8种常见杀毒软件测试----基于家用环境
| 来源: 原创 | 作者:专门网 | 时间:2006-8-26 22:49 |
版权所有,投稿E800,未经允许请勿转载
http://www.e800.com.cn/articles/16/1108691154539.html
现在的病毒是越来越猖狂,从最早的单一型逐渐发展成现在的自身变异型;从以前的EXE、COM可执行文件感染发展到现在的通过互联网、聊天工具和邮件自动传播。各大软件公司也都推出了带有特色的杀毒软件,不论是软件功能还是升级频率都在逐渐提高。我记得在1999年前后,杀毒软件还只是一个可有可无的产品,厂商也没有足够的重视,产品功能只限于查毒杀毒。2001年左右又推出了一个新概念----病毒防火墙,把杀毒软件带入了一个新时代。它不再局限于查杀机器自身感染的病毒,还可以对外界侵入的病毒有个全面的防护。CIH病毒和蠕虫病毒的出现又让杀毒软件上到了新的层次,查杀病毒的变种。到现在杀毒软件功能已经集杀毒、文件监控、内存监控、邮件监控、网页监控、注册表监控、引导区监控为一体,有些还附带对操作系统漏洞监控的功能。目前病毒又趋向于利用操作系统自身漏洞攻击,使系统瘫痪。
那么市场上可以购买到的家用级杀毒软件的防毒、杀毒能力到底有多强,今天我做了一个测试,共涉及到8种常见的杀毒软件---包含瑞星、KV、NORTON、趋势、McAfee、AntiVir、卡巴斯基和金山毒霸6。
首先说明一下测试机器配置:
这次测试为了保证大家都在同一起跑线上,我使用虚拟机来模拟干净的操作系统环境。WindowsXP英文操作系统并打上了SP2补丁,其他各种提升性能的附带软件一律没有安装也没有对系统进行任何优化。驱动程序使用WindowsXP自带的,并且只安装了最基本的驱动。机器配置是Intel Pentium-M 735 Dothan CPU,768M DDR333内存,40G西捷ST94011A笔记本硬盘,ATI 7500 Mobile显卡。虚拟机VMware Workstation 5.0.0 build12206独立使用了384M内存,7GB的硬盘空间文件格式Fat32。
病毒文件的说明:
软件使用RAR打包,内含大概3700个不同种类病毒。没有解压缩,要不我的机器肯定挂了,顺便可以测试机器的查压缩文件能力。
NORTON诺顿
文件大小: 83.7M
最近版本: 2005
操作系统: Win2000/XP
Symantec AntiVirus Corporate (Norton AntiVirus 诺顿杀毒软件企业版本)是世界上最优秀的杀毒软件之一,它的功能介绍如下:
1)使用MSI安装
2)通过微软控制台MMC,无管理员权限也可安装
3)Threat Tracer(威胁来源追踪器),可以追踪到运行windows NT系统(包括2000/xp/2003)并通过网络传播病毒的电脑的IP地址和Netbios名字
4)强制自动更新病毒库。(可能需要服务器端支持)
5)新增危险程序种类:间谍程序,广告程序,拨号器(色情网站常见),恶意玩笑软件,远程控制软件,黑客工具,追踪工具等
6)Pop3和Smtp端口扫描,防止病毒邮件
