337038170 发表于 2009-6-2 20:29:39

拒绝盲目迷信,深度剖析5款主流杀毒软件

作者:深度技术论坛 来源:cnBeta.COM
因为现在很多人盲目的相信甚至是迷信一些“广告味”很浓的杀毒软件,我才花心思写这么一篇评测。这不是小问题,如果盲目的迷信,没有经过自己严格测试的话,那病毒对你的电脑将会跟“疯狂的石头”里包哥所说的经典台词---“公共厕所嘛?想来就来,想走就走唆”,呵呵,闲话不多说,现在开始!本测试主要是针对此目前网络上最流行的5款杀毒软件(卡巴斯基,瑞星,微点,小红伞,NOD32)进行的全面测试,希望对广大朋友的选择有所帮助!
经常在各个论坛看到例如“XXX,天下第一”、“世界排名第一的XXX”之类的杀毒软件推荐帖子,让我不禁联想到了电视购物里劳斯丹顿侯总的身影,呵呵。更有的甚至挂起了“XXX,军用杀毒软件”的名头,太可笑了,大家用脚趾头想都明白,军队的电脑都是高度机密是不连外网的,有连互联网的机器装的也肯定不是你们所看到的一些吹牛帖子的那些杀毒软件,试想下,如果连军队用的杀毒软件都是公开的话,那外国间谍只要花点心思针对这款杀毒软件的漏洞编写木马,那军队还有机密可言???不信的话,你拿那款号称军用杀毒软件的来做试验,我就可以出一个过这款杀毒软件的木马!就是因为现在很多人盲目的相信甚至是迷信一些“广告味”很浓的杀毒软件,我才花心思写这么一篇评测。这不是小问题,如果盲目的迷信,没有经过自己严格测试的话,那病毒对你的电脑将会跟“疯狂的石头”里包哥所说的经典台词---“公共厕所嘛?想来就来,想走就走唆”,呵呵,闲话不多说,现在开始!
本测试主要是针对此目前网络上最流行的5款杀毒软件(卡巴斯基,瑞星,微点,小红伞,NOD32)进行的全面测试,希望对广大朋友的选择有所帮助!
测试平台:
1)WINDOWS XP2 原版(无补丁)
2)内存:512M
3)CPU:Inter(R) Pentium(R) processor 1.73GHz 797 MHz
评测内容:
在评测前首先建立实验环境,安装Windows XP SP2以及部分常用软件,然后制作Ghost镜像。在测试每款安软前都先恢复至最初状态,以确保测试环境的一致性。所有待测软件都安装在系统盘(C盘),安装后都会进行软件全面升级,以保证病毒库和程序版本处于最新状态。功能性评测内容分为以下几方面:
1)使用环境
2)自我保护
3)杀毒能力
4)资源占用
备注:1)下面的评测数据中“开机时间”是开启电源后到杀毒软件出现的时间段;2)样本测试包共有460个活体样本,各个杀毒软件扫描截图里扫描文件总数会不同,因为杀毒软件扫描的类型不一样。(如果不懂,可以百度)
评测过程:
卡巴7:
卡巴斯基互联网安全套装7.0单机版安装包为30.8MB,安装后21.4M,可以根据自己的喜欢选择安装路径,整个安装过程较短,在安装速度上表现不凡!最后是进行授权检查,试用30天,最后安装完毕重启系统。
安装过程没有内存扫描,如果是在已经中毒的机器上安装可能会遇到障碍,特别是针对杀毒软件的病毒。
首先,我们将卡巴升级到最新:
/qzone/newblog/v5/editor/css/loading.gif
更新完毕后,重启计算机,待各组件重启更新完毕后,重复重启3次,每次重启后,进入桌面5分钟内不动电脑,记录相关系统值:
/qzone/newblog/v5/editor/css/loading.gif
或许很多人不明白为什么卡巴这么大的内存占用?以前卡巴确实很卡机器,但随着用户的反馈,卡巴也表面上解决了此问题,将内存占用转移到了虚拟内存上去,这种换汤不换药的做法有待商榷。卡巴是双进程,系统进入欢迎界面后有一个AVP进程启动,而另外一个却要等网络识别出来了才启动,如果在这间歇病毒发作了怎么办?
自我保护:
在正常系统状态下,卡巴不仅不允许服务关闭,也不允许任务管理器关闭,我们又通过APT软件来测试了自我保护能力,卡巴的双进程均能抵挡APT里10多种关闭功能,非常不错的自我保护。但是有的时候难免卡巴自身出现些问题,例如冲突等等,那又该怎么结束它呢?进入安全模式?又难倒一片人…
卡巴的扫描检测:
一个病毒文件夹,是近几个月笔者收集的部分病毒,我们来看看卡巴在扫描过程中的表现:
CPU和内存占用:
/qzone/newblog/v5/editor/css/loading.gif
从图中我们不难发现卡巴在扫描期间,对CPU的占用还是相当厉害,内存的占用更是上了一个档次(加上虚拟内存):接近140M,多么可怕的数据,如果是256的条子,还敢扫描么?
