欢迎来到 安全网 ! 请记住我们的网址 http://www. hack58 .Com

2005年桌面级防病毒软件横向评测

来源:eNet硅谷动力 作者:佚名 时间:2005-09-25 11:22:56
一、产品性能测评   

  磁盘空间占用评测   

  磁盘空间占用:卡巴斯基和金山明显领先于其他软件,成为了“身轻如燕”的代表。而诺顿的产品则体现出了巨无霸的态势,其系统文件夹占用居然高达16MB,已经接近其他参测软件占用量的总和了。
  
病毒软件横向评测" src="/Article/UploadPic/2005-9/2005925112125299.gif" border=0>
  

  海量文件扫描评测   

  海量文件扫描是通过模拟用户在实际使用中的硬盘分区情况,然后测试软件的实际执行效率。该项目测试基本可以体现出各个软件的实际使用性能。其中,如果软件的第二次扫描时间明显少于第一次时间,那么可以认为这个软件采用了类似“文件指纹”的技术。   

  通过测试,我们可以看出,大部分软件都使用了文件指纹技术。但从数据体现出的未采用这种技术的金山、安博士和熊猫其本身查毒效率就已经足够傲视群雄了(由于两次时间差比较短,所以不好分析熊猫是否具备文件指纹功能)。

  在扫描文件数方面,只有趋势科技采用了报告原文件数的方式,其他软件都是把压缩包或文件包内的子文件都算做扫描文件数进行报告,而诺顿用了整整12分钟,最后报告一共检查了108698个文件。

  病毒发现方面,为了真实模拟用户的操作环境,我们一共在分区中插入了三个染毒文件。国产的江民和瑞星都准确地查出了三个病毒,对于其他不能全部查出病毒的软件,我们对它们进行了补充测试,让它们直接扫描三个染毒文件,以确定究竟是本身无法识别这三种病毒还是由于病毒文件被分插在磁 盘分区中而漏掉了,所以记录表格中1/1、2/2这样的记录结果就表示“软件在海量扫描中发现的病毒数/软件在单独扫描中识别的病毒数”如果两个数字相同, 既表示该软件没有漏掉病毒。从最后的结果看来,未发现有参测软件漏掉病毒的情况出现。   

  CPU均值和内存资源占用是体现软件在进行查毒工作时对系统的影响性。虽然我们相信大部分用户在进行查毒工作时都不会做其他工作,但是如果软件占用系统资源比较少的话,那终究是件好事情。通过比照数据我们可以看出,国内三强的内存资源占用都非常少,但是CPU占用则相对较多。而趋势科技和熊猫的产品是我们在监测时发现CPU占用率最少的软件。另外,在测试时我们还发现一些无法通过数据体现的情况:所有杀毒软件检查到压缩文件时,其CPU占用率都会达到90%~100%的水平,而在检查普通文件时(比如视频、音乐、文档),CPU占用率则会回落,也就是说其实表格中记录的数值所体现的各个软件之间的差异仅是由于在扫描普通文件时CPU占用率所决定的,如果您的硬盘分区里压缩文件占绝大多数的话,那么几乎所有的软件CPU平均占用率都会攀升到90%~100%这样的高度。  

  注:文件指纹是经常应用于企业版安全产品中的技术,其主要原理是在第一次扫描时,记录下用户的文件信息,当以后再次扫描文件时,对那些没有改变的文件,就可以跳过去不扫描,以提高扫描效率,目前,这项原企业版专有的技术,已经普遍应用到了个人安全产品中。

  
  

  监控测试评测   

  监控测试:此测试检验软件的监控中心的监控能力,我们此次没有对软件普遍支持的硬盘、光盘等传统介质进行测试,而是选择测试了软件对IE、Opera、FireFox和注册表的监控情况。通过测试我们发现,软件对浏览器的支持非常好,由于所有软件都对HTTP传输进行了监控,也就是说在用户浏览网页时,当网页开始传输进用户主机中后,防病毒软件立即进行扫描,发现病毒即报警,并在网页数据传输给浏览器前进行拦截。所以我们认为在这种监控模式下,用户可以放心的使用这些主流的浏览器程序。   

  说句题外话,由于Opera和FireFox缺乏对ActiveX和Vbscript的支持,所以相对来说,用户使用这两种浏览器访问陌生站点要比IE安全些。注册表的监控为了模拟用户的实际操作,所以我们特意选择了两种方式来进行染毒实验,一种是我们双击运行带毒REG文件,另一种是在注册表编辑器里,通过导入功能导入带毒文件。显然,结果是令人满意的,所有软件都能够防止注册表感染病毒。在此我们特别奉劝那些可能经常需要向注册表中注入信息的用户(比如经常上网玩战网游戏的玩家们),最好安装一套防病毒软件。

