我国计算机反病毒技术从80年代末发展至今已有十余年历史，其间随着计算机操作系统的更替和网络技术的迅猛发展，反病毒技术也已经历了多次重大变革。从dos时代只杀不防，到windows时代的实时监控，从一对一的特征码判断到广谱智能查杀，从查杀文件型病毒到防范种类繁多的网络病毒，反病毒与病毒技术一刻也没有停止过较量。而随着网络技术的飞速发展，宽带的日益普及，新病毒出现的数量和传播的速度也越来越快。据江民病毒分析工程师统计，目前江民反病毒研究中心捕获的病毒从以前的每天十几个到现在的上百个。一边是反病毒专家不停地分析病毒，另一方面是新病毒不断地出现，从病毒出现到捕获升级难免有时间差。于是相应的一系列问题开始显现，用户“为什么安装了杀毒软件还是中病毒”的疑问越来越多，除了一些用户操作上的原因外，未知病毒已经开始向反病毒技术发起挑战。

伪主动防御技术泛滥

　　真正意义上的病毒主动防御技术特指的是对未知病毒的防范， 在没有获得病毒样本前阻止病毒的运行。然而目前许多没有未知病毒防御功能的杀毒软件也宣称“主动防御”，如把开机自动升级和开机自动杀毒等杀毒软件早就具备的功能称为主动防御，核心技术还是防范已知病毒。

　　还有一些杀毒软件将附加的黑客防火墙拦截外部攻击称为主动防御，事实上防范黑客攻击与反病毒主动防御技术并无任何关联。另外，一些安全软件附带的漏洞扫描技术应该属于系统加固的范畴，也不能称之为真正意义上的病毒主动防御技术。

　　与各种名目繁多的伪主动防御技术不同，江民未知病毒主动防御系统强调对未知病毒防范，名称上即与伪主动防御技术有所区分。

江民未知病毒主动防御系统原理及构成

　　新病毒层出不穷，传播速度越来越快，江民反病毒专家每天都要分析上百个新病毒，就在这种情况下仍然不能避免百密一疏。种种迹象表明，如何有效防范未知病毒将成为计算机反病毒史上的又一次重大技术变革。江民反病毒专家通过对系统的需求分析，决定从“防”“杀”“守”“控”四方面入手对付未知病毒，开发成功未知病毒主动防御系统，该系统主要包括四大部分： 1、未知病毒克星 2、木马一扫光 3、 隐私信息保护 4、江民kv病毒预警系统。

　　防：专家分析，造成危害最大的也是目前最活跃的病毒，一是木马、二是蠕虫。而几乎100%的木马和蠕虫都通过修改注册表达到常驻内存的目的。正是在对病毒特征的准确把握下，反病毒专家推出了“江民木马一扫光”，全面监控病毒修改注册表行为，遇未知病毒立即报警并阻断。

　　杀：“木马一扫光”防住了未知病毒，要是用户没有开启木马一扫光感染了“未知病毒”怎么办？于是，融合了二十余种病毒行为特征的“未知病毒克星”应运而生。江民“未知病毒克星”采用了先进的黑白名单技术，将用户常用的操作系统和应用程序列入白名单，有效解决了误报的问题。江民反病毒专家在手工分析查杀了9万余种已知病毒的基础上，综合提取了病毒共有的20余种行为特征，研发成功“未知病毒克星”软件。经严格测试，该程序对未知病毒的检测率可达到98%以上。“未知病毒克星”不但可以判别出用户进程中的可疑程序，而且还提供用户自定义病毒库，手工查杀病毒的功能。这也是江民公司继“木马一扫光”之后，对“病毒行为阻断技术”的再一次成功应用，是目前国内首款未知病毒查杀工具。

　　守：事实上，由于用户在使用杀毒软件时存在关闭监控等不安全操作行为，仍然不能避免未知病毒侵入电脑甚至窃取机密信息的行为。前不久发生的以色列最大的商业间谍案即是由于电脑被种植特制的“特洛伊木马”而造成商业机密泄露的。这种情况下，只要用户开启江民杀毒软件的“隐私保护”监控功能，即使不慎被未知病毒入侵，当病毒向外发送机密信息时，江民未知病毒主动防御系统会立即报警并阻止其行为。

　　控：从“cih”病毒到“冲击波”，我国已发生多起大规模病毒爆发事件。虽然江民反病毒专家们和同行配合国家主管机关在病毒爆发时全力投入疫情防控，在最短的时间内控制并消失了病毒，但仍没有避免巨大损失。疫情过后，反病毒专家反思，这些病毒从哪里来？是从哪个区域开始传播开来的？假如我们能够导入如同防范“非典”的计算机病毒防疫机制，发现病毒苗头后立即采取措施，并与病毒发源地主管部门联手布控，将病毒消灭在局部范围内，不就可以永远消灭大规模的病毒爆发吗？于是，江民反病毒研究中心开发出一整套病毒主动预警系统，24小时不间断监控全国的病毒疫情，每个病毒的发现次数和区域分布，从病毒预警系统中都能一目了然。有了这套系统，全国的病毒疫情都在反病毒专家们的掌握之中，在有效防范病毒的同时，也为反病毒专家从事反病毒研究提供了准确详实的第一手资料。

　　除此之外，江民杀毒系统未知病毒防御系统还包括“智能广谱”、“虚拟机”等反病毒技术。“智能广谱”即提取某类病毒家族的共同特征，以后只要属于此类病毒家族成员，无需升级病毒库即可防杀；“虚拟机技术”即是在电脑中创造一个虚拟cpu环境，将病毒在虚拟环境中激活，根据其行为特征，从而判断是否是病毒。这两项技术90年代初就已在江民杀毒软件kv300、kv3000中得到应用，也是江民未知病毒主动防御体系的有机组成。

主动防御还需和特征码技术共担防毒重任

　　虽然江民未知病毒主动防御系统已初具规模，但这并不能完全取代传统的特征码查杀技术。目前这套体系在江民杀毒软件中也是与传统的特征码查杀技术紧密配合，共担保护电脑安全重任的。例如用户在使用杀毒软件全盘查杀病毒后，如提示未发现病毒，此时系统会提示“是否检测未知病毒”，选择“是”调用“未知病毒克星”，即可有效识别未知病毒，从而进一步将其从电脑中清除。

　　业内资深人士分析，江民“未知病毒主动防御系统”的成功发布，意味着国内计算机反病毒技术前进了一大步。以江民科技为代表的国产杀毒软件厂商目前已形成一套从处理已知病毒到未知病毒，从主动防御到特征码查杀的一整套立体防范系统，这将是我国乃至世界上计算机反病毒技术的一个长期的发展方向，事实将会证明那些鼓吹单一“主动防御”并认为“特征码查杀过时”的理论不过是“乌托邦”式的空想主义。