“不看广告看疗效”是我们平时常说的一句话,其实用在杀毒软件身上同样如此。在这个商业化发达的今天,每个厂家似乎都习惯于将自己的产品吹得天花乱坠,看着那一长串深涩难懂的名词,想想就让人头大。其实对于咱们这些普通使用者来说,炫酷的名词可不是我们所关心的,考察杀软的最好方法还是将它直接拉到一个真实环境中测试一下。于是笔者做了一番精心准备,特意找到了一些时下“最流行”的热门木马,真刀真枪来了一次亲身体验!
注:本文操作具有较大风险,所有测试均在虚拟机下完成,普通用户不建议模仿!!
一、 为什么加入免费杀软
众所周知,免费杀毒软件在08年被提起,到09年360正式推出自己的杀毒软件,行业纷争就没有停止过,但现在分析看360杀毒软件依托360安全卫士的巨大用户群体得以快速成长,目前在杀毒软件行业,免费的360杀毒已经成为一股不可小视的力量,用户群体也到了可以和传统杀毒软件抗衡的地步,之前几年一直争锋不断的杀毒软件厂商,开始有意无意的一致对外,毕竟免费才是他们共同的敌人。
二、 沙场先点兵
1号选手
* 代号:360杀毒
* 军团:奇虎
* 兵种:免费杀软
* 简评:作为本次评测中唯一一款免费杀毒软件,360杀毒其实并非如我们想像中那样出身草根。作为杀软的核心部件,它的病毒查杀引擎竟然是大名鼎鼎的Bitdefender。而且从功能来看,360杀毒在设计上也完全贴近于普通杀软,实时监控、启发式查毒、云安全等一应俱全,同时它还能对聊天软件及局域网文件进行扫描,防护范围相当广泛。
2号选手
* 代号:瑞星2010
* 军团:瑞星
* 兵种:收费杀软
* 简评:瑞星2010一直在国内享有不错的人气,新版本除了在已有多层防御体系上进一步优化外,还加入了最新版“云安全3.0”。在这个版本中,“云安全”已经渗入到软件的角角落落,无论是木马行为防御、日常病毒扫描,无一不贯穿着它的影子。在整个体系中无论哪个模块发现问题,都能在云安全的指挥下自动上传。这样无论任何一位用户截获到新木马,都能在很短时间内被全体瑞星用户共享,而这个时间最快是6分钟!
3号选手
* 代号:金山毒霸2009
* 军团:金山毒霸
* 兵种:收费杀软
* 简评:作为国产杀软中另一员猛将,金山毒霸的发展同样值得称道。在它的功能列表中,像启发式搜索、代码分析、虚拟机查毒等一系列经业界证明,成熟可靠的反病毒技术都能找到。同时“云安全”的加入,也让新病毒检测率大幅提高,紧急病毒响应时间缩至1小时内。更为抢眼的是,它还先后8次荣获业界最苛刻的VB100认证(业界有关杀软防病毒能力的权威认证),这在国内杀软中也是相当少见的。
4号选手
* 代号:卡巴斯基2010
* 军团:卡巴斯基
* 兵种:收费杀软
* 简评:和老版本相比,卡巴斯基2010最大的改变就是增加了“沙箱”模块,能够在一个完全隔离的环境中运行程序。除了可以用于未知程序检测外,我们还能将QQ、IE这些常用工具置入其中,这样即便这些工具在与互联网接触时感染木马,也不至于感染主系统,大大提高了操作系统的整体安全性。此外“漏洞扫描”、“家长控制”、“U盘监控”、“广告拦截”等也在新版中有所进步,大大强化了卡巴斯基的整体防护性能。
三、 挂马拦截对比
随着宽带网的发展,挂马拦截已经逐渐成为杀毒软件的最主要工作,相比传统的入侵渠道,网页感染显然具有更好的伪装性。一般来说在整个入侵过程中,黑客会首先将制作好的木马植入网页,然后等用户访问该网站时,木马便会顺着客户机漏洞进入系统。在这项测试中,杀毒软件的实时监控及主动防御体系将得到考验,同时对日常浏览的拖累也将计入相关评测。
本节测试中,我们事先从国内一些专业安全论坛收集到了一组最新挂马网址,并事先验证了其可靠性。不过由于执法部门的查处,这些网站的有效期都不是很长,因此所有结果将以文章撰写时的评测为准,这一点希望大家了解!
附:挂马网站测试列表(以下网站都已确认存在挂马,点击请慎重!!)
