欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

2009~2010年度:9款主流杀毒软件综合性能评测

来源:转载 作者:佚名 时间:2010-03-16 TAG: 我要投稿
病毒泛滥,用户在挑选杀毒软件时十分迷茫,到底选择什么杀毒软件好?免费杀毒软件可以选择?哪些杀毒软件值得掏钱?为了给广大用户一个直观的对比,我们选择了当前市场上9款主流的杀毒软件进行横向评测。
 
测试项目
本次测试,我们根据用户使用杀毒软件的实际情况,将评测分为基础测试、特色功能评测和防挂马测试三部分。
基础测试:主要测试杀毒软件的基本能力,包括病毒查杀、扫描时间、安装情况、闲时内存占用、续值是不是方便等。
防挂马测试:我们准备了10个挂马网站,登录这项网站看杀毒软件是不是能进行拦截。如果出现发现网站被挂马但却未能拦截的情况,需要特别进行说明。
 
测试平台
平台:笔记本电脑
CPU:双核 1.73GHz
内存:1GB
硬盘:120 GB
浏览器:GreenBrowser
操作系统:Windows 7
测试要求:所有杀毒软件默认安装测试所有项目
注:由于IE 8具有对部分挂马代码有拦截能力,为了排除浏览器的影响,我们没有使用Windows 7自带的浏览器IE 8。此外,登录Windows 7时,我们用的是系统管理员身份,拥有足够多的权限,排除了木马因为权限不够不能运行的情况。
参评软件
1.卡巴斯基全功能安全软件2010(简称卡巴斯基)
2. ESET NOD32安全套装4(简称NOD32)
3.金山毒霸极速版(简称金山)
4.瑞星全功能安全软件2010(简称瑞星)
5.江民杀毒软件KV2010(简称江民)
6.360杀毒软件(简称360)
7.微软安全套装MSE(简称微软MSE)
8.安天木马防线2009(简称安天)
9.诺顿防病毒软件2010(简称诺顿)
注:在评测开始时,金山毒霸2010和安全木马防线2010还没有正式定型,所以没有参加评测,故使用的是金山毒霸极速版和安天木马防线2009替代,其中安天木马防线2009虽然嵌入了锐甲的功能,但并不完整,这个问题在2010版已经解决。根据国情,评测的微软的MSE是中文最新版而不是英文最新版。
杀毒软件主要功能
金山毒霸极速版
安天木马防线2009
 
安天最大的好处是可以跟其他杀毒软件兼容,例如卡巴斯基、瑞星、Nod32等,相当于第二道防线。该软件是靠查杀木马起家的,在网页木马抵御上面有很深的造诣。该软件在界面中有一个“工具合集”选项,可以下载使用安天提供的多种免费安全辅助工具。
诺顿防病毒软件2010
360杀毒软件
       微软安全套装MSE
ESET NOD32安全套装4
 
NOD32可以对 HTTPS 及 POP3S 等SSL加密通讯协议进行检查,在闪存插上时会扫描 Autorun.inf 及其相关文件,此外该软件在游戏全屏模式下弹出窗口时,不会退出全屏模式。
安全小百科:病毒如何通过闪存传播?
瑞星全功能安全软件2010
瑞星提供了三种模式对不同人群提供不同等级的防护,家庭模式是为用户自动处理安全问题,专业模式是让用户拥有对安全事件的处理权,交易模式是满足用户进行炒股、网银交易等特殊环境时的安全需求。此外,在“工具”选项中,用户可以选择瑞星的安全辅助工具。
江民杀毒软件KV2010
 
江民增强了主动防御沙盒模式,增强了虚拟机脱壳,新增了扫描第三方软件漏洞并自动修复的功能。软件盒中搭配电脑系统保护程序,主要用途为恢复系统和保护数据。此外,在“工具”选项中,用户可以选择江民的安全辅助工具。
安全小百科:什么是沙盒?
沙盒(sandbox)又名为沙箱,它是一种虚拟技术,通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,而这不会对系统造成任何危害。
卡巴斯基全功能安全软件2010
卡巴斯基增强了文件和账号安全的保护能力,安全中心新增了“安全免疫区”功能,该功能模拟了一个虚拟环境,在该环境中运行程序即使激活病毒也不会对真实的电脑造成影响。此外,在“工具中心”选项中,用户可以选择家长控制、虚拟键盘等功能。
 

 
特色功能
额外的配套辅助工具
金山
省电设计、禁止闪存和硬盘自动运行
金山网盾
安天
跟其他杀毒软件兼容
锐甲
诺顿
下载文件智能分析
 
360
游戏免打扰功能
360安全浏览器、360安全卫士
微软
可以通过该软件创建系统还原点
 
NOD32
对加密通讯协议进行检查
 
瑞星
对不同人群提供不同等级的安全防护
瑞星卡卡、账号保险柜
江民
主动防御有沙盒模式
恶意网址过滤
卡巴斯基
有安全免疫区 多了隐私保护功能
 

 
 
