主持人：咱们先开始吧。咱们今天就是先向网友介绍一下，我们今天请到的三位嘉宾

，这位是瑞星的研发经理马杰，初次见面以后还希望加强合作；然后这位是安天实验室

的张晓兵，可能大家不是对安天实验室非常的了解，大家可能听到得最多是瑞星、金山

这些杀毒软件的厂家，可不可以介绍一下。

  张晓兵(以下简称张)：大家可能不太了解，是因为他经常在做后台的介绍，我们主要

是做一些后台的工作，还有一些跟企业有一些合作。

    主持人：还有一位是金山的李铁军，高级反病毒工程师。铁军也是网友比较熟悉的

，因为有铁军的博客，大家还是比较关注的，在网上也有名气。那今天邀请三位来为我

们这个论坛作客，是因为想讨论一下今年特别火热的一个现象，就是安全软件的问题，

那网友也知道安全领域不是很太平，从年初到现在，一直有不断的各种病毒产生，那么

也出现了一些安全软件本身的一些问题，比如说像误杀这样的现象，当然我们也参看了

国外的这种，就是媒体的一些报道，他们就是在讨论安全软件本身的安全性问题，那么

现在可能对于用户来说，会更多的去对安全软件的一种不信任的心理存在，比如说，用

户可能会怀疑软件还能为我们带来安全吗？那么就这个问题征求一下三位专家的一点意

见和看法。

    马杰(以下简称马)：我觉得安全软件肯定是必须的。

    张：怎么说呢，之所以大家认为安全软件是安全的，可能是最近产生了一些误杀的

现象，那么首先我们解释一下为什么会有这种的现象出现？根据我们的反病毒技术的出

现早期的我们的反病毒技术他是对我们每一个病毒提取它本质的一个特征，那么根据这

个去匹配病毒，那么在每一个特征部升级之前，会对所有的正常软件进行扫描、排除误

杀的现象，通过这种机制，通过杀木马的技术，但是他的缺点就是说，只能对于病毒才

能有可能查杀，那么在一些抓获样本之前，它是不能对病毒进行识别的。那么在这种情

况下，我们反病毒公司就是为了试图找出位置，就是没有在抓获之前来对它进行扫描的

技术，那么这种技术基本上就是给予行为上的判断，那么这种行为判断并不是一种唯一

的标志，那就造成它是一种机遇形成行为模糊的匹配，那么就会造成误杀的情况出现，

首先就是说，我们看到，我们为了解决位置病毒的出现，那么这个病毒，他是由于我们

设计的机理，还有时间不够长，还有产生的一些现象，就是说应该是正常的，我们不能

因为我们提供一个的东西出现了一些负面的，我们就不去使用它，我们应该积极的运用

它。

    李铁军(以下简称李)：晓兵已经说得很全面了，我们怎么去看待这个问题，大规模

的误杀可能是一次事故，用一些策略可以减少这种错误的发生，但是不会杜绝这种事故

的发生，我们只能说尽可能的缩少这种误杀，使用户的损失降到最低。

    马：我觉得我可以稍微补充一点，刚才铁军也说了，他揭示了在未知病毒领域的一

些误杀，其实在传统领域也有误杀，那这种方式呢，通常是可以通过更多的测试来避免

一些非常恶性的事件。我很同意一些观点就是说，他还不可以完全避免，但是还是可以

通过一些方式进行避免的，加强工作是可以做得更好的一点。

    主持人：我觉得三位观点都比较客观，首先承认了这个误杀、误报现象肯定是存在

的，绝对性是不可能避免的，还有一个网上的观点说，尤其是从2007年开始网上大规模

的误杀现象，大家从今年开始这个误杀和误报现象会越来越多，在之后的安全业界，三

位对这个观点怎么看？

    李：我觉得是一个偶然事件，就是他工作流程中出现了一个偶然问题，它的影响面

比较大，引起了很多人的关注，但是这种情况还是可以，就是减少它的损失以后，不让

他把这种偶然事件的影响变得很大，这是软件商应该做的事情。

    张：现在我们可以看，除了有一些未知病毒查杀引擎一些误报之外呢，我们也可以

看到，网络的应用越来越丰富，有一些大的作用，在编写网络程序的时候，他会借鉴一

些比较，叫做边缘的技术，那么带来的坏处就是他既然处于边缘化，那么就很容易会被

未知病毒扫描引擎撞上，这就是除了会误报一些，就是说，我们在反病毒软件，除了一

些系统程序之后，它还会主要误报一些第三方作者的成本。由于他们的软件知名度不够

高，在测试的时候也会考虑这些的。那么这样所有的成果不应该说07年，成了社会的一

些问题，造成很大的影响。但是呢，在此之后呢，我们应该首先在反病毒自身来缩小一

些损失，也应该可以看到在互联网上，也就是在编读软件的一些损失，当我们在当成为

公众事件的时候，我们应该尽量的去减少这种事情。

    马：我觉得媒体和大众的关注本身就是把事件推到这么一个位置，既然看到它，必

然也会引起这么一个重视，其实从某种程度上来讲，在将来他会变得更好，而不是更差

。

    主持人：那我在想，每一个厂商的偶然，这么多厂商，整合、联合起来那会不会变

成一种必然呢？比如我们前一段时间谈到诺顿的误杀事件，它的原因是因为它本身的情

况不够，而导致了中文误杀的现象。前几天江民也出现了这种情况，其实是我们本地的

厂商出现了这种问题。也就是说，把前面的说法推倒了，大家对这个看法，因为我们今

天请到的是国内的一些知名的厂商。

    马：事情不能把前面的结论完全推翻，应该说一个事件发生，他其实有多种的可能

