病毒、木马、网络钓鱼和各种网络攻击手段越来越猖獗,严重影响到我们的工作和生活,这就对杀毒软件提出了更高的要求,除了要有过硬的反病毒能力,还要能提供全方位的防护手段来应对网络威胁。本篇文章将从专业的角度对参测的杀毒软件进行评测。着重考察产品的专业性能,由于条件所限,一些测试项目可能还不太规范,结果仅供读者参考。 关于测试环境
由于杀毒软件的评测是非常专业性的测试,之前在常规项目测试中所用的华硕笔记本已经不能满足大量的病毒扫描要求,所以我们将专业性的扫描测试、网络监控等项目搬到了另外一个高等级的平台,同时笔记本电脑也可以配合使用,具体环境如下:
DELL SC430 服务器1台,CPU为P4 830 双核3.0G, 2G ECC内存;系统硬盘:Maxtor 串口160G 分区 C 盘50G,D盘110G;数据硬盘一:2块西捷 10代串口 320G做RAID 0 (软件) 分区 E盘 640G;数据硬盘二:1块西捷 IDE 250G 分区 F盘 250G;
关于病毒样本
1、全部文件经手工查看分类,详细记录文件日期、长度;
2、经过专用程序生成CRC32、MD5签名数据库, 剔除重复文件;
3、经过测试前病毒扫描,不能够同时被三种及以上不同查毒软件报告出病毒的文件剔除;
4、通过全球最大专业的误报和Joke程序数据库,尽可能剔除样本中可能被误报的非病毒文件;
5、通过病毒命名交叉索引数据库,尽可能保证样本中每一种病毒在被多种杀毒软件报作相同病毒时只保留一个样本文件。
6、由于多数杀毒软件出现将加壳后的文件报作病毒,而且报告中不明确是否脱壳,在统计时将这种情况视为“支持查出这种病毒”“支持此种加壳格式”。
最后样本文件一共为1,126,464个,分布在E、F盘2145个子目录中,占据硬盘空间760G。(每个文件平均大小约600K,NTFS分区的单元大小为4K)样本文件中包括流行病毒、木马病毒、网络钓鱼等测试样本。
测试之前 内存资源占用情况
我们在每一款杀毒软件安装完成后,会重新启动计算机并在五分钟内不进行任何操作以保证系统处于相对闲置的状态。之后我们在Windows任务管理器中对每款软件的内存占用情况进行记录,占用越少的产品无疑系统资源占用率也越少。
因为在闲置状态中处理器的占用率基本都在百分之一以下,系统中基本没有数据流传送,所以杀毒软件的监控程序处于闲置状态,CPU占用率普遍为0,所以我们没有对其数据记录。
从实际的测试结果来看,国内反病毒厂商的产品在系统资源占用上要更低一些,而国外的产品往往占用的资源较多,这当然也是其功能比国产产品更多的原因,国外的产品需要开放更多的程序接口,程序相对比较复杂。特别需要指出的是,比起其它产品,光华和卡巴斯基在这个项目中有着更好的发挥,这也从侧面反映出这两款产品在日常状态下没有启动不需要的组件,光华作为国产反病毒领域内的一股新生力量已经具备了非常深厚的技术积累。
海量文件扫描
我们将通过对包含有大量文件的硬盘分区进行扫描操作,以便检验软件的扫描性能。在测试过程中,全部产品的扫描选项均开至最大,并对所有目标文件进行扫描,即对整个硬盘扫描,另外我们也对能够设置扫描速度的产品进行最高等级的设置,以保证每款产品都处于最佳的扫描状态。
为了模拟用户实际的情况,在华硕笔记本的硬盘中包含了各种软件、电影、音乐、文档、图片和压缩包等多种形式的文件,在操作系统中我们统计出文件的总数量为 个,容量大小约5G。另外,为了考察参测产品是否具有文件指纹功能,每一款产品均执行两次扫描操作,记录两次分别用了多少时间以及扫描文件数。
文件指纹是经常应用于企业版安全产品中的技术,其主要原理是在第一次扫描时,记录下用户的文件信息,即对每个被扫描过的文件生成一个校验值,在以后再次扫描文件时,对那些没有改变的文件,就可以跳过去不扫描,可以大幅度提高扫描效率,目前,这项原企业版专有的技术,已经普遍应用到了个人安全产品中。
