瑞星卡卡安全论坛

这几天wolf为了测试杀毒软件对未知病毒的抗御性而写了个测试病毒，为此先对国内的几款有名杀毒软件做了测试。

（一）金山毒霸2007
由于在程序中指定了毒霸主程序的进程。一开始当病毒一运行毒霸就被干掉了，另外金山的杀毒软件在2007中还是没有对注册表以及系统的几个启动项进行监控，因此很容易会让一般的恶性程序做到开机自启。虽然在2007版中金山也做了服务可是也如同虚设，没有任何的意义。
测试评价：下
使用价值：2

（二）瑞星2006
瑞星的2007目前还在共测阶段，所以就先不列为测试对象了。现在只拿2006来测试。由于对瑞星还是比较了解些。所以在程序的设计上针对瑞星也是制定的比较细致些。
1.防火墙
首先对瑞星的防火墙测试，由于它的服务写的不错所以通过进程结束是无法直接关掉防火墙的进程，另外通过关net stop的命令关闭服务也会提示的。可是发现防火墙的主程序是由子程序来监控的，如果发现主程序被非正常的关掉，子程序会再次启动主程序。但是有个漏洞就是如果通过两个以上的程序来专门压制防火墙的主程序运行，也是可以做到防火墙被关闭的效果。
2.杀毒软件
瑞星的杀毒软件做的不错，首先能对注册表进行监控（只限于启动部分），内存监控，程序的自我保护功能做的也不错，有四个程序相互监控。也做到了服务启动。不足在于升级时占用很大的内存空间，另外虽然瑞星做到了服务保护自身，可是对自身的一些重要文件没有做到保护，这样可以让病毒做到删除瑞星程序里指定的文件会造成杀毒软件的关闭。另外瑞星对注册表服务项没有做到监控，这样象鸽子之类的木马可以直接穿透它。还有一个也许是疏忽吧 瑞星没有对开始里的启动没有监控。。。。
测试评价：中
使用价值：4

（三）江民2007
这里只对杀毒软件做测试评估，因为它的防火墙效果很不好。如果你认为它的防火墙不好杀毒软件也不好的话那就大错特错了。首先江民2007对自身程序的保护能力要比瑞星强多了。尤其自身的重要文件是无法直接删除的，这样病毒想通过删除指定文件来做掉江民是行不通的。
江民所监控的范围很广，注册表所有键值都在监控之内，而且它能够对系统所在的磁盘的所有目录监控，这样当测试病毒试图想拷贝复制自己到系统目录的时候会很容易的被发现。另外江民对80端口也做到了坚控。（灰鸽子完蛋了）其实江民2007杀毒软件足可以做到不过江民对未知病毒或插件的屏蔽。不足之处在于它有些过高的评估对未知程序的分析。在运行自己编写的键盘记录时候，江民并没有做到监测HOOK的调挂功能。如果病毒不做复制拷贝以及修改注册表的话，江民是不会察觉的。
测试评价：高
使用价值：5

（四）卡巴斯基
对卡巴斯基做的测试很简单，不过也很另我吃惊。我的木马居然会被卡巴斯基列为后门程序！！这个连江民都没有被测出的木马居然栽在俄罗斯人手里。卡巴斯基也是对注册表所有键值监控，只是不象江民对系统目录也监控，另外它也不对开始启动监控。所以我的木马会被查出来可是测试病毒却是一路畅通无阻。只是无法做到干掉卡巴，因为它做的自我保护功能不次于江民。。。。。
测试评价：高
使用价值：5

以上就是wolf对国内流行四款杀毒软件的一期测试，值得推荐的是卡巴跟江民。虽然有做广告的嫌疑，可是测试的评估是不容人眼里揉沙子的。。。最后wolf想说的是有的病毒里面使用的技术是很有含金量的。

http://lining781209wolf.spaces.live.com/Blog/cns!BB4E70AA70D4C232!173.entry