性，确实在我看来，也是诺顿事件的一个原因，那么国际厂商他也有自己方面的一些问

题，那么每一个厂商都有自己一系列的流程，这流程不是一步，而是多步，可能在某一

步的问题，会造成这个产品最终的问题。我觉得这个就是看某一个厂商对自己的测试步

骤控制的严格性，应该来说，我认为他还是不会太变成一个很普遍发生的事情。

    朱晨旭(以下简称朱)：我想问一下，国外的杀毒软件不太清楚，而国内的杀毒软件

，他在每一次的升级之前，他需要做哪些测试？包含了哪些特别细致的，而且坚固主流

软件的测试，来做一下在平台上是不是能够经常工作的？

    李：我想就是说，金山这边的测试，现在加了病毒库以后，至少要增加两个工作的

步骤，是不是他能不能正确的判定为有效的病毒，这是有效的测试。但是国外一些比较

有误报库的测试，那是肯定不会少的，如果它把误报库当成一个海量的杀毒软件，这都

是正常的杀毒软件，如果把它包裹下来，那重新再做，正常情况下，肯定受不了。刚才

提到江民的事情，它不是误报才产生的，它是功能性的故障引起的问题，那么这种测试

的话，他是不属于病毒测试，但它属于一种兼容性的测试，这些都是一样的。如果测试

的严格他是可以避免的，各厂家他对流程的控制，如果掌握的好的话，那么大规模的会

降低事故的发生，所以在事故出生以前，都会做一些非常严格的检验。

    马：那我也可介绍一下瑞星产品的过程。步骤还是比较复杂的，那么首先每一个病

毒会做一个运行的启示，同时呢，再去运行杀毒软件看是不是把这些杀毒都清除了，这

个是给予几个主流品牌的，那么再往后会测试当这个特征被加到病毒库以后，会测试杀

毒软件的稳定性。然后还会测试，就是我们有一个很大的库，包括我们所有找得到的操

作系统，还有包括大量的常规软件去检测对他们的误杀的程度。往后呢，我们还会做一

些升级方面的测试，我们也会先做一些模拟的升级过程，把它升级下来的过程，发现他

是完全无误的话，我们才会让用户使用。

    主持人：我们今天除了现场的嘉宾之外呢，在网上也征集了很多网友的问题。

    网友提问：我一直在使用瑞星，病毒库也比较全面。但是感觉占用内存比较大，这

一个问题以后能不能解决资源占用的问题？

    马：我觉得大家对这个运用都有很深体会，我们就是尽可能给用户仔细检查，然后

用了各种各样的技术，那么这个技术你用得越多的话，你可能占用的资源越多，那么如

何在这个时间取得平衡，这是我们一直再做的事情，我想瑞星应该不是资源消耗得最快

的，我们就是尽量在准确性、检查的深度之间取得一些平衡。

    网友提问：有传言，因为在商务战略上的原因，有人会做病毒异变种的因素？

    马：我觉得这个问题对我没有太大的挑战性了，因为遇到这样的问题太多了，作为

瑞星的员工，进入瑞星的第一个事情就是参与和发布这种恶意软件的这么一个保证书。

首先从这一点来看到，公司是很严肃的对待这个事情，任何人不能参与这件事的发生；

还有一点就是，你假设反病毒公司做了这么一个事情，我们可以看一下，他是获益比较

多？还是损害比较多？那么，获益可能比较直接，这种病毒爆发了，那么软件在上升，

但是天底下没有不透风的墙，如果你参与了这个事情，那么你信誉上的损失，我估计都

不会在这个行业中做了，那么这个孰轻孰重，很容易看出来。

    主持人：会不会有厂商的背景，技术人员会不会有一些黑客呀？

    张：搞反病毒技术的人，搞安全人的他要对黑客有所了解，有像“矛”和“盾”一

样。你选择了“矛”就不会选择“盾”，你选择安全技术，那你选择研发的方向和深度

，理解的深度都跟病毒是不一样的，等于是你不可能像左走100米，再向右走100米。另

外就加入有一些程序员他对病毒感兴趣，那么作为公司他会对他们提出一些约束。因为

一旦报出公司做病毒，那么将来的损失是没有办法挽回的。再有一方面，在后台，因为

在后台，那么没有更多的市场，所以更不会去构建一些恶意的事件，因为对我们来讲，

我们是专门的去做我们的技术，原则是希望尽我们所能力，把流行的样本全部抓过来，

那么即使用我们的样本采集渠道，我觉得应该是最全的，那么在这种情况下，我们还不

能保证百分之百的把病毒全部抓到，所以我们还没有经历去做病毒方面的一些情况

    李：对我们来说，也一样，我们公司也一样，对多少程序员也着非常严格的要求，

是属于法律保证的。曾经有这样一些例子，有的曾经做商业木马的一些人，一般来讲，

他透露过说，他写过木马，假如说这些人隐瞒了这种事情，进去了，我们曾经有同事告

诉我，有这样一种情况，他在分析代码的时候，他发现跟他以前见过的发现的木马非常

的接近，然后就调查了，发现了他确实是商业木马的作者。对一个厂商来讲，他是不允

许出现这种事情的，所以我们对消费者来讲，我们是绝对不允许他的程序员有这样的行

为。他需要对所有的消费者负责。

    网友提问：专杀软件的推出，是不是杀毒软件不给的时候才做的？为什么有的杀毒

软件公司不需要做这个，而有的频频推出这个专杀工具？请专家谈一谈专杀工具。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; POTU(Beta0.99))

