看到瑞星2008发布了所谓“超越传统HIPS”、“监控功能比传统HIPS的更全面”的功能，当时为之震惊，难道国产杀毒软件终于开发出了强大的HIPS功能了？立刻下了测试版安装，打算进行测试。起初考虑，发布文章中说得如此强大的主动防御技术，是不是需要逆向分析才能清楚呢？可惜，事实告诉我们，灰盒就够了。使用Rootkit Unhooker或者Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了。(1) SSDT HOOK: 使用了最原始也是最易恢复的SSDT挂钩方式挂钩了入下函数:ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入.............................

　1.诺顿：这个最熟悉了，诺顿的杀毒软件实际上防止侦测方面做得并不是很好，很多病毒程序在子程序段中经常借鉴搞崩诺顿的代码，希望在新版本中诺顿可以采用更强的自身防护技术。诺顿的引擎应该是完全自成封闭体系的，没有资料证实诺顿曾经购买或者借鉴过别的杀毒引擎。传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计，因此曾经在微软社区在线聊天时，问过这个问题。回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要，它自己的引擎搞得挺好的。有一个叫fenssa的家伙甚至回贴说不考虑病毒库因素，诺顿的杀毒引擎相当先进，综合防护性能很好。 　　在微软，除了用mcafee的就使用诺顿的(这一点我比较相信，很少见到别的杀软在微软被使用)。从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看，诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合，应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么推崇虚拟机技术)。诺顿的杀毒速度慢，应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。我个人非常喜欢诺顿的隔离机制，我认为在没有确定完全正确的处理方式之前，删除是不应该被采用的。一个高手写的病毒应该能尽可能的与系统进程相关，在这种情况下，隔离的优势立刻显现。诺顿资源占用量比较大，但实现了如下设计目标：能识别的病毒和被识别为病毒的进程完全可以正确处理，对已经不可能产生破坏作用的’病毒尸体‘不会产生误判，更不会出现出现一次又一次的在处理完某病毒后又检测其为病毒的状况。....................

　　在如今的互联网上，一款收费的共享软件要大力发展非常困难这是目前的规则。破解版、注册码等各式修改版泛滥成灾。优化大师新的主人也明白这个道理，所以这次发布的新版优化大师，就分成了两个版本，一个免费版，另一个收费的版本。从功能上来说，并没有大的突破，都是一些诸如又支持了某个硬件或参数，对普通用户来说没有太大的帮助。
　　接下来我们来看看新版的优化大师，下面就是它的主界面。