卡巴的扫描结果:
/qzone/newblog/v5/editor/css/loading.gif
很可惜,对于我的样本集,卡巴的表现没有体现出其强大的库,有人会说,卡巴有主动防御,没有特征一样可以挡住,我们就来看看下面的测试吧。
卡巴配置:
/qzone/newblog/v5/editor/css/loading.gif
运行了一个鸽子,生成物有个大家很熟悉的BEEP.SYS,创建服务,不错,卡巴也检测到了它会创建服务。但是我想说的是,面对这样的提示,有多少人会真正懂到底是该选择“允许”还是“拒绝”,用户使用杀毒软件是让你保护,而不是让用户自己去猜测!
/qzone/newblog/v5/editor/css/loading.gif
笔者让身边的几个室友看这个图,都是一样的回答:晕晕的,我怎么知道选择哪个呢,我要是知道的话,我还用它做什么!很多人都是为了系统安全而装的杀毒软件,希望的杀毒软件可以给他们创造一个安静和谐的环境,试问这样的提示能让你安静么?
点击拒绝后,出现了下面一幕:
/qzone/newblog/v5/editor/css/loading.gif
我的天,难道卡巴没防住?不解……
下面是一款电子阅读器的安装过程,卡巴的主动防御也报警了,让人怎么去选择呢?
/qzone/newblog/v5/editor/css/loading.gif
这个所谓的“主动防御”简单的说就是动作报警器,抛开用户是否真正懂该如何正确选择的最大问题来说,很多应用软件还会在你平常使用期间,经常的访问注册表等等,试问,谁又有那么多的耐性去做选择题和折磨可怜的鼠标呢?
但是总体来说,卡巴的表现还是不错的,强大的病毒库,带有简单的主动防御,对于一般病毒来说,足够了。在此,希望卡巴2009能够给我们更多闪亮的地方。
瑞星2008(带账号保险柜):
瑞星2008下载版安装文件60.28M,安装完毕后,文件夹大小:168M。支持4种语言,走向了伟大的国际化。瑞星是这5款杀毒软件中唯一一个会安装前内存检测的,值得称赞。
首先,我们将瑞星升级到最新版本:
/qzone/newblog/v5/editor/css/loading.gif
重复卡巴测试中的操作:更新完毕后,重启计算机,带各组件重启更新完毕后,重复重启3次,每次重启后,进入桌面5分钟内不动电脑,记录相关系统值:
/qzone/newblog/v5/editor/css/loading.gif
瑞星的进程较多,不是核心进程的很容易被结束。这个和软件的构架有关,就不作过多的描述。
自我保护能力:
瑞星的自我保护能力较之以前有了很大的改进,在内存占用上也有不小的进步。
相关命令和任务管理器均无法关闭瑞星,下面是瑞星能否通过APT的测试:
通过测试,我们可以看出瑞星有2个进程被关闭,但不影响瑞星的监控,初步判断这2个进程不是瑞星的核心进程。
自我保护能力较强。
瑞星的扫描检测:
相同的样本集,进行扫描测试,瑞星的扫描结果:
/qzone/newblog/v5/editor/css/loading.gif
做为“一哥”的瑞星果然在国内有不错的样本渠道,查杀率也不低,和卡巴一样,瑞星也有传说中的主动防御,我们也来测试一下:
/qzone/newblog/v5/editor/css/loading.gif
运行一个比较古老的病毒,运行后,瑞星没有提示,奇怪,查看系统时间,发现时间已经被修改:
/qzone/newblog/v5/editor/css/loading.gif
重启后瑞星要求我输入新的序列号注册再升级了,汗……
随后又运行了一个病毒,瑞星这些有了提示,难得呀:
/qzone/newblog/v5/editor/css/loading.gif
由于急忙中需要截图,没有来得及选择拒绝还是放过,当默认时间自动走完后,发现默认选择是放过,请看下图:
/qzone/newblog/v5/editor/css/loading.gif
而后,瑞星没有任何的报警了,哎,又见瑞星和病毒共存了。
瑞星的主动防御太脆弱,连行为报警器都算不上!
微点:
安装程序34M,安装升级完成后文件夹大小为:90M。安装过程一路next,自动生成序列号,注册的时候输入相关的注册信息。安装过程就可以对程序进行一些基础性设置,注册过程中就要求升级,升级完毕重启,做为一款没有扫描功能的主动防御软件,无法在安装前扫描内存,如果内存中有针对杀毒软件的病毒阻止安装,该怎么办呢?