李：我们是最喜欢做专杀工具的。我们发现有一些比如说，多少软件是主要卖给霸

主的用户，我们在这个时候，我们不能仅仅为赌霸王的客户，这个客户拿到了我们这个

工具以后，同样可以解决他们的问题，另外还有一些问题，我们最近发布的专杀工具就

是这样一个目的，他不仅仅是修复电脑的运行，他还可以修复其他的运行软件，比如说

，受这种病毒干扰的情况下，他还会修复，他不是我们国内才有，比如说，卡巴斯基，

包括微软在他每个月更新里面都有一个系列工具的更新，每个月都会推出一个，这个东

西和反病毒软件是不矛盾的。

    马：刚才他把主要的方面都讲了。我稍微补充一点，专杀工具是从不积极到积极做

，因为我们也是在想法上有一定的变化，主要是考虑相应的速度和广度。那么广度，刚

才介绍得比较多，就是说，有些用户他现在不是用户的产品，可能还有一些用户不是所

有的杀毒软件，曾经我们也看到过，在中关村有排队买杀毒软件的现象，他首先应该把

问题解决了再说。然后来谈商业部分的利益，并且从很现实的角度来讲，他也是对你产

品的推广，另外一方面，从相应的速度来讲，我刚才进到了我们的测试流程，他是很长

的，那么要走完那么详细的测试流程，因为每一个杀毒软件共有的数量是很大的，那么

他走过的测试时间必然长过专杀工具的时间，所以在我们捕获病毒的那一瞬间，我们会

做一个比较完整的升级。那么对于用户来说，一个杀毒软件的用户，他更新的时间会比

较长，那么下载一个专杀工具可能做得比较小，会几K，从相应的角度来说，他是一个问

题。

    李：对，新工具刚推出来，非常受欢迎。

    网友提问：关于盗版的问题，就想问一下，金山、瑞星现在网上盗版特别多，请问

专家们怎么看？还有涉及到病毒库的，还有，用盗版的软件会不会增加病毒攻击的可能

性？

    马：这个问题我觉得讲的方面态度一点，总体来说，我们肯定不愿意看到产品被盗

版。因为我们这个利益都被它损失掉了。那么从技术角度来讲，因为这个软件，我们本

身有一些反盗版措施，那么他之所以变成盗版，他肯定是有一些技术上的高手，他修改

了病毒程序，那么在修改的过程中，我想他会带来负面作用，我想这是不会有人敢保证

的。那么这个被修改会不会产品无误杀、误报，会产生什么样的情况，我觉得是有这种

可能性的。反过来我觉得这种产品会影响我们的销售，因为我们在做破解的时候，用户

也会怪我们。因为用户购买和支持其实现在费用也不算贵，其实是为我们长期对病毒进

行跟踪和分析是提供了一个保障。

    主持人：我还想问一下，也有一些杀毒软件厂商之间的这种，不管是利益也好，市

场分额争夺也好，都会有一些比较急功近利的心态，所以呢，就是在发布新的版本，或

者打补丁的时候，也会比较着急，都要把这个东西赶快的推向市场，所以在这个方面，

在技术上，在测试环节上，就不会像以前会用比较平和的心态去把这个技术慢慢完善好

。所以这样一来的话，会导致一些误杀、误报的现象。我想向三位求证一下。

    李：就仅仅误杀、误报的现象，都跟引擎的测试有关。每天都花几个小时，他的影

响也仅仅是误杀、误报方面，还有杀病毒的准备性，但对杀毒软件产品来讲他的产品稳

定性，特别是新版本的测试上，包括我们的内部，从他产品的设计上，都是在不停的工

作来找这个产品当中的一些问题，但是在正式交给用户以前，因为我们的测试环境和几

千万用户的环境是不可能一致的，他总有可能遇到意外的。但是我们在这个产品发布以

前，他总会有几个测试版本，这样的话，我们可以让更多的用户参与到这个事情中来，

让他变得越来越完善。

    马：我觉得他讲得也是比较客观的，对于一个产品来讲，这其种都会经历两年的测

试，网友提到的比较着急的事情，就是一个病毒发生了以后，大家都会抢着发布新的病

毒包或者杀毒工具，我觉得这是厂商恶性竞争，不如他，是良性的竞争。大家都比速度

，比质量，就是谁可以以最快的速度帮助清理这样一些问题，实际上，用户是最终的收

益者，这样呢，实际上把用户的损失减得小一些。

    张：所以说，因为刚才提到这样的矛盾，你觉得测试的时间越短，但是呢，你病毒

库提供的时间越短，你可能会对于你的用户来讲不负责。那么我们为了平衡这个，专家

也说到，比如它的更新速度，因为他对一个病毒进行扫描，专门的代码是非常简单的，

他不需要走特别大的流程，所以我们第一时间发布专杀，我们可以争取更多的时间去做

测试，然后再推出来。

    主持人：还有就是，我觉得一般的软件都是漏洞的，保证杀毒软件在内。一种说法

，杀毒软件已经成为Windows之后，最容易成为黑客攻击的目标。这种情况是不是杀毒软

件本身的漏洞比较多？

    马：我觉得这种情况也不尽然。事实上，看来并不是杀毒软件出现的问题最多，因

