如何選擇一款合適自己的殺軟

一、殺毒軟件引擎與病毒庫的關係
        其實病毒庫與殺毒引擎沒有直接的關係，殺毒引擎的任務和功能非常簡單，就是對指定的文件或者程序進行判斷其是否合法。而病毒庫，只不過是對殺毒引擎的一種補充，也就是說：“我們沒有足夠聰明的殺毒引擎來完成這個過程”，那個過程，就是殺毒引擎對文件或者程序判斷。明白這一點，就應該知道，好的殺毒軟件，重要在引擎的優秀，病毒庫只不過是補充，而且病毒庫越大，殺毒速度肯定會降低。因爲病毒庫殺毒的過程，是引擎把判斷能力交給病毒庫，用病毒庫與指定的文件進行對比判斷。  
二、加殼、脫殼（此段完全引用）  
1.什麼是加殼:所謂加殼，是一種通過一系列數學運算，將可執行程序文件或動態鏈接庫文件的編碼進行改變（目前還有一些加殼軟件可以壓縮、加密驅動程序），以達到縮小文件體積或加密程序編碼的目的。
當被加殼的程序運行時，外殼程序先被執行，然後由這個外殼程序負責將用戶原有的程序在內存中解壓縮，並把控制權交還給脫殼後的真正程序。一切操作自動完成，用戶不知道也無需知道殼程序是如何運行的。一般情況下，加殼程序和未加殼程序的運行結果是一樣的。  
如何判斷一個可執行文件是否被加了殼呢？有一個簡單的方法（對中文軟件效果較明顯）。用記事本打開一個可執行文件，如果能看到軟件的提示信息則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看文件具體加的是什麼殼。目前，較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“***綵衣”等等。
爲什麼***能夠利用加殼技術來對抗反病毒軟件呢？衆所周知，目前殺毒軟件主要依靠特徵碼技術查殺病毒。由於加殼軟件會對源文件進行壓縮、變形，使加密前後的特徵碼完全不同。   
脫殼能力不強的殺毒軟件，對付“加殼”後病毒就需要添加兩條不同的特徵記錄。如果***換一種加殼工具加殼，則對於這些殺毒軟件來說又是一種新的病毒，必須添加新的特徵記錄才能夠查殺。如果殺毒軟件的脫殼能力較強，則可以先將病毒文件脫殼，再進行查殺，這樣只需要一條記錄就可以對這些病毒通殺，不僅減小殺毒軟件對系統資源的佔用，同時大大提升了其查殺病毒的能力。  
2. 脫殼
馬甲”能穿也能脫。相應的，有加殼也一定會有解殼（也叫脫殼）。脫殼主要有兩種方法：硬脫殼和動態脫殼。
第一種，是硬脫殼，這是指找出加殼軟件的加殼算法，寫出逆向算法，就像壓縮和解壓縮一樣。由於，目前很多“殼”均帶有加密、變形的特點，每次加殼生成的代碼都不一樣。硬脫殼對此無能爲力，但由於其技術門檻較低，仍然被一些殺毒軟件所使用。  
第二種，是動態脫殼。由於加殼的程序運行時必須還原成原始形態，即加殼程序會在運行時自行脫掉“馬甲”。目前，有一種脫殼方式是抓取（Dump）內存中的鏡像，再重構成標準的執行文件。相比硬脫殼方法，這種脫殼方法對自行加密、變形的殼處理效果更好。
三、虛擬機脫殼引擎（VUE）技術（此段完全引用）   
對於病毒，如果讓其運行，則用戶計算機就會被病毒感染。因此，一種新的思路被提出，即給病毒構造一個仿真的環境，誘騙病毒自己脫掉“馬甲”。並且“虛擬環境”和用戶的計算機隔離，病毒在虛擬機的操作不會對用戶計算機有任何的影響。  
“虛擬機脫殼”技術已經成爲近年來全球安全業界公認的、解決這一問題的最有效利器。但由於編寫虛擬機系統需要解決虛擬CPU、虛擬周邊硬件設備、虛擬驅動程序等多個方面的困難，即使有雄厚的研發實力，也未必能在短時間內達到實用的程度。  
四、啓發式殺毒（啓發式代碼掃描技術，完全引用）  