设计贴近用户习惯
根据我们测试,我们发现杀毒软件有几个特征:安装上追求简便、续值上方便和界面追求清爽。
安装简便:对广大普通用户而言,杀毒软件安装时越简便越好,大多数杀毒软件在这方面都做的很好,一路“NEXT”或者“下一步”就可以了。不过,还是有部分杀毒软件在安装过程中需要额外的操作,微软安全套装MSE在安装过程中需要对系统进行正版验证;NOD32和瑞星在安装过程中需要进行一些简单的设置,但不影响用户安装软件。
续值方便:微软MSE和360杀毒软件是免费的,不用考虑续值问题,其他软件是收费的,不过续值都非常方便,在软件界面上可以很方便的找到续值的链接或者按钮。此外杀毒软件使用期快到时,一般都会进行续费提示。
  
界面清爽:杀毒软件的界面都在追求清爽的效果,功能布局简洁美观;有的杀毒软件还可以更换皮肤,例如江民、瑞星;诺顿的界面比较华丽,能方便看到杀毒软件本身对系统资源的占用情况。
 
闲时内存占用普通较低
测试方法:测试杀毒软件静态占用内存,是在不操作笔记本电脑的情况下,在5分钟内随机3次读取杀毒软件的内存占用数据,如果3次读数的误差不超过0.5MB,就认为抽样读数合格,杀毒软件运行平稳,然后取这3次合格数据的平均值,正式记录杀毒软件闲时的内存占用情况。
特别说明:内存占用和监控力度成正比的,监控严密内存占用就较高,所以两者不能兼顾,用户要根据自己电脑的实际情况进行选择。
测试结果:从这9款杀毒软件的内存占用情况来看,各大反病毒厂商都在尽力减少产品占用内存资源上做了较大努力,闲时内存占用从以往年份平均30MB~50MB的水平,优化到现在平均10MB~30MB的水平。在空闲的情况下,微软MSE、诺顿占用的内存非常低,仅有5MB左右,最低的是360,内存占用仅有1MB左右。
杀毒软件
闲时内存占用
金山
17.5MB
安天
23MB
诺顿
5MB
360
1.7MB
微软
4MB
NOD32
43MB
瑞星
12MB
江民
38MB
卡巴斯基
19MB
安全小百科:为什么杀毒软件有多个进程?
一般来说杀毒软件在系统中起保护作用时,会采用多个模块实现不同的功能,一些是进行实时监控,一些是界面程序。在一些杀毒软件中为了防止病毒强行关闭杀毒软件,也会采用多个进程互相监控的方式增强自身强壮度,当一个进程关闭后,监控的进程就会重新启动这个进程。这也是为什么杀毒软件的进程不止一个的道理。
 
 
查病毒各显本事
测试方法:使用杀毒软件对1GB的文件夹进行扫描,统计出扫描时,看看哪款杀毒软件的扫描速度比较快。1GB文件夹里面包含电视剧、软件、音乐等普通用户电脑中常见的资源。
使用杀毒软件扫描病毒包,此次测试用的病毒全部是来自国内且曾经爆发过的病毒,此外我们还对病毒进行过筛选,全部病毒都是2009制造的,收集日期从1月1日持续到11月30日,中间没有掺杂老病毒。
病毒包收录了1000个病毒,其中木马类占85%,间谍软件类占5%,广告软件类为10%。病毒包中半数以上病毒具备通过闪存、移动硬盘传播的能力。广告软件类病毒所占比重不小,这个是我们特别考虑过的,今年出现了很多此类病毒的变种,造成了很恶劣的影响。
本次测试的病毒包主要有两个特点,一个特点是存在拥有免杀能力的病毒,约占总数的20%,一般免杀主要针对市场占有率高的杀毒软件,所以像瑞星等高市场占有率的杀毒软件会比较吃亏,在测试时我们酌情考虑。另外一个特点就是变种多,这个和病毒的发展趋势有关。变种多就容易出现漏杀的情况,特别是国外的软件在这方面比较吃亏,例如微软MSE等,在测试时我们酌情考虑。
安全小百科:什么是免杀病毒?
病毒为了骗过某款或者几款杀毒软件时,会通过在病毒代码中加头或者加尾的方式伪装成非病毒程序,蒙骗杀毒软件对自身的扫描。病毒在免杀处理中最常用的就是加壳、加花的方式,伪装自己为无害的程序。
测试结果:9款杀毒软件在扫描时间上相差不过几十秒,在可以接受的范围内,其中
卡巴斯基、360和NOD32的病毒查杀成绩不错,特别是对免杀病毒和变种病毒的发现和清除表现得都非常好,排在第一梯队,紧随其后的是江民、安天、诺顿、金山,他们的表现都不俗,其他杀毒软件的表现也都在正常范围之内。
 
   
 