  
  

  CPU和内存占用评测   

  CPU占用:在没有防火墙的情况下,静置五分钟后,系统中基本没有数据流传送,所以杀毒软件的监控程序处于闲置状态,CPU占用率普遍为0。   

  内存占用:在此环节,我们可以发现国内三强普遍领先于国外厂商。瑞星成为可用内存数最多的软件,而金山则是进程占用内存数最少的软件。在此有必要说明的是,国内厂商全部采用了杀毒软件与防火墙分离的策略。而国际厂商除安博士以外,全部使用了杀毒模块与防火墙模块集成在一起的策略,由于这些软件中杀毒和防火墙共用的是一个主界面,所以在进行内存测试时发现,未安装/关闭防火墙模块对软件的内存占用数值影响不是很大,在开启防火墙模块后,这些软件的内存占用约提升2~5MB。但即便考虑到这种因素,单就子程序来讲,国际厂商的防病毒进程也要比国内厂商占用更多的内存资源。
二、产品查毒测评   

  “流行病毒”库测试   

  “流行病毒”库测试:流行病毒库主要反映软件对目前正在流行的病毒的查毒能力。在该项目中,我们看到国内的传统杀毒软件厂商江民KV2005,取得了该项测试的第一名,以查毒引擎而闻名的卡巴斯基位列第二。另一方面金山毒霸在执行效率上取得第一名,安博士紧随其后。
  

  产品查毒测试   

  首先在此说明一下:查毒记录的标准类别的含义是软件在标准模式下的查毒情况,启发的含义是软件在启发状态下(也就是最高查毒状态)的查毒能力。由于江民、瑞星、趋势科技和卡巴斯基的产品默认就使用启发式查毒检测,所以这些软件在测试时,我们直接把软件的其他设置都设置为最高等级,测得的结果就直接放入启发式查毒的记录中。   

  熊猫2005钛金版不支持查毒模式,也就是说发现病毒必须处理。所以熊猫没有参加查毒测试。
  

  记录的病毒数均为软件报告的病毒数,由于在很多文件中包含不止一个病毒,所以查毒部分的数据仅表示软件查出了多少个病毒体,而并不等于软件查出了多少染毒文件。
“2004”样本测试   

  2004”样本测试:2004样本测试是我们根据去年曾经在世界范围内流行过的病毒列表整理出来的病毒样本库,该样本库是对软件查毒能力的一个补充测试。在测试结果中,我们可以看出,卡巴斯基的查毒引擎的确有其独到之处,其以压倒性优势取得该项目查毒数的胜利。而国际厂商诺顿2005以1392个病毒体的成绩紧随其后。其他厂商水平相当,差距不明显。

  来自韩国的安博士可能由于进入中国市场较晚,其查毒数量有些异常,希望安博士能够早日摆脱“水土不服”。同时,在记录中大家可以发现,金山在取得不错成绩的情况下,其查毒速度惊人,由于所有时间均为测试人员用秒表测得的,结合前面的测试我们可以看出金山毒霸的执行效率的确是相当优秀。   

  “变形病毒”测试   

  “变形病毒”测试:变形病毒测试,是通过病毒源体变形出的1000个病毒变体来考查软件对变形病毒的支持程度,如果完全查出了1000个变体的话,那么软件就通过测试。在测试结果中我们看到软件对变形病毒的支持程度非常好。但是金山和安博士由于无法识别病毒母体,也根本不可能识别出病毒的变体,所以这两个软件没有参加该项目的测试。

  
  

  压缩格式测试   

  压缩格式测试:压缩格式测试是为了体现软件对不同格式的支持程度而设置的。在此我们选择了比较常见的ZIP和RAR文件(RAR文件采用WinRAR 3.4压缩)。在常见的ZIP和RAR格式测试中,除了趋势科技以外,其他软件均完美的支持ZIP格式。而对于RAR文件,江民KV2005不幸出现了压缩率下降的情况,因为我们的RAR文件是使用新版的WinRAR压缩的,所以可能江民KV2005对这种新内核的RAR文件支持得还不太好。因为在以前的测试中,江民KV2005是可以完美支持WinRAR3.0压缩的RAR文件的。安博士在对压缩包扫描时比压缩前多报告了一个病毒体,经检验是安博士把压缩包本身也当作一个文件进行处理了,这种情况在正常接受范围之内。   

  但是,在RAR文件测试中还发现熊猫有个奇怪的问题,未压缩前熊猫可以识别1371个病毒体,而压缩成RAR文件以后,熊猫识别了1376个病毒体,显然这跟安博士的多报还不同,至于出现这种情况是什么原因,我们也很费解。
  