* hxxp://www.chuangye666.cn/
* hxxp://www.jlsysp.org.cn/
* hxxp://www.xflkbaby.com.cn/
* hxxp://ad.ly.shangdu.com/
* hxxp://jkgls.51kang.com/
【小评】测试中360杀毒的表现稍差,对这些挂马网站没有预警,显然与它在实时监控方面力度不足有着关,这可能跟产品积累有一定关系,毕竟360杀毒才正式发布不到半年。三款收费版杀软则表现较好,尤其是瑞星2010和卡巴斯基2010,均能在发现木马后第一时间予以拦截,避免遭遇进一步侵害。相比而言金山毒霸的表现较差,拦截准确度上明显较其他两位同行逊色。
还有一点值得称赞的是,四款杀软均没有对正常浏览速度造成影响,实际感觉还是很流畅的,基本上与裸机运行一致。
四、 三大毒王实测
如今杀毒软件往往采用多层防御体系,处于最外层的便是基于特征码的实时监控模块(可能带启发),不过出于效率上的考虑,第一层防御往往不能分辨出所有威胁。于是便有了更深层次的扫描模块(第二层次)。在这一模块中很多新技术都被应用其中,包括虚拟机查毒、启发式查毒等等,云安全的加入大大增强了其对新木马的识别,大多数木马都能在这一层面折戟沉沙。当然为了避免个别强悍的家伙冲破第二防线,主动防御便承担起了第三道防线的任务。如果样本做出一些有威胁动作时,主动防御便会迅速将它处理(一般是隔离),这样便能在最大限度上消灭所有威胁。
正是基于上述思路,我们将测试也分为如下几块,首先通过压缩包解压考察杀软的实时监控,接下来再用手工扫描测试其第二道防线。一旦有样本无法被前两步清除时,再通过直接运行激活主动防御。
1. “脚本下载器”变种实测
* 英文名称:JS.TrojanDownload.*
* 危险级别:★★★★
* 基本特征:一般嵌入于网页Flash视频的某个片断中,当用户播放到这一片断后,病毒便自动运行,进而自动下载更多的木马。
【小评】 也许是样本被加壳所致,四款软件对于“脚本下载器”的监测都不理想。其中360杀毒、瑞星2010、卡巴斯基2010均没有在实时监控阶段查出,金山毒霸2009虽然可以检测,但也仅仅清除掉了一个样本。随后笔者进行了手工扫描,发现仅有360杀毒、卡巴斯基2010能够对样本进行识别并予以清除,另两款软件则干脆没有检出!
2. “木马下载器”变种实测
* 英文名称:Win32.TrojDownloader.*
* 危险级别:★★★★
* 基本特征:虽然历史悠久,但木马下载器一直变种不断,激活后能够在后台自动下载大量木马。不过最大的威胁并不是它本身,而是它所下载的后门、木马程序。在这些木马中常常包含一些盗号木马,正是它们导致了用户的QQ、网游、银卡账号等信息被黑客窃取。
【小评】 相比而言“木马下载器”的检测则要轻松很多,四款软件均在实时监测阶段发现了问题,其中瑞星2010、金山毒霸2009、卡巴斯基2010在这一阶段便已将威胁排除,效果十分理想。360杀毒虽然也监测到了木马痕迹,但却无法对其自动处理,只有当笔者使用手工扫描时才成功清除。
3. “文件夹模仿者”实测
* 英文名称:Win32.Troj.FakeFolderT.*
* 危险级别:★★★
* 基本特征:这是目前感染量最高的一款U盘病毒,主要通过隐藏原系统文件夹图标,并生成与原文件夹相同的病毒文件诱骗用户点击,一旦被激活便会弹出大量广告。不过它的最大危害还在于如果将病毒直接删除,将会导致被隐藏的系统文件无法找回。
【小评】“文件夹模仿者”的表现与“木马下载器”基本一致,四款软件均在实时监测阶段便发现了木马踪迹。其中三款收费杀软又一次在实时监控阶段完成清理,而360杀毒依旧需要进入到手工扫描后才能搞定。之所以出现这种情况,实际上与360杀毒的默认处理策略有关,感兴趣的朋友不妨自己到选项中找一找。
五、 扫描速度比拼
经过上面一番考验,相信大家对参测杀软的真实实力已经有了一个基本了解。不过在这个大容量硬盘满天飞的时代,扫描速度也是一个非常重要的指标,能在保证查杀效果的同时越快扫描才是最出色的杀毒软件。在本节中,我们特意选取了一个文件结构较复杂的系统分区(有效容量10GB、其中包含文件夹1,327个、文件18,389个),以自定义查杀的方式进行扫描。为了更贴近真实使用环境,所有参测杀软均在设置上保持了出厂状态,以秒表计量扫描用时。
写在最后
怎么样?结果还是很出乎意料的吧。可以看到在与同类工具对比时,免费版360杀毒非未逊色,反而凭借“云安全”在木马检测及查杀上达到了一个很高的层次。当然挂马拦截和实时监测还是它的一大硬伤,使得它很难胜任日常的防护工作。至于三款收费杀软则各有千秋,总体来看卡巴斯基2010综合能力更强,在挂马拦截、木马处理上明显更具优势。而另两款国内杀软则略显逊色,尤其是金山毒霸2009,显然在挂马拦截上还有很大的提升空间。当然还有一个问题不容忽视,那就是杀软的日常扫描速度,这一点上卡巴斯基尤为出色!