为作为一个安全公司来讲；另外一方面，相对我们编写程序本身对程序比较有了解，所

以他在造成安全事务上主要的可能性比较小一点，那么他在写代码的安全程度会相对多

一些，包括最后的实验室的情况下来看，都是安全的杀毒软件。

    李：因为安全软件的特殊性，除了普通系统以外，他会理所当然的成为攻击的一个

目标。他如果想拿杀毒软件下手的话，他可能会带来一些问题，如果成功，他会带来很

大的影响。这种案例曾经有过，国外的一些杀毒软件曾经报出过，在几年前，曾经有一

个病毒专门攻击安全软件，在很短的时间内爆发，这样的产品数据的损失，对于任何一

个安全软件厂商来说呢，他在开发软件的时候，他本身会非常的注意这个。包括测试还

有他的产品架构的设计，他安全方面会关注得更多一些。杀毒软件基本上覆盖了每一台

电脑，是有关杀毒软件本身漏洞的报道是非常少见的。

    张：是这样的，首先漏洞的多少的个数。首先是有两个方面，第一个真正的漏洞，

真正的漏洞是取决于软件的复杂度和规模度，当他的复杂度和规模度不断的上升的话，

它的漏洞会逐渐的增多，因为他的复杂度和规模度比普遍的要多一些；另外一种就对用

户来讲，他并不关心实际的用户，他更关心的被发现的漏洞数，他首先是取决于软件的

质量。就是你的软件质量被变的很差的话，那么你的病毒就会多起来，但是这种情况不

太多，因为大家在搞研发的时候，因为软件是一个软件公司的声明，那么他们在抓的时

候，都会比较多。

    第二个就是说，看你的软件受众程度，就是你的用户群越大，你被发现的漏洞群越

大。因为这种漏洞，第一是大家发现漏洞会有成就感；第二是会利用漏洞进行经济上的

侵入，当他想收入最大的时候，他会选择一些流行的产品进行挖掘，那么我们首先可以

看到Windows的漏洞，他也是根据他的受众人群数来决定的。

    网友提问：有一些病毒，比如说U盘病毒之类的，他经常把系统搞得面目全非。普通

用户就会觉得杀毒软件没有杀出来效果。问一下，除了杀毒软件也会成为系统最重要改

进的地方？

    李：这是一个问题，如果按照杀毒软件公司传统的处理病毒流程，把这些相应的程

序直接删除掉，就会给用户的系统造成影响，那么我们发现这种类似的现象，他非常核

心的地方修改多，尽可能做到这个软件，使他还原到安装的状态上。我们的目标还都是

一样的，除了把这个病毒清除掉，还要消除这个病毒的影响，让用户的电脑在运行的情

况下还是和没有感染病毒以前的情况是一样的。

    马：我们在清除病毒还有对他影响的消除程度，我们还是很重视的。我们认识这是

杀毒软件的功能。另外还有一方面，他有他客观的方面存在，因为这些杀毒软件还有病

毒，他对系统设计做的时候，就是没有爆裂他原始的状态是什么样的，那么我们在做网

络恢复的时候，就会面临这样的一困难。我怎么知道这个用户的系统原来怎么样的？因

为在使用之前，都会有不同的配置和情况，我们只有尽可能的恢复，但是肯定有恢复不

清楚的情况。

    张：首先对病毒来讲，每一个病毒公司，他杀病毒他会分析病毒。为什么U盘病毒，

我觉得比较特殊呢，首先它是传播最广，有U盘和MP3的设备，那么U盘病毒就钻入每一个

电脑，因为他的启动模式是比较快的，在这种模式之下，如果这个病毒被发现了，我们

知道他侵入了哪些文件，一些文件来讲，那么他会升级自己在升级的过程中，他本身不

会升级，但是他只是修改了他其中文件的一些名字，在这种情况下，反病毒软件可能会

没有杀毒的时候会造成一些没有杀过病毒的文件名。所以我们觉得，对于病毒提供了一

个很好的工具，我现在在使用，就是病毒的免疫，他就是抢在第一时间，他在你的系统

中建立一个复合型的文件，那么就没有得到权利他就写失败，从而干扰多少系统，我觉

得这样子，对于U盘来讲，预防还是比较重要的。

    朱：我想问一下专家，现在比较主流的商业软件，都会或多或少的出一些主动防御

的功能，现在看起来还是处在比较初级的阶段，就是杀毒软件还是给予传统的特征版。

就带来一个问题，因为他最主要的威胁，他不是来自于传统上的问题，而是来自于更多

的是功利性的，网络化、木马啊，这些有一个特点。大家收起来的版本会比原来的版本

多很多，就是说，木马往共同网站上挂的时候，都会做一些测试，就是说，杀毒软件在

截获这些版本比较多的木马的时候，会不会特别大？

    李：这是一个问题，我们就发现，如果把杀毒软件做得各方面都比较严格，包括你

写入的操作。写入操作如果都对他进行控制的话，在你的产品是面对什么样的客户。如

果你是大量面对初级用户的话，你设定好这些测定的功能，他都想让自动的完成就好了

，他不会自动选择，他会觉得比较麻烦。另外就是真空吸的问题，在样本提交的时候，

就是升级提交之前的那一段时间，这段时间应该说是比较危险的时间，我们在其他商业