  

  嵌套/混合压缩 嵌套/混合压缩:嵌套压缩是测试杀毒软件对压缩格式支持的深度,测试采用全部软件都能很好支持的ZIP压缩格式来进行。混合压缩则测试压缩包对混合压缩形态文件的支持性(先把病毒压成ZIP包,然后再把这个ZIP包用WinRAR压缩)。在整个测试中,瑞星、金山、卡巴斯基和熊猫顺利地通过了全部测试。   

  江民在对高达20层的ZIP包进行扫描时出现了扫描率下降的问题。趋势科技PC-cillin2005内置了对压缩程序的缺省值(3层),虽然其技术文档表明支持20层以上的压缩层数,但是界面上未提供修改项,因此在本次测试中大于3层的压缩文件未能显示足够的处理能力。安博士的数据可能大家觉得奇怪,但是前面我们刚刚分析过,安博士应该是把每个染毒的压缩包都算做一个染毒文件来对待,那么表格中体现的数据正好是压缩包的层数与未压缩前识别数的总和。所以安博士对嵌套压缩的支持还是很优秀的,只是对于混合压缩支持得不好。诺顿在十层压缩包时出现了识别率下降的情况,而到20层的时候,已经无法识别了。
  
 

  加壳格式测试   

  加壳格式测试:加壳是通过一系列的数学运算,将可执行程序或动态连接文件的编码进行改变,以达到缩小程序体积或加密程序编码的目的。这本是很好的软件技术,但是往往都被利用在不好的方面,不过读者也不必过分担心,因为不是每个程序都可以加壳的,相当一部分病毒加壳后就无法发作了,这和编写病毒的语言以及病毒的发作机理都有关系。我们选用了四种比较流行的加壳格式进行测试,江民、趋势科技、卡巴斯基、和熊猫都能够完全支持全部加壳格式这里有必要特别指出的是,趋势科技PC-cillin2005较前一版本有了长足的进步,因为趋势科技PC-cillin2004支持的加壳种类不是很丰富,而在2005版中,大家可以看到趋势科技在过去自己弱项上的努力,瑞星、金山、安博士和诺顿在Petite方面表现不佳,而金山和安博士在WWPack32的测试中仍然不够理想。

虚警测试   

  虚警测试:该测试主要测试软件的误报情况。需要说明的是,由于我们在此所选用的测试样本本身并不是病毒而是我们收集或制作的一些近似于病毒的文件,而且仅靠这几个样本是无法全面模拟用户在实际使用中的情况的,所以,这个测试结果仅供参考。在此测试中所有软件都顺利通过了我们准备的可疑文件的测试,没有发生误报情况。随后我们又通过改变EICAR病毒引擎测试文件的编码字符串的方式来进行测试。   

  在测试中仅有熊猫2005钛金版将改变后的EICAR文件仍然识别为EICAR病毒引擎测试文件,其他软件均顺利通过测试。不过在测试中发现一个关于金山毒霸的小问题,该软件在程序主界面下对包含EICAR文件的文件夹进行扫描时,就会识别出EICAR病毒引擎测试文件,但是如果我们在资源管理器中,通过右键菜单对EICAR文件进行单个文件扫描,则金山毒霸不会把EICAR文件报告为EICAR病毒引擎测试文件,而是报告未发现任何病毒。因为前提到过,我们所使用的EICAR文件本身并不是病毒,而且考虑到EICAR文件的特殊性,所以这种现象属于软件引擎上的设定,不属于质量问题。   

  注:EICAR文件是用来测试防病毒引擎是否正常工作的测试文件,世界上的大多数厂商均将EICAR文件的特征码收集到其自身的病毒库中,由于EICAR文件本身并非病毒,而且整个文件都不具备任何破坏性,所以普通用户就可以安全的通过EICAR文件来确认他们的防病毒软件是否正常工作。在虚警测试项目中,EICAR一栏记录的数据就是参测软件是否能正常识别EICAR文件的记录。而xEICARx一栏记录的是参测软件对被测试人员改变了编码的EICAR文件的识别性,理想情况下参测软件不应该再识别出EICAR文件。
  
 

  “流行病毒”杀毒测试   

  “流行病毒”杀毒测试:在本测试中,我们让参测软件对流行病毒样本库进行杀毒,对于无法清除的病毒,我们选择让参测软件删除染毒文件。在该测试中,金山毒霸以不可超越的速度完成了整个杀毒工作,而反观在海量扫描时扫描效率No.1的熊猫2005钛金版,则以“熊猫”般的速度完成了整个杀毒工作,果真名副其实!   

