纠正大家关于eset及各杀软资源占用的看法

泪水涟漪xl

操作系统环境、软件环境和配置不同会有不同的结果。请大家自己测试过后再加以判断。

小渔

这么说吧...说数据没什么意义的,卡不卡是要看你用了才知道.....比如卡巴,占用资源是少了...可却还是很卡....比如NOD32,`````````我机子上的ESS内存占用一般在60+M...峰值在120+M...可我却一点也感觉不到卡....以前用卡巴,内存占用只有20+M也会卡

1001567

很客观{:soso_e182:}

readheart

我只是纠正一些说法，没别的意思，我也没说ESET卡啊，但是都4.2了，还老是说内存占用小就是误导了，我也说了，奶豆流畅易用，我自己也是这个。    最流畅的肯定是小A了，不管是资源占用还是流畅度

charlesw

学习一下

留侯

楼主没有说到重点上。

对于资源占用，通常指的是安装反病毒软件之后，系统整体资源上的增加，包括CPU消耗、物理内存和虚拟内存的占用，以及反病毒软件调用系统进程（如system、svchost.exe进程）的占用。不过一般用户比较的，通常是物理内存和虚拟内存，以及自身的感觉是否卡机。

目前反病毒软件，对于未知病毒的侦测上，最常见的方式，是启发式分析技术、虚拟机技术和沙盒技术；云安全技术和HIPS（主机入侵防御系统），以及其他反病毒软件厂商自身独有的技术，比如说微点的主动防御技术和大蜘蛛的Origins.Tracing技术，也就是一种非特征风险程序运算法则等等。

启发式分析技术，往往离不开虚拟机技术和沙盒技术。

虚拟机技术是利用虚拟机对计算机病毒运行进行监控的技术，这里的虚拟机指的是完全虚拟(Pure Emulator)。虚拟机技术是通过模拟CPU指令系统、内存管理系统、操作系统、API调用系统等完成的，这是一个纯粹的虚拟环境，病毒在其中运行，和当前的系统完全隔离。在这种虚拟环境下可以实现病毒的脱壳、行为判断等多种功能。

动态启发利于了上述的虚拟机功能，在虚拟机环境下运行病毒，监控病毒的行为实现。例如病毒调用了哪些有危害的API，修改了哪些注册表键值，创建了哪些文件等。动态启发的深度取决于虚拟机虚拟的深度。

沙盒技术事实上也是一个模拟环境，病毒可以在这个环境中任意运行而不破坏系统资源。它和虚拟机的不同在于：沙盒的运行是借助于当前系统资源的，例如API的执行，异常的调度等，一般是把API用hook的方法拦截掉。而虚拟机用的资源(例如API)是需要完全自己虚拟出来的，并不是调用系统已有的资源。可以这样理解，前几年流行的“主动防御”技术也是通过hook API的方法实现的，是在Windows层进行动态行为判断的一种技术，是沙盒技术的一个子集，只有拦截而没有回溯功能。而沙盒技术可以使虚拟环境回到程序原始点。

沙盒可以算是虚拟机的一种发展，其技术原理似乎也和虚拟机大致相同，但它们仍有很大区别。沙盒是一种更深层的系统内核级技术，在一个程序运行时，沙盒会接管程序调用接口或函数的行为，并会在确认病毒行为后实行“回滚”机制，让系统复原。而虚拟机并不具备回滚复原机制，在激发病毒后，虚拟机会根据病毒的行为特征判断出是某一类病毒，并调用引擎对该病毒进行清除，两者之间有着本质的区别。

真是因为虚拟机技术恶化沙盒技术存在着差异，以及沙盒技术含有的“回滚”机制，使得其在资源占用上，有着明显的变化，比如说卡巴斯基就是一个典型的例子；而采用虚拟机技术的NOD32、小红伞和大蜘蛛等等，在物理内存和虚拟内存的占用上，变化并不是很明显。

另外，反病毒软件在资源占用的配比上，比如说在CPU、物理内存、虚拟内存等配比上也有一定的关系；与此同时，引擎和软件的构架以及和系统的兼容性上的差异也会导致一些资源占用的变化，不过这些影响并不是很大。MSE是一个特例，我想也正是因为这个特点，所以才会产生卡执行文件的现象。

各个反病毒软件在系统启动之后，一般都会对系统的关键文件、引导区和内存等等进行扫描，所以占用的资源相对会比较多，一般十几秒之后就会稳定下来。另外，硬件配置不同和系统不同都会影响着内存占用数量的变化，再加上目前内存并不是很贵，所以过多纠结于内存的确是没有必要的。

卡巴斯基卡机的一个原因，是因为其默认内置的反Rootkit技术。由于Rootkit往往隐藏在系统内部深处，所以往往需要经过相当复杂繁琐和仔细的检查和侦测，才能找出隐藏在系统内的Rootkit，而为之付出的代价就是资源的占用，这也是一些用户在给出建议的时候，取消卡巴斯基的反Rootkit扫描的一个原因。同样，也正是这个原因，导致大蜘蛛全盘扫描，占用了相当大的事件。

leo_yuhao

进来了解一下了

carnon

我个人老机子上用的是金山毒霸2011，感觉比较轻巧

xhjr001

学习了啊

若尘snow

谢分享经验，其实只要用着舒坦就行了，不是么？呵呵