更新完毕后,重启计算机,待各组件重启更新完毕后,重复重启3次,每次重启后,进入桌面5分钟内不动电脑,记录相关系统值:
/qzone/newblog/v5/editor/css/loading.gif
自我保护能力:
任务管理器,冰刃,一些常用小工具,cmd命令均无法关闭微点进程,APT测试,微点全部通过,无法使用其中方法结束微点。
由于微点不具备主动扫描功能,我们就通过一些变相手法(打开病毒所在文件夹),让它自动扫描吧:
/qzone/newblog/v5/editor/css/loading.gif
通过对比,发现微点的病毒库比其他杀毒软件的库小,但是微点的特殊工作原理却弥补了这个缺陷,下面我们看看微点的主动防御测试:
运行病毒若干,抓了几个图:
/qzone/newblog/v5/editor/css/loading.gif
/qzone/newblog/v5/editor/css/loading.gif
微点的主动防御报警相对来说就很简单,只需要用户决定是否删除,而不需要你去面对一大堆的注册表和数据提示,或许这才是真正的主动防御!
微点误报测试:
用一款系统补丁查看器加壳后,运行,微点无报警,误报测试通过。
德国小红伞C版:
小红伞安装程序21M,安装后文件夹大小为:54M,比较中规中矩。整个安装过程可以一路NEXT,安装完毕后不需要重启即可使用。测试的是小红伞C版,升级很慢,最后是下载的离线升级包,下载速度也相当的慢,难道德国人不想分中国这杯羹?
首先,小红伞没有中文版,整个界面都是英文,这就阻止了很大一部分人的使用想法,但是可以参考部分论坛的使用介绍。
离线升级至最新:
/qzone/newblog/v5/editor/css/loading.gif
还是老规矩,重启后再重复重启3次,记录相关系统值:
/qzone/newblog/v5/editor/css/loading.gif
小红伞的进程比较多,正常模式下有3个,开启主界面后增加一个,如果手动扫描的话,这会再增加一个进程。
自我保护能力:
非常简单的被冰刃给结束了。测试中发现了个非常奇怪的问题:开机进入欢迎界面后立即调用任务管理器结束掉进程:avgnt.exe,则小红伞的任务栏图标消失,服务进程依然启动,从开始列表里启动小红伞,avgnt.exe依然无法启动,随之用冰刃结束剩下的服务进程,然后开始列表里启动小红伞,结果出现小红伞启动后自动消失。非常可惜一个杀毒软件的自我保护能力这么弱,它再强的实力也会大打折扣的!
小红伞扫描:
对上述测试病毒样本集进行测试,小红伞的扫描测试结果为:
/qzone/newblog/v5/editor/css/loading.gif
扫描过程中,小红伞的CPU占用在10%-50%之间,但是扫描过程中看看小红伞的资源占用吧:
/qzone/newblog/v5/editor/css/loading.gif
加上虚拟内存的话,接近200M了,这个数字是本次测试中最高的,你的机器有多大的内存可供使用?
仅仅检测出410个,面对开启中度启发的小红伞,出现这个成绩未免让人心寒。
/qzone/newblog/v5/editor/css/loading.gif
然后运行小红伞没有报警的样本3份,病毒整个运行过程中,没有任何提示,多么可怕的场景呀?
下面看看小红伞的启发:
一个正常的程序小红伞扫描:
/qzone/newblog/v5/editor/css/loading.gif
扫描结果显示正常
小红伞误报测试:
我们通过对此程序仅仅加壳,再次扫描:
/qzone/newblog/v5/editor/css/loading.gif
报警了,加壳就启发出病毒了?(看来,众多的程序员以后在为自己编写的软件加壳时要三思了…)
通过测试发现小红伞除了强大的病毒库和所谓的启发外,其他值得笔者吸引的地方没有,可能经过一段时间的使用才可以证明小红伞在启发误报率上的精确百分比?本身在国内没有本土语言的它,却频频启发报警,给人不严谨的作风,这不是世界眼中的德国人品质!
NOD32:
此版本为EAV,安装程序和安装后文件夹大小变化不大,这点控制很好,不错。安装过程有简单的设置向导,界面整洁简约,安装速度也较快!