  在报告发现病毒数方面,很多软件都出现了与查毒时不同的数据,这是由于部分软件的杀毒统计方式与查毒统计方式不同的缘故,属于正常现象。清除病毒方面,熊猫2005钛金版以实际清除28个病毒夺得了最高清除能力的桂冠,另外,熊猫2005钛金版还将八个病毒文件改名,这个无法在数据中体现出来,不过已经计入熊猫的最后总处理率中了。最后的总处理率方面,国内老牌杀毒厂商江民KV2005取得了最高的处理率,来自俄罗斯的卡巴斯基以微弱劣势屈居第二。

  说明:安博士由于最后报告数据不足,而且安博士清除过的病毒文件没有发生明显的变化,所以无法通过简单的方式进行统计,由于测试时间有限,我们的测试人员不可能通过校验的方式一个一个检查安博士是否真正清除了染毒文件,所以安博士的杀毒测试没有统计清除数和总处理率,仅统计了删除数。

  
 

  “2004”病毒样本杀毒测试   

  2004”病毒样本杀毒测试:在该测试中,金山毒霸2005的执行效率仍然无人可敌,其完成整个测试只用23秒,熊猫2005钛金版依旧以夸张的18分05秒“爬”完了这个测试。而在病毒实际清除数方面,金山毒霸以93个病毒清除数的绝对优势获得第一名。在无法处理文件数方面,诺顿防病毒2005有13个病毒文件无法自动处理,由于诺顿一贯采用保守的病毒删除策略(即当无法清除病毒时,先判断该文件是否为重要文件,只有诺顿认为的非重要文件它才可以删除),所以出现这种情况也很正常。  

  另外趋势科技也有8个病毒文件无法处理。熊猫在此次测试时,重命名了77个病毒,所以其实际处理的病毒总数是1206个。最后的总处理率方面,卡巴斯基没有再给其他对手任何机会,以高达96.842%的优势夺得处理率第一名。


三、产品功能测试   

  产品功能测试信息反馈能力   

  信息反馈能力:该表格体现软件的信息记录能力,其中程序信息指软件中对自身功能、状态的提示或帮助信息是否丰富,该记录由测试人员主观判断,在使用中测试人员发现,瑞星和趋势科技对自身软件的各个功能都给出了明确的提示或说明,尤其是趋势科技PC-cillin基本每个按钮、选项都给出了一定的提示信息。瑞星和趋势科技的这种软件设计方式这大大节省了新用户熟悉软件的时间,更解除了用户去翻帮助文件或查软件说明书的痛苦。   

  日志系统指软件是否记录程序运行状况和发现病毒情况的历史日志。报警指软件是否使用弹出窗口和声音进行报警。提示指软件是否对软件升级进行提示,同时可否对软件配置进行提示。

  
  

  增强功能   

  增强功能:该表格记录软件的附带功能。文件指纹前面已经解释过了,是通过软件扫描时间差别来判断的,由于熊猫差别过低,所以不好判断是否具备该功能。防火墙功能的记录中,国内厂商都在安装盘中附带了独立的防火墙程序。安博士不带防火墙程序。诺顿防病毒2005中自带一个非常简单的防火墙程序,仅能定义简单的规则,如果读者比较看重诺顿的个人防火墙的话,建议选择诺顿网络安全特警2005,其中的防火墙具有相当专业的水准。在趋势科技PC-cillin 2005中,不光加入了针对网络的防火墙,还把对Wi-Fi的支持作为一个特色功能加入进来。

  
   

  安全性测试   

  安全性测试:本列表记录的是软件自身的安全性。密码保护部分,四个子栏目的含义分别是当软件设置密码后:使用——在用户使用时是否需要输入密码。改变——想要改变软件设置时是否需要输入密码。关闭——关闭软件时是否需要密码。卸载——卸载软件时,是否需要密码。   

  补充说明:趋势科技和卡巴斯基卸载软件时必须先关闭软件程序,而如果设置了密码的话,那么关闭软件时需要输入密码,这也就等同于卸载软件时需要密码。我们在测试的时候发现安博士的程序运行时,如果选择卸载软件,那么当卸载进行到一半时,将会自动重新启动计算机,相当于按了机箱上的重启按钮,目前尚无法确认该问题的起因。另外,卡巴斯基在设置密码后,想要进入程序界面就必须输入密码,所以也等同于在改变设置时需要输入密码。
  
  

  监控定制   

  监控定制:该表格记录软件监控中心的可配置性
  
  

  查杀配置   

  查杀配置:该表格体现软件在查杀功能方面的可配置性。

  

  辅助功能的评测

  其他辅助功能的评测,包括:安装重启动,卸载重启动,IE修复,辅助帮助精灵。