行保护。

小知识：“脱壳”和木马查杀

木马之所以难杀，是因为它的外面可以很轻松加上一个“壳”，凭借特征库进行扫描时，一旦“壳”换了，就无法查杀了。所以杀毒软件的引擎中一般加了一个“动态脱壳”的功能，比如瑞星的虚拟机脱壳引擎（VUE）。不过即便这样，也很难做到完美，所以也有部分木马查杀工具把加壳后的特征也放进特征库，虽然办法“笨”了一点，但不失一种解决方案。

而从木马库的容量上来看，我们也无法获得真实确切的数据，只能通过官方公布的结果一窥究竟。

点评：在各个软件查杀技术都差不多的情况下，实际上大家比拼的还是木马样本数量，但由于这个涉及商业机密，我们也无法得到确切的数据。关于这一点的测试，恐怕只能在查杀效果中来衡量了。