您现在的位置是:首页 > IT基础架构 > 网络与安全 >
最新2009版杀毒软件横向评测
2008-12-09 00:16:00作者:SEA来源:
摘要难忘的2008年走到岁末,在这不平凡的一年中,有悲伤、有快乐,更有许许多多难忘的画面印在所有中国人记忆当中。戊子银鼠辞岁去,己丑金牛迎春来。所有关注计算机安全的网民,又迎来了一个丰收的季节,国内市场上几家主流反病毒软件商,相继推出了2009版最新杀毒软件。...
【编者按:网友评测,不代表赛迪网及本站观点。】
难忘的2008年走到岁末,在这不平凡的一年中,有悲伤、有快乐,更有许许多多难忘的画面印在所有中国人记忆当中。戊子银鼠辞岁去,己丑金牛迎春来。所有关注计算机安全的网民,又迎来了一个丰收的季节,国内市场上几家主流反病毒软件商,相继推出了2009版最新杀毒软件。这些新产品给我们带来了哪些防身利器,安全技术又有哪些新趋势,到底哪款软件更加牛气冲天,下面让笔者带你们一一找寻答案。
一、测试平台及评测方案
1、硬件测试平台:
CPU:Intel Core 2 Duo E7200 (2.53 GHz)
内存:KingMax DDR 667MHz 1GB X 2
硬盘:希捷SATA 500GB
有线网络:1Mbps ADSL
操作系统:Windows XP SP2
2、参测软件:
本次参测的反病毒软件都为单机版,为国内市场上的主流产品,它们分别是《瑞星全功能安全软件2009》(以下简称 瑞星2009)、《金山毒霸2009》、《江民杀毒软件KV2009》(以下简称江民KV2009)、《Kaspersky Anti-Virus 2009》(以下简称卡巴斯基2009)和《Norton Anti Virus 2009》(以下简称诺顿2009)。
3、病毒样本:
为了评测的公正性和权威性,笔者一共选取了网上搜集到的300个病毒样本,它们都是近段时期在网络上比较流行的木马程序、蠕虫病毒、后门程序、流氓软件以及广告程序等。
4、评测方案:
笔者的这次评测,除了进行常规扫描病毒查杀能力、查杀速度测试以外,还对软件的资源占用情况、系统漏洞修复能力以及云安全应用情况等多方面进行对比,力求做到综合展示和评价软件的性能。
二、资源占用情况评测
现在市场上的内存和硬盘已经卖到了萝卜白菜价,1G内存,至少320GB的硬盘,成为装机的最低配置。那么是不是意味着我们可以忽略软件系统资源的占用情况呢?非也,笔者觉得,虽然双内核甚至多内核的CPU,大大提高了计算机处理数据的能力,但是我们也不应该忽略资源的浪费,在如今大力提倡节约能源的今天,资源占用较低的软件,除了意味着速度更快以外,还意味着计算机能耗的降低,故此,笔者第一项选择资源占用评测,看看到底谁是体型庞大行动笨拙的“水牛”: 笔者的测试方法如下:安装好杀毒软件后,使用默认安全配置,统一升级更新到最新版本和病毒库后,查看软件所占用的硬盘空间大小。接着重新启动电脑在不运行任何程序的情况下,静置五分钟后,打开任务管理器查看软件实时监控各文件进程所占用的内存总数。 1、瑞星2009 新版本的瑞星安装文件包为53MB,安装后文件夹目录一共占用165MB空间,重启后任务管理器中可以查看到六七个监控进程,占用内存总数大约在47MB左右。是本次评测所有杀毒软件中,占用内存最多的一个。当运行扫毒任务时,这一数值达到110MB,CPU占用率达到86%,此时进行多任务操作影响稍大。 2、金山毒霸2009 软件下载安装包42MB,安装后文件夹一共占用157MB硬盘空间,重启后任务管理器中可以查看到六个监控进程文件,但占用内存总数大约只有41MB左右,与毒霸的上一个版本相比,在监控项目增加的情况下,资源占用却没有随之增长,控制工作做得不错。在进行病毒扫描时,高峰内存控制在100MB以下,表现依然不错。 3、江民KV2009 江民软件安装文件49MB,软件安装后占用大约100MB硬盘空间,实时监控进程文件个数较少,只有三个,总共占用32MB内存空间,表现得也不错。