病毒和正常程序的區別可以體現在許多方面，比較常見的如：通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而病毒程序則沒有會這樣做的，通常它最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。這些顯著的不同之處，一個熟練的程序員在調試狀態下只需一瞥便可一目瞭然。啓發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查病毒軟件中的具體程序體現。
　　啓發式指的“自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能。”一個運用啓發式掃描技術的病毒檢測軟件，實際上就是以特定方式實現的動態高度器或反編譯器，通過對有關指令序列的反編譯逐步理解和確定其蘊藏的真正動機。例如，如果一段程序以如下序列開始：MOV AH ,5/INT,13h，即調用格式化盤操作的BIOS指令功能，那麼這段程序就高度可疑值得引起警覺，尤其是假如這段指令之前不存在取得命令行關於執行的參數選項，又沒有要求用戶交互性輸入繼續進行的操作指令時，就可以有把握地認爲這是一個病毒或惡意破壞的程序。  
啓發式殺毒代表着未來反病毒技術發展的必然趨勢，具備某種人工智能特點的反毒技術，向我們展示了一種通用的、不需升級（較省需要升級或不依賴於升級）的病毒檢測技術和產品的可能性。由於諸多傳統技術無法企及的強大優勢，必將得到普遍的應用和迅速的發展。資料顯示，目前國際上最著名的排名在前五名的反病毒軟件產品均聲稱應用了這項技術，從來自不同機構和出處的評測結果來看，純粹的啓發式代碼分析技術的應用（不借助任何事先的對於被測目標病毒樣本的研究和了解），已能達到80%以上的病毒檢出率， 而其誤報率極易控制在0.1%之下，這對於僅僅使用傳統的基於對已知病毒的研究而抽取“特徵字串”的特徵掃描技術的查毒軟件來說，是不可想象的，一次質的飛躍。在新病毒，新變種層出不窮，病毒數量不斷激增的今天，這種新技術的產生和應用更具有特殊的重要意義。
五、殺毒引擎介紹（網上關於著名的五大殺毒引擎介紹很多，簡單寫幾句，其他引用）
1.諾頓：諾頓的引擎採用了系統最底層的核心驅動方式，應該說是最安全、最高級、最穩定的方式，但是需要微軟的系統核心代碼，如果說系統工作的步驟是3-2-1，那麼諾頓便是這種方式工作。
首創實時監控技術，還知道微軟的代碼。大家都說諾頓不好，其實諾頓的引擎很強大。從最底層保護計算機，所以運行起來不太快，只是殺毒理念不同，才讓諾頓不適合個人用戶。它主要以隔離爲主，防止企業文件被刪除。因爲有些被病毒感染了的文件根本不能完全殺毒。直接刪除又會破壞文件，所以諾頓最適合企業用戶選擇。
2.McAfee：咖啡的工作方式相對與諾頓，叫做硬件虛擬層，3-2-1-1-2，其他的絕大多數是3-2-1-1-2-3咖啡採用啓發式殺毒+虛擬脫殼，啓發和虛擬技術是非常高的。   
主要能力放在防毒上，也用了虛擬脫殼技術，基本所有殼都可以幹掉，現在知道爲什麼它這麼火了吧，北斗的殼，我不知道能不能幹掉，但它的虛擬技術沒有DR.WEB的好，用加密XTA算法（基本與DES一樣很難破解）寫的病毒，它和卡巴就都廢掉了。
3.熊貓：西班牙的東東，全球第一個自動升級的，人家的引擎也相當不錯，速度絕對一流，查殺徹底，但病毒庫有點歐洲化，所以在中國用着不太好用，佔內存很大，金山好像現在就在仿熊貓，監控好像不是，殺毒和升級都是仿造熊貓的，金山的監控很LJ，你用用就知道了。
4.卡巴斯基：..........廢話免了。
5.Dr.Web:俄羅斯國家科學院合作開發的，軍方和克里姆林宮專用。啓發式加虛擬脫殼，北斗的殼，外面再加殼，加跳針也可以幹掉，佔用內存很少。可以說是最強的引擎。對付變種病毒和***最好了。可以幹掉加密XTA算法。清除極其複雜的病毒。