解决方案的时候，我们尽可能让多少样本收集在更短的时间内收集完整，我们也提供了

一些新的解决方案，我们也可以做网络自动分析的获取，样本的这样一套系统。但是在

这套系统里面，用户可以轻松的使用我们的小工具，用户只需要点一下按纽，然后我们

大量的工具都可以使用，杀毒软件主要防御和地域性之间的平衡我们都在研究当中，让

这个产品应用的时候安全保障更有效一些。

    马：刚才讲到了具体技术防备。我想讲一下，这个整个反病毒发展的历程，那么为

什么还用呢？是因为它的效果最好。同时呢，他对防爆控制比较低，实践证明它是迄今

为止它是最有效的方式，包括一路走过来，产生过很多技术特征，还有很多未知特征，

还有大家很多在进行的防御。但是现实情况就是说，我举一个很简单的例子，现在的木

马它表现的事情，他可能正常的程序没有什么区别，你如何来区别它呢？所以这个东西

本身就是，它在理论上非常困难的，所以这些技术他不可能在效果上达到非常的完美。

到现在为止，他只能做一些辅助性的工作。

    那比方说这样一个和你用户去点一个行为，他可能做得很好，但是还是有一些区别

，你如何在这个之间，去分析，让这些东西它技能发现这些未知的动作，还一不小心把

用户正确的东西给删掉了。那说遇到，真空吸的问题，每家都在尽自己最大的努力，比

方说，去年整个病毒的趋势，就是“变种”特别多，他通过是免杀的方式来查处的，针

对他做一些更新的方式。但是呢，这个项目就想是没有终结的战争，就是向您说的，我

只能做得更好。那么我们所能做得工作，就是把这个引擎做得尽量得好，来使他比较好

的发布它的下一个版本。那么这个真空吸还是一定存在，那么他最后存在还是要回到刚

才的办法，就是通过和用户之间紧密的联系，并且很好的服务用户来弥补这个差异。

    网友提问：请问三位嘉宾，你们有没有感觉到国产的杀毒软件和卡巴斯基有很大的

差距吗？如果有的话，是不是很大？

    马：我觉得是这样的，我们也不讳言，这个卡巴斯基，特别是流行卡巴斯基专家本

身，那么每年开国际会议的时候，我们都会去和他合影，可以说他是反病毒行业的一个

明星，但是反病毒行业他早不是个人明星，他是一个团体。因为个人怎么也挡不住上百

个病毒的来袭，甚至多的时候，我们可能会遇到上千个病毒，所以最终取决于既包括引

擎的，还有包括团队对病毒的相应速度，那么从引擎的技术来讲，现在总体来讲，现在

比较大的厂商引擎都有同质化的倾向，因为大家都做不同的技术。但是我跟大家讲，还

是特征这一块，因为这一块研究得非常的透彻了，我脱15种，或者你脱12种，这个可能

有一些产品，但是总体上有一些同质化的倾向，那么在这种情况下，怎么样体现杀毒软

件的区别呢？我觉得最主要的是对客户的服务能力，因为最主要的，我的目的是为用户

解决问题，实际上，现在最互相比拼的是对病毒的服务能力。

主持人：我想听晓兵，因为他不是厂商的人，所以他会比较客观。

    张：我先说一下，也就是说，卡巴斯基他明民间的口碑是非常好的，那么我们就说

，他确实有一些能力。那么就是说，它的软件的价格比较好，就是他的模块特别好。好

到什么程度呢？好到，你可能现在用3.0的版本，还可以升级，但是他带来多负面作用呢

，是早期破解卡巴斯基是一个非常紧张的事情。那第二个问题，就是，大家觉得卡巴斯

基好的时候，它“壳”的问题，他最多可以查1000种壳，那他带来的负面消息是什么，

就是他的速度特别慢，为什么他的口碑好，就是他屡屡是第一，因为大家每一次在做交

换的时候，都以卡巴斯基来做标准，就是用什么方法，咱们都用卡巴斯基吧。因为这是

一个标准，所以造成在民间测试中是第一的。那么就是说，我们再来分析它，因为他是

反病毒的大师，那么对于他做了这么强技术的东西，还会产生负面的东西，比如说他查

了1000多种壳，比如说，他会把所有反病毒的隔离区，他会把隔离区的病毒都查出来，

这个从技术上来讲，他很强。对用户来讲，他不是一个好的作用，还是一个负面的作用

。当一个病毒被杀毒软件已经处理到隔离区，因为我们知道隔离区是一个专有的格式，

他在里面是不会被截获的，对于用户来讲，我觉得是没有必要的恐慌，那么就是说，我

们在考虑你技术好，是不是到底好，如果说你确实做了一个技术很强的产品，但是你不

考虑用户的感受，我觉得这是不对的。所以我觉得一方面我们发展我们的技术，但是我

们的技术首先是用户为目的，来为用户服务。

    网友提问：关于Vista的操作系统来说，他的内核都要从头做起，这对杀毒软件有什

么影响，是不是杀毒软件的设计版本都需要重新写？

    马：总体来讲，他在价格上是不变的，因为我们的版本运行在Linx所有的品牌上面

，那么可见他所有的操作上面这部分，那么具体卡巴斯基Windows ，那么在这个上面他

