使用江民杀毒软件KV2008有一段时间了，对于新一版的KV与此前的版本有什么不同呢?下面就看看我的亲身体验吧!(注：本文以Windows XP SP2为测试平台)

　　一、初识江民杀毒软件2008

　　打开KV2008，界面首先映入眼帘的依然是那么简洁、清晰的界面，给人朴素大方的印象。

　　界面左边依然是那三个醒目的按钮：扫描目标、扫描结果、监控中心。点击“简洁目标”选项卡中的任意一个快捷方式都可以进行查杀病毒，旁边的几个选项也可以详细设置查杀目标以及方便用户的在线升级和软件设置。KV2008依然继承下KV2007的菜单栏风格，这样更加方便用户的已有习惯，使用户不会因升级杀毒软件而改变习性，从中可以感受到KV2008的人性化设计。

　　KV2008也同样继承了KV2007的所有优点，而且还加强了其“主动防御”功能。江民的“主动防御”可以实时监控系统中是否存在木马、保护IE，监视是否有可疑进程以及注册表，这样可以最大限度地保护系统免遭病毒、木马以及系统本身漏洞的威胁。

　　再看看系统资源占用方面。KV2008比以前的KV系列更加注重系统资源占用问题，运行中仅仅占用了10MB左右的物理内存，加上虚拟内存，也不过50MB。

<

　　而现在的内存价格已经跌到白菜价了，2GB的内存用户也不在少数，区区50MB内存的占用，就可以得到系统全面的保护，资源占用情况十分令人满意(注：目前是打开江民默认的系统防护的，包括文件监控、网页监控、邮件、脚本以及主动防御功能)。

　　二、体验江民2008的全新功能

　　毋庸置疑，江民的每次升级都会给用户带来更丰富、更人性化的服务。下面就着重介绍“江民安全助手”和“进程查看器”这两大新功能。

　　1.江民安全助手。在流氓软件横行的今天，有一款强力查杀流氓软件的工具是每台计算机必不可少的需求。KV2008的“系统安全”里集成了“江民安全助手”工具。

　　点击左方的“检测列表”按钮，软件就立即进行查杀。我自认为自己的系统非常干净，但是出乎我意外的是，江民的“江民安全助手”马上就查杀出来了一款流氓软件的残留项目。实在是令人佩服江民的恶意软件查杀功力!当然，在“江民安全助手”的左侧，还有其它的功能。我发现，在左下角有一个“系统修复”的按钮，这个可以在查杀病毒之后，如果病毒破坏了系统的关联(如杀毒之后无法打开exe文件)，就可以用这个功能进行修复。

　　修复方法十分简单，直接点击右侧的“修复”按钮即可。

　　2.进程查看器。江民2008中也集成了“进程查看器”功能。下面以十分猖獗的“上兴”木马病毒为例来说明KV2008的“进程查看器”强大的功能。众所周知，“上兴”木马采用Rootkit技术，使自身的运行级别提升到Ring0，从而使系统自带的“任务管理器”无法查看其进程，这也是为什么使用Rootkit技术的病毒十分难以查杀的原因。但江民的“进程查看器”可以完美越过Ring0级别的限制，从而让使用Rootkit的病毒无处藏身。

　　图5是使用IceSword来查看进程的截图，可以充分说明江民的“进程查看器”功能十分强大)。另外，江民的“进程查看器”还可以定位某个进程的网络连接状态、查看某个进程的模块信息、线程信息以及将该进程加入黑名单中以及其它一些功能.