不过当进行病毒扫描时,这一数值会成倍增长,峰值内存占用会超过100MB。 4、卡巴斯基2009 卡巴斯基的软件安装包只有35MB,是所有软件中最小的一个,软件安装文件夹只有23MB,也是最小的一个,不过经过研究笔者发现,其在系统分区写入的文件较多,从而减少了安装目录的空间占用。另外,2009版本只能在WIN XP SP2或以上版本的操作系统上才能安装使用。 一直以来,卡巴斯基都以资源占用率低而著称,不过在这次评测的2009版本中,它虽然只有两个监控进程,内存占用量却也达到了38MB,超出了笔者的预期,看来较多的主动防御功能,确实带来了较大的资源占用。 5、诺顿2009 诺顿软件安装包52MB,安装后占用89MB硬盘空间,无任务操作时进程文件占用内存20MB左右,在几个软件中占用最小,这与以往有很大的提高。但当执行查杀病毒操作时,这一数值会暴增数倍,峰值接近100MB。另外这里还需要提一下的是,以前诺顿软件的安装速度,那简直是蜗牛在散步,如今在2009版中虽然与其他软件还有差距,但已经得到了较大的改善,希望以后能保持住。 三、病毒查杀能力评测
五、主动安全漏洞修复 微软WINDOWS操作系统漏洞数量之多、危害之严重,想必大家都很清楚。微软目前每月的第二个星期二都会发布安全公告,而利用这些新暴出来的安全漏洞进行攻击的病毒,也不再以月计,而是以天,以小时计算。除了操作系统,第三方应用软件漏洞也越来越多的成为黑客攻击的重点,及时主动修复这些安全漏洞,可以将风险降到最低,反病毒软件责无旁待。 1、瑞星2009 瑞星的系统漏洞修复其实是由卡卡来完成的,除了操作系统漏洞以外,还可以修复少量第三方应用程序漏洞,不过在笔者实测过程中,补丁文件下载速度较慢。 2、金山毒霸2009 金山毒霸中的金山清理专家模块,例来以修复能力强、种类多而闻名,这次测试中笔者还感觉到补丁文件的下载速度有明显提高,在所有软件中占有一定优势。经过研究发现,这得意于金山新加入的P2SP 急速补丁下载技术。它通过将下载任务分解到有效整合的服务器端和客户端资源当中,极大的提高了漏洞补丁的下载速度和稳定性。特别是在对体积较大的补丁进行下载时,速度提升更加明显。 在第三方应用软件漏洞修复方面,毒霸2009采用了全新的漏洞数据自动收集技术,该技术基于搜索爬虫技术,通过搜索爬虫自动从互联网上挖掘最新的系统漏洞,进一步改进了漏洞库信息的更新速度。目前支持的第三方软件多达十多种,涵盖了普通用户日常互联网应用中常用软件,其中包括RealPlayer、迅雷、暴风影音、QQ等等。 3、江民KV2009 江民KV2009只能对操作系统安全漏洞进行检查,没有把第三方软件包括在内。安全设置方面,提供有一个弱口令测试,显得测试项目比较单一。除此之外,还提供了一个“江民安全检测”,主要是用来检测江民杀毒软件自身的运行状态是否正常。不过,笔者在进行测试过程中,却出现了江民监控进程崩溃的情况,不知道是何原因。 4、卡巴斯基2009 以往的卡巴斯基单机版都不带有操作系统安全漏洞的检测,笔者在新版本中依然没有发现该功能。在“系统安全”模块中有一项安全分析,其中“快速诊断”可以扫描一些系统设置方面的安全漏洞,例如允许了U盘和光盘自动运行等等。另一项“全面诊断”,主要针对应用软件是否存在安全漏洞,不过从笔者实际测试中感觉,检测的软件数量很少,使实用价值大打折扣。 5、诺顿2009 以前的诺顿杀毒软件功能中,曾经内置过操作系统漏洞扫描,不过修复时调用的是windows系统更新。2009版中连这一模块都消失了踪影,更别说第三方应用软件漏洞的修复了。难道是怕误装了微软的“黑屏”补丁,触犯众怒惹来麻烦?这只是笔者的猜测。
近年来的新增应用程序中,有60%以上的软件是或包含恶意程序或病毒。恶意软件的增长率首次超过正常文件。病毒查杀能力是衡量一款杀毒软件性能优劣的重要标准,下面就来看看它们的表现如何:
1、瑞星2009
近一阶段瑞星比较烦,原因是它也陷入了“误杀门”,由于软件升级的疏忽误删了用户的邮件,还好很快就得到了修正并道歉,没象以前诺顿那样铸成大错。在经过3分09秒的等待后,300个病毒样本文件中,瑞星一共查杀掉204个病毒,比笔者预期的要少一些,与它在市场占有份额老大的地位多少有些不符。
2、金山毒霸2009
毒霸以往一直以查杀扫描速度快而著称,这次表现依然不错,只用了1分10秒即告扫描完成,与同类软件相比优势明显。在300个病毒样本文件中一共查杀掉301个病毒,其中包括36个风险程序,这一结果仅比卡巴斯基少了7个,可以说是表现的非常不错,好一头急走如风、所向披靡的“犀牛”!这里笔者要解释一下,笔者所收集的样本文件中,其中有几个是压缩包或自解压文件,这其中可能含有多种病毒。还有些文件是经过加壳压缩、或者利用捆绑器捆绑而成,因而病毒总数超出文件总数也就不奇怪了。
3、江民KV2009
江民本次测试一共查杀到190个病毒,由于它对引导区、内存以及部分系统文件附带进行了扫描,故而用时稍多,耗时4分14秒。两项数据在所有软件中处于中游水平,表现算得上是一头中规中矩、勤勤恳恳的老黄牛。
4、卡巴斯基2009
卡巴斯基去年凭借与奇虎360合作,抢占了不少国内市场份额,不过它的病毒处理速度一直为网民所诟病,这次2009版仍然保留着这一“传统”,一共用时15分20秒,难怪有网友把它戏称为“卡吧死机!”,真希望这只“蜗牛”以后能提提速。在病毒查杀过程中,我们能清楚的看到它所进行的大量的脱壳扫描操作,这也正是它查杀病毒较彻底的原因之一。查杀结果,一共消灭掉308个病毒,是所有软件中查杀数量最多的一个。
5、诺顿2009
新版本诺顿病毒扫描时竟然仍然未提供查杀时间显示,实在让人比较郁闷,它前后一共耗时6分13秒,最终结果为查杀到77个病毒,其中包括两个压缩文件,由于它无法直接清除压缩包内的病毒,只能手动选择忽略或直接删除整个压缩包,比较令人遗憾。
四、云安全技术应用评测
“云安全”这个词对于许多网民来说比较陌生,确实这是近年来最兴起的一种新概念、新技术。那么什么是云安全呢?
“云安全”技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,然后再把病毒和木马的解决方案分发到每一个客户端。简单来说,云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。以金山毒霸为例,“依托于云安全技,金山毒霸2009病毒库病毒样本数量增加了5倍、日最大病毒处理能力提高了100倍、紧急病毒响应时间缩短到1小时以内。”可以说云安全开创了计算机安全2.0时代。
看了以上介绍,大家可能了解得还不是非常透彻,下面就让我们看一下各款杀毒软件中的具体应用和体现吧:
1、瑞星2009
瑞星的“云安全”(Cloud Security)计划是将用户和瑞星技术平台通过互联网紧密相连,组成一个庞大的木马/恶意软件监测、查杀网络。具体表现在,每一个瑞星卡卡用户,都将成为一个木马病毒的监测点。它的“自动在线诊断”功能,每当用户的电脑中检测出木马病毒,“在线诊断”程序都会自动将病毒的样本上传到瑞星“木马/恶意软件自动分析系统(简称:RsAMA)”中,并最终由RsAMA将分析结果导入“瑞星安全资料库(简称:RsSD)”,以提供给其他用户使用。
2、金山毒霸2009
金山公司研究云安全技术时间比较早,金山毒霸的“云安全”主要由可支撑海量样本存储及计算的水银平台、互联网可信认证服务、爬虫系统三大架构组成。这其中除了包括与前面瑞星相类似的、可疑文件分析处理以外,“云安全”理念在金山毒霸2009的应用还包括以下两个方面:
第一、恶意网址拦截:目前,木马下载器是黑客入侵用户计算机系统的主要途径之一 。为了拦截未知木马下载器对用户系统植入木马的行为,金山网镖依托金山可信认证服务的网址认证功能,提供了恶意网址拦截功能。
