每年这个时候,都是各大安全软件厂商新版推出的日子,今年也不例外。截止到目前为止,包括卡巴斯基、Norton、瑞星、ESET等在内的很多一线厂商都已推出了自己的年度新版。毫不夸张地说,我们已经正式跨入到杀毒软件的2010年代。虽说目前还有部分产品尚处于测试期中,但距离成品已经不远。那么在这场即将打开的新一轮杀软暗战中,谁会成为业界枭雄,下面我们将为您马上揭晓答案。
一、 参评软件简述
1. 卡巴斯基2010
| 软件名称: | 卡巴斯基反病毒软件 |
| 软件版本: | 2010 V9.0.0.463 |
| 软件大小: | 62.60MB |
| 适用平台: | Win 2000/XP/Vista/Win7 |
| 下载地址: |  |
在卡巴斯基2010中有很多细节值得关注,这其中就包括首次加入的“沙箱”及病毒库回滚机制。简单来说“沙箱”可以将真实系统与外网“隔离”,从而在源头上杜绝木马混入的可能。而病毒库回滚则被设计为将病毒库恢复至上一版本,用以临时解决升级误杀等现象。此外还有新加入的IM防护、游戏模式、U盘监控及广告拦截等,都是一些很不错的改进。
2. Norton 2010
| 软件名称: | 诺顿网络安全特警 |
| 软件版本: | 2010测试版 |
| 软件大小: | 6.67 MB |
| 适用平台: | Win 2000/XP/Vista/Win7 |
| 下载地址: | |
Norton的变化同样体现在细节方面,新版本进一步增强了Norton Insight(进程评定)、SONAR(主动防御)、下载探查的功能范畴。同时第一次加入了“静音模式”,能够在执行CD刻录、Media Center录像、全屏程序时自动屏蔽弹出窗口,以防对程序运行造成干扰。此外2010版还在笔记本优化及节能模式上做出改善,可以在系统资源超负荷的情况下,自动延迟NIS的任务执行。
3. 瑞星2010
| 软件名称: | 瑞星杀毒软件 |
| 软件版本: | 2010测试版 |
| 软件大小: | 56.2 MB |
| 适用平台: | Win 2000/XP/Vist/Win7 |
| 下载地址: | |
相比而言,瑞星2010并没有太多功能改进,更多的还是在先前功能基础上进行的完善。其中包括可自定义的启发级别、更醒目的主防提示、更直观的用户界面等都是新版本的亮点之处。而且与瑞星2009相比,新版本在内存占用上更加小巧,这一点在后面的测试中我们也会提到。
4.NOD324.0
| 软件名称: | ESET NOD32 |
| 软件版本: | 4.0.441 |
| 软件大小: | 33.3 MB |
| 适用平台: | Win 2000/XP/Vista |
| 下载地址: | |
在NOD32 4.0的更新列表中,我们能够找到很多值得一提的亮点。比如单独的U盘高启扫描、超大文件(2GB以上)优化、笔记本平台优化、卸载密码保护、压缩文件高级扫描、系统更新提醒等等。此外针对上一版中广受诟病的防火墙组件也进行了相应升级,新增加的“学习模式”弥补了老版的最大缺憾。此外对于SSL及IMAP的支持,也是NOD32 4.0的最大亮点。
二、 系统防护对比
1. 挂马防护对比
相比传统的病毒感染,网页挂马无疑更为有效。在这个过程中,黑客们利用各种漏洞,将制作好的网马上传到服务器后台,然后利用指令让网马随页面启动。这时只要用户浏览网页,木马便会通过客户机漏洞进入电脑。而且越是热门网站,被挂马的机率也会越高。
附:挂马网站测试列表(非专业人士请勿点击)
* hxxp://www.xinghemotor.cn/
* hxxp://xajyhq.cn/html/
* hxxp://www.8080.net/vote/vote.asp?id=86
* hxxp://www.thip.gov.cn/ghc/readnews.asp?newsid=550
* hxxp://www.ch.zju.edu.cn/www/displaynews.asp?id=1984
* hxxp://nursing.sdu.edu.cn/list.php?nid=50
* hxxp://www.ceaie.edu.cn
* hxxp://www.steellex.com/product.asp
可以看到在防挂马测试中,卡巴斯基的表现还是相当不错的。相比其他软件只能完成两三组拦截,卡巴斯基2010竟能一下子识别出6组挂马网站。而且从测试中可以看出卡巴斯基的反应非常迅速,几乎就是在用户打开网页的一霎那,拦截窗口便已弹出,绝不会给木马留下可乘之机。
2. 移动媒体监控
随着U盘的普及,借助USB端口进入电脑,已经成为木马病毒的新选择。虽然每款软件都在宣称能够对USB端口严防死守,但我们还是决定借助测试进行一番考察。考虑到实际工作情况,我们将测试分为三组,分别是“直接打开U盘窗口(我的电脑)”、“向本地电脑执行木马复制”、“直接运行U盘木马”。
测试中四款杀软的反应都很迅速,几乎都是在检测到威胁的一霎那启动了拦截。而且无论是木马复制还是直接运行,软件都能给予最及时的处理,绝不会出现漏掉等情况。除此之外,卡巴斯基2010与Norton 2010的实时监控较为灵敏,只要打开U盘窗口就能自动进行处理,而这一点还是相当值得称赞的。
3. 病毒样本包查杀
本节测试中,我们已经事先从国内几大知名安全论坛,收集到了一组最新病毒样本包文件。虽然与专业的评测机构还有很大差距,但至少可以在一定程度上反映出各参测软件,在应对时下最流行木马时的应变处理能力。不过考虑到不同杀软在病毒计算方式上各有不同(如一份文件包含多个病毒),我们并没有直接使用各软件的报告结论,而是以剩余残留物的多少作为最终获胜的判定条件。此外对于那些确认已失去效力的病毒(如被杀软自动备份的),我们也将它归类到已处理项中统计。
在这一环节测试中,NOD32和卡巴斯基表现出色,均保持了97%以上的有效检出率。而且从使用感受来讲,NOD32的系统负载很小,即使满负荷工作也不会让电脑明显变慢。相比之下Norton 2010表现一般,除了病毒检出率有待提高外,其整体杀毒用时也是四款软件中最长的一个。虽然不同杀软所采用的病毒处理策略不尽相同(如Norton 2010更侧重于清除病毒而不是将染毒文件整体删除),但如此长的等待还是让人难以接受,这一点还需要日后再行完善。
三、 系统性能影响
1. 开机速度拖累
由于杀毒软件的原理所限,或多或少都会对系统性能造成一定影响,其中最有代表性的就是由它造成的开机速度延迟。为避免其他软件对评测数据造成影响,所有测试机系统都是全新安装,而且并未加载除必要评测工具以外的其他软件。同时我们还在测试中使用了一项名为BootRacer的计时软件,以便将统计误差降至最低。
从结果来看,安装杀毒软件的确会对系统性能(开机速度)造成影响,而且不同杀软对于速度的拖累也是不尽相同。总体来看NOD32 4.0所产生的系统拖累最小,约为6秒钟。而卡巴斯基2010则用时较长,达到了60秒左右。
2. 文件下载拖累
此外出于对下载文件的保护,文件下载往往也会因为安装了杀毒软件而变得更慢。为了搞清楚这里的延时究竟多大,我们随后从IT下载站选取了三组测试样本,以IE下载的方式计量了它们的下载用时。
由于防护机制各有不同,四款杀软在这一环节中的表现也不一样。其中Norton 2010和瑞星2010的延迟最小,基本上与空白系统相差无几。而卡巴斯基依旧成为用时最长的一个,究其原因除了与卡巴斯基的特殊防护机制有关(下载完毕前对启动文件自动扫描),另一原因就是此次评测样本均选用了.exe格式,而事实上正是由于这种格式常会引发杀软启动深度扫描,从而导致延迟如此明显。而从之前的测试来看,压缩包则是对下载延迟影响最小的一种格式。
四、 自我保护对比
“攻击杀毒软件”常常是很多木马的惯用伎俩,毕竟干掉了这个系统保护神,它就能够在电脑中为所欲为了。一般来说,木马攻击常用的手段就是“修改杀软文件”与“直接中止进程”。只要经受住这两个环节的考验,我们的杀软就能大体无虞。下面我们将分别从“在杀软目录添删文件”、“任务管理器中止进程”和“IceSword中止进程”三方面,对四款参测软件的自我保护能力进行评测。
可以看到,四款杀软均提供了较为完备的自我防护机制,能够有效抵御未知程序对于系统文件及关键进程的侵害。值得一提的是,卡巴斯基2010、瑞星2010、NOD32 4.0均提供了多进程设计。其中负责系统安全的核心进程安全级很高,即使在专业进程软件IceSword面前都没有失效,能够有效抵御各种来自外界的威胁。而这恰恰是Norton 2010的最大短板。
五、 资源占用对比
1. 扫描速度对比
如今的硬盘动辄数百GB,如果杀毒软件的效率低下,很可能执行一次全盘扫描就会花费半天多的时间。那么四款新版杀软能否在扫描速度上表现出众呢?下面我们将分别用秒表计量四款软件的正常扫描速度,其目标是一部容量10 GB的单一分区(共包含文件19,469个,文件夹1,727个)。
注:为避免受到其他因素影响,评测前我们已手工关闭了四款软件的实时监控及文件指纹模块。
四款软件中NOD32 4.0的表现最好,7分38秒的时间较第二名卡巴斯基整整短了近2分钟。而瑞星2010则在这一环节表现失望,整体用时竟然达到了第一名的1.5倍。不过值得一提的是,这一指标还与杀软策略息息相关(比如压缩包处理方式、扫描强度等),因此在进行这项对比时,一定要参照杀毒软件的病毒查杀能力,这样才能获得更准确的评测结论。
2. CPU占用率对比
为了能让大家更直观地了解四款杀软的实际工作情况,我们分别用性能监测器截取了四款软件在正常扫描前1分40秒的CPU变化曲线。同时以CPU平均值为依据,对它们的CPU占用率进行了对比。
图14 Norton 2010 CPU曲线
原本以为运行飞快的NOD32会是资源最省的一个,没想到结果恰恰相反,60.8%的CPU占用率使得它最终超过卡巴斯基,成为四款软件中CPU占用率最高的一位。不过从曲线图上来看,和第二名的卡巴斯基相比,NOD32的曲线更加平滑,很少会出现急促的上升、下跌走势。而且由于它的策略往往是将染毒文件整体删除,因此相比同类工具它的硬盘占用率反而更低。也许正是基于以上两点,才最终让我们感觉NOD32的运行反而更快。
写在最后
总体来看四款杀软各有千秋,其中NOD32 4.0的亮点在于其轻快的使用体验(其实它的负载并不算低)以及出色的查杀效率。而卡巴斯基依旧保持了其强悍的病毒查杀及挂马拦截能力,不过对系统拖累较重却是一个不容忽视的内容。至于国产软件中大名鼎鼎的瑞星,也并没有大家想象中的那样差,虽然在病毒查杀率及挂马拦截方面成绩平平,但却是对系统拖累最小的一款软件。而Norton 2010虽然在功能上不断加强,但低速的病毒处理机制实在让人尴尬,究竟在现实生活中是需要超快的速度还是费时费力地剥离那些染毒文件?也许这真的是一个值得我们深思的问题。