首先,将EVA升级至最新版本:
/qzone/newblog/v5/editor/css/loading.gif
重复前面测试中的操作:更新完毕后,重启计算机,带各组件重启更新完毕后,重复重启3次,每次重启后,进入桌面5分钟内不动电脑,记录相关系统值:
/qzone/newblog/v5/editor/css/loading.gif
EAV的启动速度不错,内存占用也不错。
自我保护:
此款安全软件也是通过服务形式,如果你手动去结束其服务进程:ekrn.exe,则会在短时间内立即恢复,可以通过任务管理器的PID查看变化,但是其监控程序却可以轻松被扼杀。
APT试验测试,2个进程都很容易的被干掉。
/qzone/newblog/v5/editor/css/loading.gif
安全软件本来就是保护我们信息安全的,其自身难保又用什么来保护我们呢?这点希望NOD32加强呀。
NOD32扫描测试:
同样的样本集,用EAV最新病毒库进行扫描:
/qzone/newblog/v5/editor/css/loading.gif
查杀377,看似不错,但是这里面有启发报警的,NOD32的启发确实不错,但启发后才报377,未免有点失职吧。而且其在扫描过程中,CPU的占用居然很高:
/qzone/newblog/v5/editor/css/loading.gif
EAV的默认设置在打开文件夹的时候进行扫描,我们每天用电脑工作,每打开文件夹一次,就要扫描一次,扫描占CPU不说,还要疯狂的对磁盘读,硬盘的寿命我们不得不想想了。
对于EAV启发都没有报警的文件,运行后EAV毫无防守之力,造成杀毒软件和病毒共存:
/qzone/newblog/v5/editor/css/loading.gif
EAV对于国内的木马病毒在收集能力上还需扩大,毕竟想在中国这块全球最大的市场里分一杯羹,需要的是诚意。
通过本次评测数据的横向对比,我们发现,各产品的属性表现比较突出,各个评测项目中也有异军突起。
卡巴,强大的病毒库,不俗的杀毒能力,但是被过分的神话了,通过本次的测试发现,它的查杀率也就90%,不像传闻中的那么神奇。我曾经和一个资深网管聊过天,他给出一个我觉得比较中肯的评语“卡巴不错,但是它之所以被中国用户所接受不外乎三点:一、卡巴进军国内的时候恰逢当时病毒泛滥但国产杀毒软件又普遍趴下的时机;二、杀毒能力不错;三、独特但很成功的宣传策略”。内存占用也是其弱点,装上卡巴后机器明显变慢,相信绝大部分使用过卡巴的人都有这个感觉,最新版本的改良也只是把物理内存的占用嫁接到虚拟内存里,换汤不换药,希望卡巴能在降低内存占用上有所突破。
瑞星,软件易用性、界面美工可圈可点,值得其他杀毒软件品牌学习。从杀毒能力层面来看,不容乐观。从各大论坛求助、样本测试来看,发现瑞星对于病毒的处理能力还是依旧很欠缺。易用性和美观固然重要,但是用户最需要的是真正能保证用户系统安全的杀毒软件,不是漂亮的玩具!
微点,这支国产新军给人很多亮点,启动速度快,占用内存小,主动防御强悍。就纯粹的主动防御而言,微点可以说是先行者,代表了一种发展方向,微点和其他杀毒软件的所谓主动防御相比,低误报,高查杀率成为它在杀毒软件界的杀手锏,但是没有扫描不得不说是一大遗憾,要知道大部分电脑用户对没有扫描的软件多少有些心里没底,建议配置一款绿色扫描版杀毒软件。
小红伞,是近期冒出来的一款“表现强悍型”杀毒软件。但是你们知道它是怎么做到如此“强悍”的吗?主要两个原因:一、带壳提特征。要知道,大部分应用软件,都会对自己的软件加壳以达到加密软件代码数据和加速软件运行速度的目的,不得不说这个方法直接扼杀了这部分的软件。二、小红伞没有虚拟机只有广谱,而且广谱用的比较泛滥,所以查杀率高,误杀率也奇高。靠这2个偏门以求达到强大的发现病毒能力来看,多少有点欺负大部分电脑用户不懂反病毒技术的感觉。如果,我只是说如果,如果其他杀毒软件也采用这种根本不顾及严重误杀后果的做法,也这么做的话,我想,也许所有杀毒软件都能拥有大家所称赞你的“高查杀率”了吧。小红伞的这个内幕很跌大家的眼镜吧?神话不是那么好创造的,随着国内用户电脑知识的迅速提升和普及,如果靠走偏门的办法,有句俗话这么说来着,再美丽的谎言也有被戳穿的一天!
NOD32,各方面都较为均衡,杀毒能力不算弱也不算强,占用内存较低,做为内存配置小的用户,不失为一款不错的选择,但不建议单独使用。希望加大对中国本土病毒的收集能力。
总结
随着计算机技术的不断进步,病毒技术也在不断的更新换代。加壳,加花,改程序特征这些黑客技术将会在不远的将来逐渐被黑客所遗弃,替代这些技术的将会是像一只成精的狼一样更加的狡猾、隐蔽和高技术性; 做为“系统保卫者”的杀毒软件,希望你们能未雨绸缪,在反病毒技术上再接再厉,为全世界数十亿电脑用户的系统加上一把名副其实的“安全金刚锁”,谨以此文予杀毒软件厂商共勉!
页: [1]
查看完整版本: 拒绝盲目迷信,深度剖析5款主流杀毒软件