当一个安全性未知的程序试图访问一个网址时,金山网镖会截获这一访问请求,并使用网址认证功能进行网址安全性分析。假如发现这个程序试图访问的是一个恶意网址,则金山网镖会拦截这一请求,并向用户发出警报。通过这一功能,网镖可以有效抑制木马下载器这一木马传播的重要渠道。
第二、智能判断自动生成程序规则:网络防火墙一般都带有程序控制功能,即当本地硬盘中某个应用程序第一次发出访问网络的请求时,网络防火墙会拦截并询问用户是否允许此程序访问网络。这项功能对于帮助用户管理网络访问,防御木马攻击方面具有重要作用。但是,很多用户在判断究竟是否应该允许一个程序访问网络时遇到了困难。对于新安装了软件或者重新安装了操作系统的用户,这种选择更是让人比较烦。
新版本的网镖当中新增加了可信认证智能判断功能,采用金山可信认证服务对请求访问网络的程序进行安全性分析,并且根据程序的安全性自动判定是否允许程序访问网络。只有在可信认证没有相关文件数据的时候,才会询问用户。通过这一改进,有效减少了用户使用网镖时的困扰,使得防火墙的使用更加人性化了。
3、江民KV2009
云安全的一个关键环节就是病毒上报分析处理系统,不过由于担心误报误杀等问题,江民这套系统很长时间都是由人工来完成,也就是说软件厂家的工程人员,每天需要面对搜集到的大量可疑文件后,在进行筛选鉴别后,再通过升级病毒库来完成整个处理过程。一个可疑文件的处理,可能需要数小时、甚至数天才能完成。
江民在对虚拟机、启发式、沙盒等技术深入研究和改进后,提高了病毒处理速度和准确率。此时融合云安全技术更有保障。2009版软件设置中的“Internet文件验证”就属于云安全范畴。
4、卡巴斯基2009
在强大的后台技术分析能力和在线透明交互模式的支持下,卡巴斯基2009可以在用户“知情并同意(Awareness & Approval)”的情况下在线收集、分析(Online Realtime Collecting & Analysing)用户计算机中可疑的病毒和木马等恶意程序样本,并且通过平均每小时更新1次的全球反病毒数据库进行用户分发(Instant Solution Distribution)。从而实现病毒及木马等恶意程序的在线收集、即时分析及解决方案在线分发的“卡巴斯基安全网络”,这就是卡巴斯基的“云安全”计划。
卡巴斯基2009将“云安全”技术和主动防御相结合,使得全球的卡巴斯基用户组成了一个具有超高智能的安全防御网,能够在第一时间对新的威胁产生免疫力。
5、诺顿2009
病毒被激活后都会加载到系统进程中,但由于病毒会通过更改文件名、插入线程、设置隐身钩子等进行伪装,一般用户很难进行识别。诺顿2009的云安全策略是,通过软件中的Norton Insight模块,连接到互联网中的服务器,自动对用户计算机上的进程文件进行识别,安全的即标记为可信文件。这种认证是一次性的,以后监控和病毒查杀时就可以无需扫描这些已知文件,从而加快扫描的速度。在笔者实测过程中,感觉认证速度比较慢,有时甚至出现了卡死现象。另外由于可信比例不是很高,对日后扫描速度的提高作用也比较有限。
六、评测总结
通过这些天对2009版反病毒软件的横向对比测试,笔者发现所有安全厂家都对云安全进行了高度关注,并已经进入了正式商用阶段。以金山毒霸代表的国内杀软,甚至同时采用了多项云安全应用,大大提高了国内杀毒软件的性能和效率。
不久前,曾有业内人士宣称,没有一千台服务器就休谈云安全。可见这项技术需要强大的财力物力和人员作后盾,杀毒软件已经彻底转成了一种网络服务。这种转型,对于用户来说无疑是一大利好。
但我们也必须清楚的意识到,以云方式构建的大规模特征库,并不足以从根本上杜绝病毒的威胁,国内外杀毒厂商还需要在核心杀毒技术上再下功夫,完善主动防御体系,增强杀毒软件本身的自我保护,这样才能更大限度的保证用户的安全。
(本文不涉密)
责任编辑:
上一篇:远程漏洞扫描实现云安全