由于各个厂商的反病毒引擎各不相同,其分离文件的方法也不一样,所以导致了各个产品报告文件扫描数量的差别。
流行病毒扫描
在这个测试项目中,我们使用的病毒样本提取标准为曾经在国内发现过实际的感染并且影响相对普遍的病毒,总数为103323个,都是比较常见、且极具代表性的病毒,每一款杀毒软件检测出的病毒数量请看下表:
显而易见,光华和卡巴斯基的扫描效果比较理想,诺顿的表现也不错,其他产品表现相对比较平淡。另外由于熊猫在扫描过程中必须对病毒进行处理(对病毒非常“强硬”),所以实测过程中熊猫进行的并不是扫描操作而是清除操作。
网络钓鱼测试
“假冒工商银行网站事件”已经给我们敲响了警钟,网络钓鱼正逐步升级并扩散,已经成为了社会问题,它利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容,造成的后果相当严重。因为网络钓鱼一般会伪装成知名银行、在线零售商和信用卡公司等可信的品牌,所以用户防范的意识比较薄弱。
我们模拟了网络钓鱼的环境,具体测试成绩请看下表:
从测试结果来看,光华和卡巴斯基再一次取得领先,对网络钓鱼的防范与扫描非常到位。由于这个项目我们采取的方法,所以结果可能不具有普遍性,大家请酌情参考。
压缩深度扫描
俗话说“道高一尺,魔高一丈”,病毒越来越狡猾,它们为了逃过杀毒工具的检测,除了增加自身的变形能力外(各种变种病毒),还利用了各种压缩程序。我们采用了“多包裹层病毒”,就是把病毒自身隐藏在多层的压缩包里,比如把一个病毒用1000层ZIP打包等,这样的病毒经过压缩打包后,如果没有查杀多层压缩包技术的杀毒软件就无法监测到。
从扫描层数来看,许多国产杀毒软件在多层压缩扫描方面令人失望,但光华极佳的表现又给我们增强了不少信心,它有效的解决了“多包裹层病毒”,可以支持1000层以上的各种压缩包内的病毒查杀。相对而言国外的杀毒软件由于其技术比较成熟,这方面已经做的比较完善,但需要特别指出的是,趋势和诺顿表现不佳的原因是它们在产品设置上故意而为,它们默认病毒不会把自己隐藏的那么深。
常见压缩格式扫描
压缩文件是很常见的一种文件格式,在网络上传输的很多文件都是以不同的压缩格式进行传输的,病毒非常喜欢隐藏于其中,我们选取了11种压缩格式,即11个EICAR文件以11种压缩格式压缩,每款参测产品各扫描一次装有这11个文件的文件夹,最后从扫描报告中可以看出哪一种格式没有被检测出来。
EICAR文件是用来测试防病毒引擎是否正常工作的测试文件,世界上的大多数厂商均将EICAR文件的特征码收集到其自身的病毒库中,由于EICAR文件本身并非病毒,而且整个文件都不具备任何破坏性,所以普通用户就可以安全的通过EICAR文件来确认他们的防病毒软件是否正常工作。
压缩格式测试也是为了体现软件对不同格式的支持程度而设置的。除了比较常见的ZIP和RAR文件格式之外,我们还选取了其他9种压缩格式。在这个测试项目中,所有参测产品的表现都比较好,一些产品对某一种压缩格式不识别也是属于基本正常的。
专业性能测试后记(产品出错花絮)
如果由于参测软件出现异常退出,临时将出错文件转移至D盘后继续,待测完此款软件后恢复。异常退出明显影响了测试的进度,其中海量扫描的出错退出的次数为:
瑞星 4次;江民 9次;金山 37次(其中有一次只有重装系统才能够继续测试);微软 2次;
安博士 1次;卡巴斯基 1次;诺顿 1次(扫描到压缩文件时十个小时没有响应,硬盘灯一直亮)
瑞星“脱壳”明显在考验我们的耐心,经过四天的扫描还没有完成…
安博士打开日志文件用了6小时后还没有打开…
卡巴斯基扫描文件时失去响应,重起后C盘空间为0字节
江民安装后,网络共享目录写入异常
金山查看报告时异常退出,界面显示混乱;而且升级后变成日文(反盗版?),再次启动正常。
