杀毒软件的实时防护为什么有“低、中、高”选项？实时防护在做什么？对系统速度有影响吗？



传统文件实时监控：



资源占用率  程序行为 （以下均包含开机时执行的程序进程）

占用极低    仅调用流行病毒库，只扫描双击执行、自动执行的程序文件

占用很低    调用完整病毒库，只扫描双击执行、自动执行的程序文件

占用较低    调用完整病毒库，只扫描双击执行、自动执行的程序文件、鼠标经过的可执行类程序。

占用较低    调用完整病毒库，只扫描双击执行、自动执行的程序文件、当前打开文件夹中可执行类程序。

占用低      调用完整病毒库，只扫描双击执行、自动执行的程序文件、鼠标经过的所有文件。

占用低      调用完整病毒库，只扫描双击执行、自动执行的程序文件、当前打开文件夹的所有文件。

占用中      调用完整病毒库，扫描双击执行、自动执行的程序文件、当前打开文件夹的所有文件，所有执行复制、剪切、读取的可执行类程序。

占用稍高    调用完整病毒库，扫描双击执行、自动执行的程序文件、当前打开文件夹的所有文件，所有执行复制、剪切、读取的所有文件。

占用稍高    调用完整病毒库，扫描双击执行、自动执行的程序文件、当前打开文件夹的所有文件，所有执行复制、剪切、读取的所有文件、压缩包。

以上所知的是传统杀毒的文件病毒库对比模式，作为现在的基础硬件配置来说，初最后一种“对所有文件监控”外，其对系统的影响不大。

相对杀毒软件打查杀来所，手动查杀是调用多查杀引擎，对指定位置的所有文件及压缩包进行查杀，而实时防护是只对可能对系统造成影响的文件选择性查杀。




启发式实时监控：

单项占用极低    相对“传统文件实时监控”检查内容，同时调用启发引擎检测。



主动防御监控：

占用较低      独立的防御项，只对已执行的程序进行检测，通过判断文件对注册表关键位置、系统关键程序等的访问及执行行为，多步骤判断，可明确判断为恶意行为的直接连接，可以行为的给出提示窗由用户选择是否拦截（默认白名单、用户白名单中的程序不监控）。

大家常说的“主防”多是针对系统造成影响恶意执行程序的拦截，其实很多安全软件中的文件下载保护、桌面图标防护、注册表防护、主页防篡改、文档保护、摄像头防偷拍等等都应该算是有针对性的主动防御。



云实时监控：

占用极低    类似传统监控，特点流行病毒收集及时、资源占用低




有了基本了解那么一款好的杀毒安全软件应该是什么样子的哪？

防御：传统引擎+启发+云+主防 （有的软件有24小时病毒库自动分析收录及庞大完善的云系统）

查杀：传统引擎（有的杀软采用微特征）+脱壳+启发+云


以上描述针对杀毒软件，对数据安全要求较高的公司部分，单位一般再配上防火墙使用，国内不错的免费防火墙可以用瑞星防火墙。

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; @**j+ZjS|`ynV^F,Z_Fex%%23xED3i1m:e}U; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET4.0C; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0E)