　　这些都是系统自带的“任务管理器”所不能比拟的。由此可以看出，江民“进程查看器”的功能不容小视。

　　三、KV2008——反毒的利剑

　　现在进入KV2008的核心部分----病毒查杀。杀毒软件的杀毒能力是一项评价杀毒软件非常重要的指标，也是杀毒软件的核心部分。杀毒能力不足的杀毒软件就像一个只有空壳的人一样，没有实质的东西，当然这样的软件也不能称之为杀毒软件。通过实用，可以看出江民杀毒软件独自核心杀毒技术的有效性，而且它在多方面都胜过某些同类软件。下面就以蠕虫病毒“魔波”和木马“上兴”为例来阐述江民强大的反病毒能力。

　　1.利剑斩“魔波”。“魔波”是利用微软的漏洞进行传播的蠕虫病毒，其破坏性不亚于当年的“冲击波”病毒，但是现在人们的防范意识逐渐提高，才导致“魔波”没有像当年的“冲击波”那样肆意扩散。但是“魔波”的攻击力依然不容小视，所以现在就用KV2008以“魔波”为例来斩杀强悍病毒。

　　中了“魔波”病毒变种之后，病毒会在%systemroot%system32目录中生成"wgareg.exe"病毒文件，并且会将自身加入系统服务中，使系统自带的“任务管理器”无法结束其进程。

<

　　经过在虚拟机上的病毒行为分析之后，传统查杀方法如下：右击“我的电脑”进入“计算机管理”中，选择“服务和应用程序”中的“服务”，选中病毒创建的服务"Windows Genuine Advantage Registration Service"，将其“启动类型”设置为“已禁用”，下次计算机启动的时候就不会加载该服务;再定位到%systemroot%system32目录下，将"wgareg.exe"程序删除;最后进入注册表，将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswagreg键值全部删除即可

　　虽然这样可以杀除“魔波”病毒，但是对于很多计算机用户来说，毕竟还不是很容易。KV2008完全考虑到了这一点，使用其自带的“进程查看器”可以非常快捷、方便地查杀掉“魔波”病毒。

　　打开KV2008，在菜单栏中选择“系统安全”，选择“进程查看器”，再定位到"wgareg.exe"这个进程上，可以清楚地看到，江民的“进程查看器”将"wgareg.exe"这个进程的危险度标记为80%。

　　这样可以明确的让用户判断一个进程是正常进程还是可疑进程。右击该进程，选择“结束进程”即可将该进程结束，之后进入该病毒的文件夹中，将其删除即可彻底查杀该病毒。值得一提的是，江民的“进程查看器”不仅仅是简单的结束一个可疑的进程，它还会将这个可疑进程的服务给关闭掉(这就是为什么系统自带的“任务管理器”无法结束掉“魔波”进程，而江民却可以的原因)。再进入%systemroot%system32文件夹下将病毒文件删除，最后清理注册表即可。

　　从这里可以看出，江民的杀毒能力堪称一流，即使是一款附带的“进程查看器”都有这样强大的功能，不难看出江民强悍的杀毒能力!

　　2.利剑斩木马。木马在这个时代是越来越猖獗，灰鸽子、上兴、守望者、黑洞等等木马软件在网上横行霸道，给信息安全带来了极大的隐患。它们所使用的技术也是不断更新，有的使用系统文件名漏洞来隐藏自身，有的是使用与其它程序进行捆绑来隐藏自身，还有的使用Rootkit技术或是采用NTFS流隐藏技术等等……但不管病毒使用怎样的手段，江民杀毒软件都可以有效查杀这些木马!

　　这里就以典型的“上兴”木马为例来介绍KV2008的反木马能力。

　　如果中了最新的“上兴”木马之后，它会冒充iexplorer.exe和calc.exe进程(当然，对于不同的木马配置，这两个进程会有所改变)，并且使用Rootkit隐藏这两个进程，在用户系统自带的“任务管理器”中是无法查出蛛丝马迹的。打开KV2008中的“进程查看器”立即就可以看见这两项进程

　　但是如果直接将其结束进程之后，并不会得到想要的结果，结束进程之后不一会儿它们的进程会再次启动。由此可以知道，“上兴”木马是使用双进程保护技术的，如果其中一个进程被结束了，而另一个进程就会立即检测到并且马上开启这个进程。经过分析确认“上兴”木马是使用系统服务将两个进程保护，导致江民的“进程查看器”无法将其结束。

　　但是和上面的“魔波”同样是系统服务，为什么这次江民的“进程查看器”在结束进程之后没有自动关闭“上兴”的服务呢?分析之后认为，“上兴”木马是使用的进程插入技术，将自身插入到iexplorer.exe和calc