刚现网银安全危机、又出电信断网事件,无孔不入的病毒、木马趁火打劫,变本加厉,时刻都想“牛”一把。杀毒软件更是你方唱罢我登场,技术更新加营销创新,使出浑身解数争夺市场。杀毒软件谁更牛?信息安全市场将如何发展?一番PK之后,我们定有感悟。
2009年注定是不平凡的一年,经济保增长,产业图振兴。不容乐观的经济形势映衬出信息安全的缕缕寒意。刚现网银安全危机、又出电信断网事件, 无孔不入的病毒、木马趁火打劫,变本加厉,时刻都想“牛”一把。杀毒软件更是你方唱罢我登场,技术更新加营销创新,使出浑身解数争夺市场。杀毒软件谁更 牛?信息安全市场将如何发展?一番PK之后,我们定有感悟。
参测的十款杀毒软件为:诺顿游戏版、Eset Smart Security 4.0.314(NOD32)、卡巴斯基三年版、Mcafee 2009、趋势网络安全专家2009、Avast!pro 4.8、Dr.web大蜘蛛反病毒5.0、瑞星2009、金山2009、江民2009,分别代表了国际和国内顶尖水平。我们从界面和易用性、病毒包查杀、扫描速度、实时监控、资源占用、自我保护、主动防御等方面进行PK。测试平台为:
CPU Pentium T2130
内存 2GB
硬盘日立 160GB SATA
操作系统WinXP SP3
网络环境ADSL 8Mbps
为了贴近日常应用,测试平台安装了驱动、Office、常用软件和网络工具。测试完一款杀毒软件后,用Ghost复原系统再测试另一款,避免相互干扰和影响,使结果更客观。
(一)界面和易用性 金山和趋势更胜一筹
清晰明了的界面和友好的人机交互可以增加用户亲和力,也是杀毒软件带给用户的第一印象。总体来看,除Avast!pro 4.8外,国外杀毒软件的界面设计风格趋向沉稳、规范、内敛;国内三强的界面风格更明快、活泼、时尚。其中,金山和趋势的功能布局更合理、易用性更强。
图注: 金山2009主界面清晰、直观,符合国人的胃口
图注:趋势网络安全专家2009的主界面设计人性,易于上手
金山2009和趋势网络安全专家2009的界面清晰明了,各主要功能入口明确,很容易上手。相比之下,Eset Smart Security 4.0.314(NOD32)的界面(如图所示)布局欠明晰,“高级设置”等功能比较隐蔽,不易查找。
图注:Eset Smart Security界面设计十分简洁,但不易于操控
诺顿和卡巴斯基的界面内敛而规范,看上去很专业。Mcafee 2009的界面相对比较中性,主界面设计符合简洁、易用的理念,但层次结构略显繁复,各层次之间的逻辑结构和归属关系仍不醒目,对初次接触的新用户,尚需 摸索。Avast!pro 4.8的界面更像一款精致的播放器,支持界面模式的切换和换肤。Dr.web大蜘蛛反病毒5.0的界面则非常朴素、简单。
图注:Avast!pro 4.8大胆地将自己伪装成一个媒体播放器
总体来说,国内三强的界面设计和易用性整体上要好于国外产品,更具亲和力,这显然受益于其开发者对国人使用习惯的了解。
多年的技术积淀和市场洗礼使主流杀毒软件都拥有了自成体系的病毒查杀机制和日趋成熟的核心技术,遍布全球的病毒预警网络和快速响应的反毒系统成为杀毒软件应对新威胁的共性特征。因此,各主流杀毒软件的病毒查杀能力理论上不应有悬殊的差距,只会有个体的、非实质性的差异。
本项测试使用的病毒包内含网页木马、蠕虫病毒、盗号木马等各类病毒3000多个,分别保存到3500多个文件夹中,然后将这些文件夹分别打包成 Zip压缩文件,再将所有压缩包一起打包成一个Zip压缩包。随后用各款杀毒软件生成的右键快捷杀毒方式扫描病毒包,测试结果如下表:
病毒包查杀测试结果
从上表可知,由于各杀毒软件的计数方式和扫描细节上的区别,扫描文件的数量也有所不同。但ESS(NOD32)和趋势 2009显然是将压缩包和内含文件视为同一文件对象而未分别计数。