7)发送邮件启发式扫描,避免本机蠕虫通过邮件程序发送和传播病毒。 肯定需要服务器端支持的有:通过拖拽实现客户端在不同服务器端之间的管理权传递。 VPN保护 Log记录文件传送 SAV默认扫描病毒,木马和蠕虫(即在Auto Protect开启的情况下),你必须激活“扩展威胁扫描”以查杀其他类型的危险程序。先进启发式扫描:可通过判断程序行为来判断是否病毒,同时可查杀脚本程序,如html,VBscript和javascript。关于压缩文件扫描,可支持压缩文档高达10层深度扫描。具体支持种类不详,不出意外zip肯定支持,RAR就难说了。同时所有从压缩文件中释出的文件都将被扫描。 多了很多进程,主要是邮件扫描的…… 进程详解: Srvroam.exe:服务器端与客户端传递数据用 CcEvtMgr.exe:客户端pop3扫描事件管理器 CcPwdSvc.exe:客户端pop3扫描密码服务 CcSetMgr.exe:加密客户端pop3扫描设置 SNDSrvc.exe:Symantec pop3扫描网络驱动程序 CfgWzSvc.exe:安装失败的时候才会出现 关于ccapp.exe进程,以前似乎只有在NAV/NIS 2003/2004上面才有,作用主要是确保子程序运行,尤其在邮件扫描方面,不可关闭。
安装完杀毒软件就被要求更新升级。从连接速度上看还可以接受,不仅更新了病毒包还把查毒杀毒引擎也一同更新。
更新完毕后系统会重新启动,这时候建议用户做一个全面杀毒,在这里因为不是重点我把它跳过去了。
NORTON对内存的占用可以从图中看出,现在的机器内存大都256M,完全可以满足系统要求。
杀毒测试。我把一个从网上下载的病毒包单独放在一个文件夹内,设置NORTON只对这个文件夹进行扫描。毫无疑问NORTON查出了这个文件夹内含有病毒文件,但是不知道为什么它只报出2个病毒数,而且这两个病毒全部清除失败。好在它把文件加里面的文件放到了隔离区,这样从另一个方面做到了对系统的保护。最终,测试完成后机器没有被病毒感染。
杀完病毒的
隔离文件夹
http://www.e800.com.cn/articles/16/1108691154539.html
现在的病毒是越来越猖狂,从最早的单一型逐渐发展成现在的自身变异型;从以前的EXE、COM可执行文件感染发展到现在的通过互联网、聊天工具和邮件自动传播。各大软件公司也都推出了带有特色的杀毒软件,不论是软件功能还是升级频率都在逐渐提高。我记得在1999年前后,杀毒软件还只是一个可有可无的产品,厂商也没有足够的重视,产品功能只限于查毒杀毒。2001年左右又推出了一个新概念----病毒防火墙,把杀毒软件带入了一个新时代。它不再局限于查杀机器自身感染的病毒,还可以对外界侵入的病毒有个全面的防护。CIH病毒和蠕虫病毒的出现又让杀毒软件上到了新的层次,查杀病毒的变种。到现在杀毒软件功能已经集杀毒、文件监控、内存监控、邮件监控、网页监控、注册表监控、引导区监控为一体,有些还附带对操作系统漏洞监控的功能。目前病毒又趋向于利用操作系统自身漏洞攻击,使系统瘫痪。
那么市场上可以购买到的家用级杀毒软件的防毒、杀毒能力到底有多强,今天我做了一个测试,共涉及到8种常见的杀毒软件---包含瑞星、KV、NORTON、趋势、McAfee、AntiVir、卡巴斯基和金山毒霸6。
首先说明一下测试机器配置:
这次测试为了保证大家都在同一起跑线上,我使用虚拟机来模拟干净的操作系统环境。WindowsXP英文操作系统并打上了SP2补丁,其他各种提升性能的附带软件一律没有安装也没有对系统进行任何优化。驱动程序使用WindowsXP自带的,并且只安装了最基本的驱动。机器配置是Intel Pentium-M 735 Dothan CPU,768M DDR333内存,40G西捷ST94011A笔记本硬盘,ATI 7500 Mobile显卡。虚拟机VMware Workstation 5.0.0 build12206独立使用了384M内存,7GB的硬盘空间文件格式Fat32。
病毒文件的说明:
软件使用RAR打包,内含大概3700个不同种类病毒。没有解压缩,要不我的机器肯定挂了,顺便可以测试机器的查压缩文件能力。
NORTON诺顿
文件大小: 83.7M
最近版本: 2005