杀毒能力
金山
★★★★
安天
★★★★
诺顿
★★★★
360
★★★★☆
微软
★★★☆
NOD32
★★★★☆
瑞星
★★★☆
江民
★★★★
卡巴斯基
★★★★☆
安全小百科:为什么病毒要重启后才能被清除?
有些病毒会感染系统的关键进程,当杀毒软件查出病毒后却因为无法对正在运行的系统关键进程进行杀毒操作。此时杀毒软件就会提示重启后才能清除病毒。当系统重启后,杀毒软件会在系统关键进程之前启动,在病毒注入到系统关键进程之前将病毒清除。
 
防挂马能力都需加强
测试网站:我们从网上随机挑选10个挂马网页,这些网站在12月10号被挂马,在12月11日早上测试全部有效。在测试之前,我们GHOSHT系统,然后一一打开这10个恶意网页,看杀毒软件是否能够发现问题并进行拦截,记录测试结果(注:测试时采用用系统管理员登录模式,同时不使用IE 8浏览器)。
测试终止条件:杀毒软件被禁用并无法重启软件,或者系统被破坏无法使用。满足任一条件我们就终止测试。需要说明的是,如果杀毒软件没有拦截病毒,但杀毒软件还能运行、系统没有明显异常,我们仍然继续测试。如果杀毒软件发现病毒,但没有成功拦截病毒,在测试结果中会特别注明。
危害说明:我们特意在XP系统中测试恶意网站,逐次打开所有的恶意网站,系统中毒了,其中有下载类病毒,导致XP系统非常缓慢,各种盗号病毒进入电脑中,这些病毒会窃取用户的个人账号和密码。
测试结果:有的时候黑客会诱使用户点击某个链接直接下载网页木马或者病毒下载器直接从网上下载病毒,所以针对这种情况我们在浏览器中直接输入网页木马进行测试。从测试结果看,大部分杀毒软件是默认用户下载,而少部分杀毒软件在下载前先进行了初步安全判断,相对而言,卡巴斯基和NOD32表现较好。
 
在更多的情况下,用户是访问挂马网站激活了网页木马而中毒的。我们直接登录挂马网站进行测试,发现杀毒软件整体而言表现得不是很理想,相对而言,瑞星、金山、卡巴斯基和安天表现较好,都有一定的拦截能力(拦截率在50%以上),可以在较大程度上保护用户安全。
但整体来看,在防挂马测试中,没有一款杀毒软件能百分之一百拦截挂马网站,可见杀毒软件整体还需要加强防挂马的能力。另外,我们也建议用户在使用杀毒软件时,可以配合一些安全辅助工具使用,以确保达到最大的安全效果,例如瑞星和卡卡上网助手、金山和金山网盾、卡巴斯基和安天、360三件套(杀毒软件、安全浏览器和安全卫士)。
 
安全小百科:网页挂马为什么难防?
网页木马难防,主要有两个原因,一个原因是它们利用用户电脑中的各式各样的漏洞偷偷潜入。以前用的最多的是系统漏洞,现在主流的都是第三方软件漏洞,因为很多用户都没有软件打安全补丁的习惯。第二个原因木马在变成网页木马之前,一般都会用加花、加壳等手段进行了免杀处理,会针对杀毒软件进行特别的处理。所以,网页木马才如此难缠。
 
总结
通过整个测试,我们可以发现杀毒软件的一些共同的发展趋势:安装简便,不让用户做过多的操作;软件不需要进行什么设置就可以满足主要的安全需求;界面清爽、让用户一目了然的知道软件的主要功能;内存占用少,在考虑监控的同时尽量减少内存占用;增强防挂马能力,防挂马这个领域虽然受到了杀毒软件厂商的足够重视,但从测试结果中可以看出。拦截网页木马的能力还需要加强。
测试的9款杀毒软件各有千秋,例如卡巴斯基、360、NOD32杀毒能力强劲,360、微软MSE、诺顿内存占用低,卡巴斯基、诺顿、江民扫描时间较少,金山、瑞星、卡巴斯基和安天拦截网页木马的功能不俗等。
当前网络安全形势比较复杂,杀毒软件仅仅防范挂马网站、与盗号病毒博弈是仅仅不够的,还有一个安全威胁被忽视了,那就是涉及股票和网银交易的诈骗网站,这些网站在网上大肆行骗,无数用户被骗。
所以,我们额外进行了诈骗网站的测试,主要都是股票诈骗网站和假淘宝网站,结果不尽如人意。虽然一些浏览器、一些安全辅助工具可以屏蔽这些网站,但是作为用户安全的保护神的杀毒软件同样不应该忽视这个部分。希望在下一个版本中,杀毒软件厂商可以增加屏蔽股票、交易类诈骗网站的功能。
解决电脑安全问题,杀毒软件固然重要,但最根本的还是用户的电脑使用习惯,如果用户关闭了系统自动播放功能,平时上的网站比较固定且都是大型网站,中毒的几率是非常小的。此外,用户还可以升级系统到Windows 7,使用普通登录模式,该模式的权限较低,大多数病毒无法运行。
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载