瑞星卡卡安全论坛企业产品讨论区2012版瑞星杀毒软件公测专区 【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

1   1  /  1  页   跳转

【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

谁才是行为防御之王?

瑞星2012VS微 点主动防御软件2.0

横向评测导读:


测试产品:瑞星杀毒软件2012公测版、金山毒霸2012猎豹SP2.1、360杀毒3.0、江民2011、微 点主动防御2.0、卡巴斯反病毒2012、诺顿防病毒2012


之所以选择这几款软件,是本人认为这几款软件都有着非常不错的技术,有些是国内、国外的老牌杀软,有些是国产新贵。我的测试不是为了看哪款软件最好,而是为了使瑞星能够吸取其他杀软的优点,所以测试不会给出分数会在最后的总结部分写出瑞星的不足和改进建议。



测试机器配置:


主机详细配置:





虚拟机配置:







测试项目:


(
一):安装过程


1.
安装包大小


2.
安装过程


3.
软件授权


(
二):使用过程


1.
软件界面

2.资源占用(静态、动态)

3.扫描速度

4.查杀率

5.主动防御

6.防挂马、反钓鱼

7.自我保护

(三):总评与建议






转帖注明出处,谢谢





用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑dong0022 最后编辑于 2011-12-30 14:51:37
分享到:
gototop
 

回复: 【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

(一):安装过程



1.安装包大小:


星星的安装包上次测试金山时提了建议,正式版去病毒库采用7Z压缩应该可以控制到20MB左右的理想“身材”




微 点的安装包超过了100MB,主要是由于没有采用云所以需要携带大量白名单来去除误报,白名单几乎占了其一半的体积。



2.安装过程:

两者的安装过程非常相似,都是先解压—选择语言—软件协议—安装路径—安装的传统模式,这里建议瑞星改为适应潮流的一键安装模式如金山和360的,可以省去多余步骤和节省更多时间!





安装完成后瑞星无需重启,而xxx加了很多驱动所以必须重启才能生效,未来的趋势也是最好能做到首次安装无需重启。



微 点必须重启才能生效



3.软件授权:

瑞星从2011年3月18日宣布旗下个人产品全部免费
微 点免费试用90天,但网上有90天循环试用工具,还可以申请一年预升级可以说是变向免费了

(二):使用过程


1.软件界面:

瑞星在2011版以前的界面都非常的不错,可以说是国内杀软界面做的最好的厂商之一,但由于受限于当时杀毒、防毒的技术能力所以给人留下“华而不实”的印象,2010版可以说是界面和技术都达到了相当的高度,至今还有很多朋友认为2010是瑞星的巅峰之作,但2011的界面开始下滑可以说是让星迷被从头批到尾,没有一处让人满意,凌乱的布局、没经过制作的图标等等。2012版界面出来时还是有反对的声音,但我个人认为已经比2011版有所进步,界面和看人一样,仁者见仁智者见智,不可能一款UI能让所有人喜欢,只要满足绝大多数人审美观点即可。另外2012首次开放皮肤端口可以使用户进行自定义,这样或多或少也满足了一些对皮肤要求比较高用户的需求。




微 点一向不太重视界面,换来的后果就是很少人使用很多没用过的人还以为它是辅助工具,但其2.0版还是提升不少,蓝色的界面看起来还算舒服。




2.资源占用(静态、动态):


由于虚拟机的内存为512MB,所以看截图资源占用有些高,星星的资源占用一直不错,而xxx虽然进程多但也没有明显卡系统的感觉,但对于现如今动辄2G-4G的标配内存,这两款软件都无鸭梨


瑞星静态资源占用:




瑞星动态资源占用:




瑞星在资源占用方面一直优化的很不错,我的家04年的“老爷机”(单核+712MB内存,瑞星全功能2011设置全部开最高)运行的很流畅,但还是有一些朋友说卡,个人感觉这一方面是心理作用,另一方面是机器中安装软件的问题。


微 点静态资源占用:




微 点动态资源占用:




微 点的进程较多,但资源占用优化的还不错。


3.扫描速度:

扫描速度现在越来越多用户所关注,杀毒再好等个两三个小时也会让人失去耐性,瑞星以前的查杀速度较慢,主要的原因出在引擎上和没有采用云查杀和加速技术,那么2012既然打出了“频步轻云”四个字想必也必定进行了相关优化,话不多说上图




最后用了10分34秒,看下二扫呢




二扫速率明显加快了,最后39秒


微 点由于没有云,所以扫描速度没有明显变化




4查杀率:

查杀率是各项评测机构评测杀软的硬性指标,但面对病毒、木马日益频繁呈几何级的变种纷纷转头云查杀阵营,瑞星2012的最重大改变莫过于此,现在用精睿28日样本包进行测试。
说明:查杀率并不代表一切,而且测试响应时间和上报等因素也应综合考虑!