操作系统: Win2000/XP
Symantec AntiVirus Corporate (Norton AntiVirus 诺顿杀毒软件企业版本)是世界上最优秀的杀毒软件之一,它的功能介绍如下:
1)使用MSI安装
2)通过微软控制台MMC,无管理员权限也可安装
3)Threat Tracer(威胁来源追踪器),可以追踪到运行windows NT系统(包括2000/xp/2003)并通过网络传播病毒的电脑的IP地址和Netbios名字
4)强制自动更新病毒库。(可能需要服务器端支持)
5)新增危险程序种类:间谍程序,广告程序,拨号器(色情网站常见),恶意玩笑软件,远程控制软件,黑客工具,追踪工具等
6)Pop3和Smtp端口扫描,防止病毒邮件
7)发送邮件启发式扫描,避免本机蠕虫通过邮件程序发送和传播病毒。 肯定需要服务器端支持的有:通过拖拽实现客户端在不同服务器端之间的管理权传递。 VPN保护 Log记录文件传送 SAV默认扫描病毒,木马和蠕虫(即在Auto Protect开启的情况下),你必须激活“扩展威胁扫描”以查杀其他类型的危险程序。先进启发式扫描:可通过判断程序行为来判断是否病毒,同时可查杀脚本程序,如html,VBscript和javascript。关于压缩文件扫描,可支持压缩文档高达10层深度扫描。具体支持种类不详,不出意外zip肯定支持,RAR就难说了。同时所有从压缩文件中释出的文件都将被扫描。 多了很多进程,主要是邮件扫描的…… 进程详解: Srvroam.exe:服务器端与客户端传递数据用 CcEvtMgr.exe:客户端pop3扫描事件管理器 CcPwdSvc.exe:客户端pop3扫描密码服务 CcSetMgr.exe:加密客户端pop3扫描设置 SNDSrvc.exe:Symantec pop3扫描网络驱动程序 CfgWzSvc.exe:安装失败的时候才会出现 关于ccapp.exe进程,以前似乎只有在NAV/NIS 2003/2004上面才有,作用主要是确保子程序运行,尤其在邮件扫描方面,不可关闭。
安装完杀毒软件就被要求更新升级。从连接速度上看还可以接受,不仅更新了病毒包还把查毒杀毒引擎也一同更新。
更新完毕后系统会重新启动,这时候建议用户做一个全面杀毒,在这里因为不是重点我把它跳过去了。
NORTON对内存的占用可以从图中看出,现在的机器内存大都256M,完全可以满足系统要求。
杀毒测试。我把一个从网上下载的病毒包单独放在一个文件夹内,设置NORTON只对这个文件夹进行扫描。毫无疑问NORTON查出了这个文件夹内含有病毒文件,但是不知道为什么它只报出2个病毒数,而且这两个病毒全部清除失败。好在它把文件加里面的文件放到了隔离区,这样从另一个方面做到了对系统的保护。最终,测试完成后机器没有被病毒感染。
杀完病毒的
隔离文件夹
最新评论
2、小红伞AntiVir也是8.1版,过期的无法升级。
结论:这篇测试报道做得并不好!
支持(0) 反对(0) 举报
楼主还局限于特征码查杀病毒的理念 这样对NORTON诺顿、卡巴、趋势 很不公平 特别是卡巴。楼主拿一个含有病毒特征的压缩包来测试很不科学。原因有一、病毒没有运行那么它只是一段存储在硬盘上的程序,杀毒软件在病毒向系统发起攻击时的表现才应该是测试的重点。二、杀毒软件的脱壳能力没有在这次中表现出来。(我们知道现在的病毒变种很多大多部分变种都是通过加壳后改变特征码来逃过杀毒软件的查杀)三、杀毒软件的灾难拯救功能没有测试及叙述(我们都知道病毒的发展快于杀毒软件的发展,一旦杀毒软件在xp系统下无法查杀病毒或系统遭到破坏进不到安全模式怎么办)这个功能的强弱也是影响杀毒软件的一个重要指标。
支持(0) 反对(0) 举报
查看全部评论……(共3条)