近日，国内目前比较权威的反病毒软件测试实验室PCSL发布了08年11月份的测试结果(PCSL全称PC Security Lab, 是国际反病毒测试标准化组织AMTSO成员, 主要发起人是Jeffery Wu，目前已经有13家杀毒厂商参加测试, 每月发布一次测试结果)。

　　测试结果如图所示，总共测试了1908个病毒样本，图示部分蓝色为静态测试的侦测数，红棕色为动态测试的侦测数。所谓静态测试，其实就是特征码扫描测试，而动态测试则是指在主动防御过程中发现的病毒。

　　

　　从上图不难发现，江民KV09的静态侦测率已经达到了90%以上（蓝色部分），再加上红色部分通过主动防御识别的部分，总侦测率达到了99.5%, 从而获得了PCSL当月颁出的五星奖章。

　　下载江民KV2009：http://www.skycn.com/soft/15041.html

　　看到这张图后，我对江民KV2009有效而又零误报的主动防御产生了浓厚的兴趣，觉得有必要好好研究一下。决定自己动手测试一下看看PCSL对KV2009的评测是否名至实归。

　　首先，介绍一下我的测试环境：

硬件环境：
CPU: Intel Core 2 Duo E4500
Memory : Kingston DDR2 667 1G + 2G
Motherboard : Asus P5G-MX BIOS v0401
HDD : Seagate Barracuda 7200.9 160G
VGA : Intel GMA950

　　软件环境：

　　Host OS为Windows Vista Ultimate SP1 简体中文版
　　应为要实际测试病毒，因此采用了虚拟机，而要测试主动防御，必须让病毒发作，因此对虚拟机内的系统也采取了保护措施。由于主要是主动防御测试，因此采用了比较早的病毒库(2008/10/14)，没有更新到最新病毒库。

　　虚拟机的两种配置如下：

　　1.使用Microsoft Virtual PC 2007虚拟Windows XP SP2简体中文版， 分配8G硬盘空间，512MB内存。并用影子系统2008单一影子模式保护操作系统。如下图：

　　

　　2.使用VMWare Workstation 6.5虚拟Windows Vista Home Premium简体中文版，分配16G硬盘空间，1G内存。并用Returnil保护操作系统。如下图：

　　

　　那接下来就是选择合适的样本了， 样本方面，我选择了3个PCSL在其英文主站列出的malware list中的病毒，另外，还选取了一个破坏力比较强的，通过优盘传播的木马。

　　其中，这3个PCSL的样本由于在11月份还是新病毒，因此绝大多数杀毒软件还没有入库。因此扫描是不会报毒的，这也为我们测试主动防御提供了便利。

　　当然，这些病毒现在早已入库了，在升级KV2009至最新病毒库后，这些样本都被KV09正确识别并清除了。

　　

　　以上图中的PLAY-MOVIE.exe为例，这是一个会释放木马文件的恶意软件，可以看到，病毒是在2008-10-31最终完成的。