精睿样本包(50个)截图:




瑞星版本02.20(设置中已去勾扫描一年内病毒),瑞星干掉了45个,查杀率:45/50=90%非常好的成绩




处理选项也非常的丰富清除除、删除、自动上报。由于是启发报出的所以进行自动上报还是很有必要的,也是云的一大优势,如果是病毒可以立即云端更新,如果是误报也可以迅速解除。




但有一个经多次执行,总是显示删除失败,请工程师验证




微 点的扫描是被硬逼着加上去而且就是特征码+启发扫描(默认低启发)所以查杀率一般,干掉27个,查杀率27/50=54%




总体来说瑞星的查杀率不错,毕竟是第一版做云查杀,云和传统特征码+启发模式的杀软在查杀率的上差别很明显。

最后编辑dong0022 最后编辑于 2011-12-30 14:22:31
gototop
 

回复: 【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

5.主动防御:

今天测试的重头戏!
瑞星从2008版引入了主动防御的概念,那时只是超级“阉割”版的hips,09版加强了监控项目,从2010版进入巅峰,真正的行为分析。2011版继续加强了规则,单步hips(系统加固)+多步行为分析主动防御形成了自己的特色,并且成功超越xxx。但2012版砍掉了系统加固,并且木马防御也不能调节敏感度,那么就让测试来证明这个决定是对是错吧。
木马防御设置:






双击刚才扫描后剩余的样本,拦截了两个,但其中一个拦截失败,虽然拦截了但病毒进程还是成功创建并在桌面上建立了图标。






虽然提示了拦截但拦截失败,病毒成功加载










剩余样本截图:






相对来说,微 点还是更加老辣,拦截了5个,但和瑞星拦截失败的样本一样,微 点也同样做出拦截,但也拦截失败了,这就是多步行为分析的弱点对单一动作不做拦截!微 点的拦截选项做的很好,瑞星12版以前也可以对拦截进行选择但12版自动阻止,即使选择了询问处理也自动拦截,希望这里修改一下。



6.防挂马反钓鱼


两者的防挂马和反钓鱼都不是很好,尤其是瑞星,曾经的2009版以防挂马和反钓鱼成名但后期去掉了黑名单库,并集成在了防火墙上,这个决定个人觉得并不明智


7.自我保护:

其实自保保护这种测试结果不是很准确,毕竟用户平时很少碰到这种极端手法关闭杀软的病毒,即瑞星工程师说的保证杀软不被病毒结束,同级驱动对抗无意义!还是有道理的。普通的任务管理器结束、命令提示符下删除文件夹杀软厂商都做了保护,就不测试了。
但瑞星2012还是对自保做了升级,使用ARK工具sysreveal强行结束瑞星监控进程无效,自保弹窗,这在2012版之前是做不到的。其他的托盘进程和软件部署系统倒可以结束,但保证主程序不被结束还是给大家一个小小的惊喜了。







微 点的进程虽多但所有进程都不能被结束,早就看到评测说微 点的自保仅次于江民,今天试了一下确实很强,而且SSDT钩子隐藏很深。










但我个人认为瑞星的自保就目前的强度已经足够,保证主程序不被干掉就可以了,如果所有进程都保护会增大资源占用,江民自从08版引入了那个超强自保后资源占用就再也没有降下来过。


(三)总评与建议

经过和微 点2.0的横向对比测试,对瑞星2012的建议如下:



1.主动防御需要重新加强,最少应该和2011板的强度相当,个人猜测此次去掉木马防御的强度调节是为了降低误报,但还是有很多高级用户需要高级规则库,当前这个规则可以作为默认,但为了适合不同用户还是需要强度调节选项!另外测试中也看到了,只靠单独行为分析会被一些病毒穿透,再次呼吁系统加固的重新加入,瑞星的单步hips+多步行为分析很有特点拦截效果也很好,希望官方重新恢复2011版的拦截架构!


2.拦截选项需要多样化,让用户选择如阻止运行、删除、加入白名单等,这些在2011版的拦截提示选项中都有,相信重新加入难度也不大。


和微 点对比最重要的就是主动防御方面的提高,如果恢复到11版的状态加现在的云查杀,2012版从查杀到防御上就完美了。


附件附件:

文件名:主防3.jpg
下载次数:712
文件类型:image/jpeg
文件大小:
上传时间:2011-12-30 14:49:37
描述:jpg



最后编辑dong0022 最后编辑于 2011-12-31 13:59:04
gototop
 

回复: 【dong0022】瑞星2012全方位评测及建议-横评系列(二)谁才是行为防御之王?

扫描测试中没报的样本

不报样本包1:


附件: 剩余样本1.zip (2011-12-30 14:55:33, 1224.19 K)
该附件被下载次数 169





不报样本包2:


附件: 剩余样本2.rar (2011-12-30 14:55:33, 1440.23 K)
该附件被下载次数 166





不报样本包3:


附件: 剩余样本3.rar (2011-12-30 14:55:33, 988.37 K)
该附件被下载次数 166

gototop
 

回复 5F networkedition 的帖子

忘记说了 我传的样本解压密码都是virus
gototop
 

回复 7F gyfei 的帖子

其实瑞星的自定义皮肤如果能显示为半透明应该也不差
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT