主持人：在KV2006上面有很多重要的功能，例如木马一扫光、未知病毒检测，还有其他的一些像垃圾邮件过滤等等。我们这次访谈的重点是在未知病毒检测这块展开，这块是怎么实现的，就是说它的原理或者机制是怎么实现的？这种检测是否能够保证100％的防御病毒的入侵呢？

　　戴硕：因为传统的反病毒技术相对于病毒发展来说总是被动的、滞后的，总是新的病毒出现以后才有相应的办法去查它、杀它，现在江民公司最近新推出的一系列产品，包括未知病毒检测，主要就是体现了一种主动查毒、杀毒的概念，就是说要扭转以往的被动局势，至于它的实现方法主要还是通过对以往一些病毒行为的总结，汇总提取当中的一些规律，然后这些规律实际上就是一些病毒的行为特征。

　　未知病毒检测模块，主要是针对病毒所做出的一些行为进行一些特征分析、判断，包括病毒体内部的一些特殊特征，以对这两种方法相结合，这样可以达到对于一些新出现的病毒有很好的检出率。

　　当然也不是说100％的新病毒都可以被这个方法检测出来，实际上谁也不敢说这种大话，经过江民公司内部的测试这个检出率大约是98％左右。相对数字听起来比较高，但是因为现在病毒的数量还是蛮大的，所以还是有一些病毒检测不出来，这也是我们以后努力发展的一个目标。

　　主持人：对于这种未知病毒是采取什么样的方式来清除和处理的呢？

　　戴硕：现在未知病毒检测主要就是两部分，一部分就是及时检测出一些病毒的可疑行为，这时KV杀毒软件会提示用户，并且让用户选择是继续放行还是禁止或者说干脆终止这个可疑的进程。

　　另外一部分，就是相对保守的处理方法，未知病毒检测还可以扫描用户当前所有的活动进程，列出一些可疑进程的可疑概率，有多少概率是一个病毒，当然这个概率计算公式是这个模块实现的。

　　另外会提供一个很方便的上报功能，如果用户点击以后选择上报，这些文件就会发到江民公司，我们在接到这些样本之后，要对这些上报文件进行筛选分析，然后再反馈给客户，这个周期很短，一般是1到2天，这是我们每天例行工作的。这样就可以用升级病毒库的方式杀掉一些确定是病毒的。

　　主持人：就是说现在是两种方式结合在一起提供解决方案。

　　戴硕：一种是及时更新，另外一种是上报。

　　主持人：江民KV2006是国内比较早研发出64位杀毒软件，这个软件是不是这样理解的，我如果用是了32位系统的就启动32位版本的，64位系统就会启动64位版本，是这样的吗？

　　曹凌翔：主要是安装的时候自动判断。我们主要是分包的，因为加起来的话可能是很大的。

　　主持人：江民这边还有一个虚拟机技术，是不是最早的叫做带毒运行概念？比如说带毒软件可以在我们这个机器里运行，然后我通过隔离措施使其他的数据不受影响？

　　戴硕：目前虚拟机技术主要是应用于一些有加密壳或加了一些加密技术的，有一些样本经过处理形成了新的样本，但是这个样本在功能上是相同的，我们需要杀毒软件在扫描之前先对加密技术进行简单的操作，虚拟机技术主要是辅助解密的功能，对虚拟形成一些解密代码，这样方便杀毒。

　　实际上并没有达到把一个病毒拿过来虚拟它的所有功能，因为不这样做主要出于两方面考虑，一个就是安全，因为毕竟可能是一个有害代码。

　　另外，虚拟机是通过模拟的CPU和硬件的CPU速度是相差几个数量级的，这样会大大影响杀毒速度。

　　主持人：江民公司最近对网络版用户开通了一个QQ在线服务，这是怎么考虑的？

　　曹凌翔：因为现在服务的途径越来越多，以前我们主要通过一个是电子邮件，一个是电话，主要是电话，后来开通了电子邮件，电子邮件之后就是在线论坛服务，现在越来越多的用户感觉及时性不太够，我们在这个基础上增加了一种服务模式，通过QQ群的形式给大家提供面对面及时的服务，大家现在反响觉得也不错。

　　主持人：这块儿有没有遇到什么问题？

　　曹凌翔：目前的问题就是说QQ群的容量也是有限的，只是一个渠道而已，现在主要还是网络版用户的电话服务。

　　主持人：单机版用户有没有可能提供这种模式？

　　曹凌翔：现在我们有一种模式比较类似，就是我们在论坛上面有反病毒专家每天都在及时的回答用户的问题，这类似于网上聊天的形式，大家有什么问题发上去马上有专门的技术人员给他们回答问题。

　　主持人：通过QQ群这种模式提供客户支持服务，本身QQ病毒就是今年的一个热点，就是说通过聊天工具传播病毒，如果说通过这种模式进行病毒的上报和处理，是不是也会受到QQ病毒的影响？

　　曹凌翔：目前我们没有开通上报病毒功能。QQ病毒对我们没有影响，因为只要安装了我们的杀毒软件，我们都有一个即时通讯的实时监控，一般确认是病毒的话到我们这里就已杀掉了。

(责任编辑：刘鹏)