从病毒识别数来看,江民2009表现最好。至于扫描速度,则是ESS(NOD32)出类拔萃,仅用7秒就识别出了3462个病毒,效率惊人,尽管略有囫囵吞枣之嫌。Avast!pro 4.8勇夺银牌,江民和金山紧随其后。相比之下,诺顿游戏版和瑞星2009有些力不从心,费时较长,它们似乎对多层嵌套压缩包的处理,并不在行,当然,这对它们病毒的查杀准确度倒是丝毫不受影响。卡巴斯基、Dr.web大蜘蛛5.0和趋势网络安全专家2009的查杀效率接近,差距不大,处于中游。
Mcafee 2009在这里表现极其另类,它选择一个超级取巧的方法,在连续查出了几个病毒后,直接将病毒样本包视为毒巢彻底隔离,从而超近道完成了任务。即使我们在 扫描选项中开启zip压缩文档查杀功能之后,它仍然在第一时间直捣毒巢,将整个病毒压缩包完全封杀掉,以根除掉所有可能的安全隐患,这也在某种程度上体现 了当前杀毒技术的优化趋势,大幅提升扫描效率。
快速扫描和精准查杀是杀毒软件优良品质和核心技术的重要体现。我们对每款杀毒软件在同样的环境下进行全盘扫描,以测试扫描速度,结果如下表所示:
全盘扫描速度对比表
从表中可知,各软件的默认设置在文件计数方法和扫描细节上有明显区别。诺顿游戏版的扫描速度可谓“风驰电掣”(当然它也是扫描文件数最少的), 实力毋庸置疑,充分体现了其全面优化的新一代杀毒引擎的优势!卡巴斯基的表现也非常抢眼,有望改变“慢工出细活”的一贯形象。ESS(NOD32)的表现 中规中距。Avast!pro 4.8也有不错表现。Mcafee 2009非常卖力,但由于核心引擎并未进行本质改进,因此感觉上还是有劲使不上。趋势网络安全专家2009的默认设置会扫描浏览器Cookie和系统漏 洞,最高支持6层嵌套压缩文档,文件计数也比诺顿和ESS(NOD32)高出数倍。Dr.web大蜘蛛5.0在默认设置下耗时最长,期待改进。若启用诺 顿、卡巴等的“智能扫描”、“iSwift”和“iChecker”等技术,再次扫描时的速度会大为提升。在国内三强中,江民表现最好,瑞星速度最慢。
测试的各款杀毒软件都具有实时监控功能。相比之下,卡巴斯基由“反恶意程序”、“系统安全”、“在线安全”、“内容过滤”组成的“4D”防御体系 (如图所示)使实时监控和系统保护、主动防御等功能高度融合、协同联动,涵盖了应用程序和文件监控、Web和邮件监测、即时通讯和流量监控、家长控制和设 备控制等有关的软、硬件资源和本地、远程应用,监控全面而精细,反映出深厚的内功和严谨的设计理念。
图注:KIS 2009的“4D”防御体系
Avast!pro 4.8的监控同样强大,拥有防火墙、文件读取、网页防护、即时通讯、邮件收发、P2P软件防护、脚本拦截等七大防护模块和独特的静寂模式。 ESS(NOD32)和诺顿游戏版支持文件操作、邮件收发、网页浏览等常规监控。Mcafee 2009在安装了个人防火墙、反垃圾邮件、隐私保护等组件后,支持功能也非常完善,拥有了文件、邮件、Web、流量等众多丰富的监控功能。趋势网络安全专家2009支持敏感文件和服务修改、Web欺诈、隐私数据防窃、邮件收发等监控。Dr.web大蜘蛛5.0自带SpIDer Guard实时监控程序,提供“智能”和“其它”两种监控模式(如图所示),支持文件、邮件和恶意程序等监控。
图注:Dr.web大蜘蛛5.0的SpIDer Guard实时监控程序
在国内三强中,金山和江民的监控(如图所示)较周全,支持文件、邮件、网页、即时通讯、脚本(恶意行为)监控;而瑞星只有文件和邮件两类监控,只是在账号保险柜和嵌入式杀毒中支持QQ和MSN,其防火墙也主要防范漏洞攻击和蠕虫攻击等,可见其监控功能有待加强。
图注:江民KV2009的监控功能,比较完善
降低杀毒软件的资源占用水平已成为厂商和用户的共识,各厂商也在产品的研发和更新中不断尝试和突破。但由于杀毒软件的核心引擎相对稳定,外延功 能又不断扩展,除非下大力气彻底更新核心架构,否则难有实质性的突破。各杀毒软件在监控和扫描时的实测平均CPU/内存占用水平如下表所示:
资源占用水平对比表