改变比较多，他势必会有一些区别。

    李：这个引擎你刚才说了他在任何平台上都会顺利的运行，他对新的操作系统上来

讲呢，他会做一些新的操控。

    张：大家关心的是新的杀毒软件能不能好的运行，两位都说了没有问题。还有一个

就是对于新平台上处理很快，那么另一个对于网友来说，我觉得他的意思是每一版本的

Windows会越来越安全，我们来回顾一下历史，Windows是比DOS更安全的系统，Windows

因是不存在这样的问题，NT无可能是大家认为比GIn无更安全的情况，但NT依然出现了比

Gin更多的病毒，还有XP的病毒也很多，另外比如说，XP2他的不定推出来，他对于一些

内存造成了一些限制，他作为了一些间隔的病毒，这些病毒就是消亡，但是他会看到他

会使一些流氓软件，更多的杀毒软件会出现，那么NT会在更多的平台上出现，对于流氓

软件是一个更大的遏制，但是我们向你病毒的数量会越来越少，而不是说越来越多，所

以说，微软每推出一款系统，他会给用户带来更大的便利，但是业带来一些相应的问题

。

    主持人：你说到了Vista我们再延伸一下，因为他整个的将来的发展趋势，曾经有个

说维斯卡（音）的操作系统，他的级别会越来越高，他的软件的发布空间会越来越小，

将来晓兵刚才也是解释了这样一个现象，那么由于是曾问过微软方面的人，他们也确实

说，将来即便是操作系统会很过，但是其需要安装杀毒软件和防火墙，那么还有一个问

题就是说，从长远的发展角度来说，我们和原公安部工程师也说过，可行性计算也是将

来的一个发展趋势，那到这个级别的时候，杀毒软件也没有用武之地了，我们把这一块

交给“狂PK说一下。

    马：这是一个很好的理想，那么要实现这个理想这个路还很长，因为可行性计算他

需要构造比较好的质量才能构造，他在计算机里面首先就有一块可行性计算的芯片，那

么连心（音）也说过，他们做了这个东西，这个一个很重大的事情，那么这可能是万里

长征的第一步，还有在和操作系统构成支链，但是我们有无数的这种驱动，更有更加海

量的应用程序，把整个东西都拿到信用体系来讲。从目前来讲是不现实的，那么只要有

一些应用软件是不参与这个过程还是来不及做，那么用户就相信不被认可的产品，那么

只要用户还相信有这样的产品，就会去结识一些不是善意的非被认可的程序，所以我说

他是一个很漫长的旅程，也许我们会等到将来所有计算机的软件都是得到认证的，因为

我们每一个厂家都也有一个想法推给用户，我们真的能做到所有的程序都得到认证吗？

    李：那简直是不可能的。

    张：另外呢，由于认证性也不会彻底限制，所以会造成可行性预算是一个美好的理

想，最终的反病毒还需要杀毒软件。

    马：其实大家应该构成一个连体系。

    朱：好像觉得没有太大的关系。

    马：现在进程来讲有一些问我觉得将来合作肯定高于进程。

    朱：有一些网页说，他曾经遇到过国外的杀毒引擎，比如说金山就用过DIY的，就想

问一下，现在国内是不是还存在这种情况，国外的引擎情况一直到中国的杀毒软件有没

有一些技术上支持不太到位的地方？

    马：引擎这个是属于各个公司的机密，我不太清楚。我是看到媒体的一些报道，刚

才李铁军说到DIY也是在媒体上承认的，也有一些报道，以前也用过。但是不是很真实，

从瑞星来讲呢，因为瑞星是从92年就开始做反病毒软件卡了，那时候还没有做过很多的

反病毒软件卡，那么所以我觉得引擎这个情况大体上讲，你刚才提到国外的产品到了中

国是不是也水土不服的这种情况发生？我觉得现在总体上来讲是走同质化。我觉得这一

方面肯定就是有优质的，因为本土的厂商小，在中国也有几十人的团队，在国外有这种

上百人的团队，讲，还不是很常见，从这个角度上来讲，我觉得还是有一定的水土不服

的，他更多的是表现在技术支持上。

    张：我们可以看到全世界第一个病毒是86年的，我们中国出现的第一个病毒是89年

，那在86年出现“大脑”的时候，他确实比我们领先几年。另外从一个一开始是做反病

毒来讲，我觉得他肯定是要求把自己的前期的积累迈过这个坎儿，其实我们认为这是一

个先因为对于安全来讲，因为只有一家企业，他是不安全的，如果只有一家的话，我觉

得他会更不安全，只有多家一块发展，他才会发展。因为目前没有一家反病毒公司不可

能把所有的病毒都抓到，就是说，都有一些对方查不到的样本，也说非安全的厂商利用

国外引擎，对于安全界来说是一个很好的事情。

    那么第二个事情就是外国公司进入中国肯定会水土不服，包括很多杀毒软件，包括

流氓软件。他传播的渠道，因为他对中国市场不重视的话，他没有深入到中国市场的话

，还比如，诺顿早期，他对国产处理的数据上很差，但这两年好了一些。