从表中可见,诺顿游戏版凭借NIS 2009版中300多项改进和60余项创新所带来的脱胎换骨式的革新,在资源占用方面独领风骚,笑傲群雄。这也证实了诺顿官方宣称的“零资源占用”并非夸夸其谈。而作为微软曾“御用”5年、全球唯一54次通过VB100认证的ESS(NOD32)也同样表现不俗。Avast!pro 4.8也显示出不凡实力。趋势网络安 全专家2009和Dr.web大蜘蛛5.0也表现不错。卡巴斯基2009和Mcafee 2009比以往版本也有了一定程度的改进,但还算不上“身轻如燕”,尚需进一步优化。国内三强中,金山表现最好,这可能与其起家时采用的引擎架构有关—— 从金山毒霸Ⅴ至2009,其资源占用水平总体优于瑞星和江民,这一优势,至今未变。
病毒与反毒的斗争早已白热化,越来越多的病毒已由最初的躲避变为直接“杀掉”杀毒软件。保护自身的安全对于杀毒软件来说至关重要。我们通过任务管理 器和IceSword 1.22两种途径来尝试终止杀毒软件的进程,以此测试其自我保护能力。需要说明的是,本项测试只是希望对新一代安全软件的自我保护功能进行一次简单的挑 战,以体验一下其自我保护的功能设计,而不能完全代表其真正抵御病毒破坏的能力。
进程终止测试对比表
由进程终止测试对比表可知,10款杀毒软件中自我防护能力最差的是趋势网 络安全专家2009,用任务管理器即可轻松终止除TMBMSRV进程外的其余进程,致使趋势2009失效,其次就是ESS(NOD32),egui进程一 旦被任务管理器终止,就会导致任务栏调用ESS异常。其它8款软件都具有一定的自我保护能力,能有效对付一般的进程终止企图,但在IceSword的“屠 刀”下,表现各异。诺顿游戏版、Avast!pro 4.8和金山毒 霸2009毫无还手之力,立马被斩;卡巴斯基在启动IceSword时会提示其属于“低限制组”程序,询问是否放行。首次终止其双进程AVP时未获成功, 但终究无法抵抗IceSword的凌厉攻势,多次抗击后“阵亡”; Mcafee 2009很有意思,在任务管理器中被终止后又自动加载,但被IceSword “斩杀”后就再也“无力回天”了;瑞星2009同样在顽强抵抗后“牺牲”;只有江民2009和Dr.web大蜘蛛5.0固若金汤、坚不可摧,IceSword也无计可施,看来它们“刀枪不入”的“铁布衫”果然名不虚传!
主动防御技术使杀毒软件变被动查杀为主动出击,一改过去“事后诸葛亮”的形象。它通过总结病毒和木马的编码规则和活动特征,分析系统中各API接口之间的逻辑关系,在病毒库中没有特征码的条件下力图识别未知的病毒或恶意软件。
各大杀毒软件在识别未知病毒方面各有高招。诺顿采用了基于行为杀毒技术的实时SONAR主动防护,结合官方服务器来对文件和进程进行安全认证, 所有“安全”的文件和进程会获得“安全证书”,取得高信任级别,从而快速捕获潜在的未知威胁。卡巴斯基也通过官方服务器对全球用户上传的数据汇总分析,以 此比对可疑文件和进程。ESS(NOD32)、Mcafee 2009、Avast!pro 4.8和Dr.web大蜘蛛5.0是启发式杀毒技术的典型代表,尤其是ESS(NOD32)采用的ThreatSense引擎高级启发式检测技术,通过代 码分析、基因码和动态虚拟机三种手段检测各种变种和未知病毒;而Mcafee 2009新一代主动保护 (Active Protection)也能提供全面的即时检测和即时保护功能。启发式杀毒无疑是未来反病毒技术发展的重要趋势,为我们提供了一种通用的、无需频繁升级、 先知先觉式的病毒检测技术。
趋势网络安 全专家2009则是采用OSP系统主动防御技术,实时检测系统内核、注册表、进程等15处项目,结合“云安全”网络防护技术来防范可能的病毒和威胁。国内 三强中,瑞星和金山是“云安全”技术的推崇者,通过官方服务器和庞大用户群上传的病毒库来分析可疑文件和进程,同时提高杀毒软件的响应速度和病毒处理能 力。江民则另辟蹊径,将“虚拟机脱壳引擎(VUE)”技术、启发式杀毒和“沙盒”技术结合起来,强调“云安全”防毒系统与未知病毒防杀技术的融合,致力于 构建“从已知病毒的迅速响应到未知病毒的立体防杀”安全防范体系。