    网友提问：很多杀毒软件都会占很多的内存，防火墙和杀毒软件有没有进到一个程

序里面？

李：这个杀毒软件来讲他如果要实现正确的功能，他需要更多的程序来实现，他需

要更多的进程，但是如果说这个防病毒和防黑客的网络防火墙，因为病毒越来越趋于复

合型的病毒，杀毒软件和网络防火墙软件，他完成有可能是合到一起的，另外因为有

Windows防火墙，他不是一个新事物，但他并没有阻止其他网络防火墙的发展，包括还有

Vista防火墙的系统，他现在有非常重大的改进，但是现在从用户的角度来讲呢，他现在

和专业的网络防火墙还有很大的不同。

    马：我觉得用户他关心的肯定还是资源占用的问题，资源占用，他其实是和功能和

资源上做一些平衡。其实就从技术角度讲，我们非常要求把所有的东西都合到一块。在

技术上来讲，就是把所有的东西放到一起的，要把它分开，你一方面有很多的拷出，另

外防火墙很多的病毒都有保护功能在里面，那么你贸然的放一起，其实你做那么多事情

他还是要消耗那么多资源，反而会丧失一些好处。那么从这个角度来讲，合适不合适其

实没有太大的关系的。厂家做的永远是资源和功能的一些平衡。我们都知Windows，都是

看到了他可能有这个一个很好的三维立体的程序，但是难道别的程序不做，就不做了吗

？即使是同样的一个程序，那么也会有很大的差别，那么我举这样一个例子呢，它

Windows的防火墙和专用的防火墙相比还是有很大差距的。

    朱：我们读者非常关心你刚才说到防火墙它本身资源的占用问题。但是防火墙在技

术上是有一些底层驱动，还有需要插入别的系统中的东西。就是说，有没有一些方法比

较直观的从数值上去看杀毒软件的占用，就是说，从用户上，比较直观的感受，先去测

试一下？

    马：我觉得这个资源系统占用的测试是可以有的，他在系统内有一些驱动，会有一

些资源，那通过合适的资源监控程序是可以看到的。我觉得真正需要进入进程里面的，

我觉得金元词霸是可以进入到别的进程里面的。

    网友提问：瑞星的企业版，好像说很多病毒杀不了，是不是因为他保护数据的原因

呢？

    马：我觉得病毒杀得了的问题，是一个常规的问题，因为任何一个厂家都不可能杀

所有的病毒，他有一个交叉的问题，瑞星杀毒软件它发现不了，他肯定会注意到瑞星杀

不到的问题，那么杀掉的话，他会比较关心他，这样的事情实际上每天都在上演。那么

还是回到刚才说到的老问题，我们每一个厂商还是在加大了病毒的搜查能力。

    网友提问：引擎系统挺多的，以后会不会加入到影子系统呢？

    李：这个不会，但是这个系统是不会解决所有安全问题的。就是这个问题保证你推

出安全系统之外呢，他会保护你进入正常的状态，这个影子系统只是这个系统冲撞的机

会少一点。

    朱：就是它重启之前……

    李：就是它重启之前已经杀毒了，但是不能保护用户的数据。

    张：他的出发点是备份和恢复，那杀毒恰恰是说，我对你的系统恢复和保护我不关

心，关心的是你的数据系统是否正确、是否有病毒，其实这两个是互补的东西。

    网友提问：现在“音像池”（音）病毒很多有没有专门的杀毒软件？

    李：几乎国内能见得到的所有安全软件，还也一些系统管理人员都在研究，利用这

些技术的病毒现在感觉是越来越多，但是他主要的目的不是为了让杀毒软件不能用，完

事了。他可以肆无忌惮的下一些木马去偷你一些信息。

    马：不论是反病毒出了一种技术，那么对方都会相应的去做一些新的技术，大家都

不停的改进之中，这是一种动态的平衡。

    网友提问：杀毒软件查杀病毒的部分可能有用，但是实时监控的部分就不然了，他

们只会让电脑速度降低而且可能引发大量的不可预料的软件冲突。比如说还有致命错误

方面的，就是说，病毒倒不是很常见，但是都 是因为使用了杀毒软件的实时防护，是不

是杀毒软件大于病毒呢，针对这个问题，专家怎么看？

    李：如果一个普通的用户呢，他不用安全软件，他可能改变他的系统，没有意识到

安全系统的情况下，因为他使用了安全系统的一些软件，他会中各种各样的风险，那他

的系统就会造成不同的问题。

    马：而且还会有数据调式更多的这种损失。还有另外一个方面，我觉得这个网友是

对技术比较熟的人，我觉得作为病毒专家来讲，我觉得这种是不必解释的；但是作为普

通用户来讲，我觉得比自己漠然的决定要好一点，那么对于一些专家级别的用户来讲，

他可能比较清晰的知道，他每一个操作会带来什么样的风险他有评估能力的话，是不会

出现蹲点。

    张：在当时会发现异类的时候，会发现计算机还是有病毒，那时候病毒然通过各种

群，他们会支援各种病毒，为什么今天没有病毒，而哪天又有病毒了，因为你那时候，

那的本系统干净了，但是你用了别的系统，这时候就会被感染了，所以针对这个情况，

就推出了一个实时监控系统，就是你的文件被病毒感染的时候，就比如说，磁盘杀手，

他会破坏你的文件。另外一点就是说，大家会认为他会很占用资源，因为我觉得，本身

杀毒软件是用万分之一的损失来弥补一万个漏洞，因为你是有能力去对你的安全能力进

行评估的话，所以现在安全软件的实时监控都是可以选择的，这是你的自由。但是我觉

得部分用户来讲，我觉得占用系统资源的我觉得比占用系统的资源更好一点。

    网友提问：战略防御类的，系统监控防御系统有没有代替标准的实时查杀的安全软

件？

    李：这种常用的软件是无法取代杀毒软件的，而这一类的软件跟用户之间的交互非

常的多，我们尝试过这一类的软件，我们只有计算机软件的人员才会使用这些软件，我

们动一下鼠标，就会弹出对话框这类情况的。

    朱：他那个元素包含的规则，那规则在不断完善的情况下那杀毒软件会不会从木马

转移到……

    马：我觉得从可见得将来还不会出现这种大规模的事情。因为我刚才讲大规模病毒

发展历程的时候，因为各个公司都有类似的技术，但是为什么没有成为主流，这些厂家

都花了很多年的时间做了很多事情，因为他们没有本质上的区别，那么这个东西就从本

质上来说，是很难区别开的。这种现实情况就说，总有一种不可能他是通过行为方式来

识别的，另外还有一种就是他的行为方式交互比较多，他不交互的话，他自己做的比较

多，他不准确的话，因为你误报一多，那这个东西就变得没有多大用处了；再者，现在

用户已经变得很精明了，因为他需要了解更多的系统，一个综合情况他才能做一个决定

，还有病毒的总体特征，这个消耗是非常多的，现在比如做一个很好的监控系统来说，

行为技术可能是病毒技术的一种补充，但是在可见得时间里，我觉得他不可能成为他的

补充。

    张：我觉得刚才主持人说的比较好的一个事情，早期我们的反病毒软件就是扫描器

，后来出现了时间模块，就是会认为时间在程序运行之前就进行防御，他可能是防御的

一个元素，那么我们知道整个对于包括我们发现操纵系统沟通越来越多，用户不打补丁

的情况下，那么这样的情况，他也是一个主动的元素，他用户发生之前，帮助用户防御

，用户都在上网，上网的越来越多的时候，他自身的防火墙就会出现。

    后来大家认为防火墙出现的次数越来越多的时候，就把借鉴防火墙的系统运载到系

统上面，也就是说，随着杀毒软件的去进步，应该说主动防伪元素越来越多，因为刚才

讲到，用户如果确实特别强烈希望有这么一个主攻的挖掘的工具的话，那么反病故公司

肯定会考虑把它们移植到这方面去的。

    网友提问：金山、瑞星会不会考虑把他们作为病毒查杀？

    马：这个不是特定的，我想每一个公司都有一套表。比如说他有什么动作，或者不

经意的安装，用没有不利于卸载或者拒绝卸载的情况，或者说在卸载情况下，有很多流

程，我们有很多标准和流程来判断他是不是流氓软件，不是说，他叫什么名字，就叫做

流氓软件了。当我们明确这个流氓软件的界限以后呢，就是把其中一部分判定为流氓软

件了，有一些厂家说，我们并不是想成为那种软件，在不合适的时候，他们会把一些不

好的软件剔出掉，还也一些软件他不停的被追杀，也是有的，那么就会被我们追加到病

毒库里去处理掉了。

    张：那么对于流氓软件的判定就是仁者见仁、智者见智。但是最近由于我们看对流

氓软件的定义之后，不管是用户好还是企业也好，那么会安全官方去界定，那么你如果

确是符合了官方里面的界定，那么就确实是流氓软件，大家在网上看了一下流氓软件的

定义，如果他符合，那么他就是流氓软件，不管它的出品公司是哪一家，这就是我的判

定的依据。

    网友提问：像瑞星的卡卡助手，还有金山的评定都是不错的程序，我们建议把精力

动放在两款软件上面，还也构筑安全系统，把杀毒软件、防火墙还有卡卡助手针对这种

情况，是不是要安装3种不同的软件来保护系统？

    马：我想之所以推出不同的三种软件，我想有他们的工作领域，那么给了用户选择

的权限，那么另外多少卡卡助手也是使得没有购买瑞星的用户，在这方面得到保护，因

为在前一段时间，流氓软件非常猖獗的时候，我们感觉这个用户受到的困扰非常大，那

么至于说到，这个软件的不成熟，那么我觉得所有的软件都是从不成熟到成熟的阶段，

我们希望用户所有的意见就汇集过来，我们会不停的改，我们也在积极升级他，可能在

将来我们会推出不同的版本。

    主持人：由于时间的感到，我们特别感谢三位专家很有耐心的给我们解答问题，那

我们今天整个话题就告一段落，因为我希望，我相信安全问题会一直在网络时代会特别

受大家关注的一个话题，那么希望在今后的，像我们的报道中希望各位多为我们的用户

想一想，希望多为我们用户生产出不同好的产品出来。谢谢。

估计是的