标题: 【转帖】我对各杀软的评价(精细分析) [打印本页] 作者: 竹木刀 时间: 2008-1-25 23:28 标题: 【转帖】我对各杀软的评价(精细分析) 看了很多技术性分析的文章,我觉得不要老是争来争去,各个杀软都有他的好,没说谁的就好谁的就不好,如果这样,不好的不就不用DO了????..那么多杀软,是让大家有选择,什么人使用,什么样的机子,就用什么杀软,如果就是游戏玩家,NOD32+网游保镖或AVG正版就足够.(平时就开两个是完全不卡的!用网游保镖是因为NOD对国内木马反应太慢,这方面也比较垃圾,这如果是企业,当然不能这么就算了. . i2 I2 k7 C. A. B8 d: H5 C5 @9 r心急,不想麻烦的人就别用卡巴等杀软了. 0 E! t9 a- f+ X" H) C
非常怕给盗号和病毒的就应该应用一些杀壳能力好的杀软啦..~~~ & t) @4 _: K6 p4 S3 ~, N& K' ~# O. f1 Z& x% i) a. ]: H$ E+ a# d7 N
下面对各杀软进行我的评价,说明:本文是自我意见+上一些测试+一些技术性分析文章,本人绝对不保证我说的全部正确,错了请大家指正,但别骂我,文明聊天! : b8 I1 I, Z" Q8 B- T* X' p' i在介绍之前,先简单结合自己的理解和引用一些文章,来说点技术性的知识: x0 e; V; }5 J* G/ f; A`杀毒软件引擎与病毒库的关系 % M6 t% X: N- u3 k& V) Q& A: h $ q2 S) y# j7 n" `4 ?. f其实病毒库与杀毒引擎没有直接的关系,杀毒引擎的任务和功能非常简单,就是对指定的文件或者程序进行判断其是否合法。而病毒库,只不过是对杀毒引擎的一种补充,也就是说:“我们没有足够聪明的杀毒引擎来完成这个过程”,那个过程,就是杀毒引擎对文件或者程序判断。明白这一点,就应该知道,好的杀毒软件,重要在引擎的优秀,病毒库只不过是补充,而且病毒库越大,杀毒速度肯定会降低。因为病毒库杀毒的过程,是引擎把判断能力交给病毒库,用病毒库与指定的文件进行对比判断。 " w7 F) i, i1 I2 l& }
7 w, D! {$ G, O+ O! i; B0 V
现在很多人反应,为什么号都给盗了杀软还查不出病毒?这是因为病毒+了壳的原因,壳出了这么久,还是有很多杀软不能查出,这就是一个众大的隐患!...什么是+壳??技术性的话语我就不说了,简单说,就是利用一种技术,把文件的特征码改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到保护的作用. : \ I5 i+ B$ }
b9 D- V: }- q0 |3 A9 h9 u& G4 e
如何判断一个可执行文件是否被加了壳呢?有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件,如果能看到软件的提示信息则一般是未加壳的,如果完全是乱码,则多半是被加壳的。我们还可以使用一款叫做Fileinfo的工具来查看文件具体加的是什么壳。目前,较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等。 3 q7 \' Z8 ]8 ]0 e5 V# f/ n/ S* B4 _$ e( C4 K$ r& O1 q& `- g
为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同.(这句我刚才说过,好象有点废话~~) 7 m) |, u8 t$ U: g* {/ f: j) e$ p
+ ^! S0 P7 _. ?$ R4 y3 O$ p* f脱壳能力不强的杀毒软件,对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳,则对于这些杀毒软件来说又是一种新的病毒,必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强,则可以先将病毒文件脱壳,再进行查杀,这样只需要一条记录就可以对这些病毒通杀,不仅减小杀毒软件对系统资源的占用,同时大大提升了其查杀病毒的能力。 ( k9 s: u- K; k6 W" H N# \ M, c1 r$ b% o; x2 K# s# W( I: z) b0 D
脱壳 8 d$ `# N# F G2 x7 X' q马甲”能穿也能脱。相应的,有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法:硬脱壳和动态脱壳。 1 U+ b+ n; [% M6 c
/ h" o5 Z. S2 u y. u/ F
第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。由于,目前很多“壳”均带有加密、变形的特点,每次加壳生成的代码都不一样。硬脱壳对此无能为力,但由于其技术门槛较低,仍然被一些杀毒软件所使用。 2 l6 Y9 S% B E" k, ]: ]! @, U6 I, T0 v
第二种,是动态脱壳。由于加壳的程序运行时必须还原成原始形态,即加壳程序会在运行时自行脱掉“马甲”。目前,有一种脱壳方式是抓取(Dump)内存中的镜像,再重构成标准的执行文件。相比硬脱壳方法,这种脱壳方法对自行加密、变形的壳处理效果更好。 # I) w, J6 ]" s, H
. L# Y! P3 {! q+ N
虚拟机脱壳引擎(VUE)技术 4 e/ T. W: E" d" T: Q8 D- k3 g1 ^
+ ]+ ], Y& s$ Z对于病毒,如果让其运行,则用户计算机就会被病毒感染。因此,一种新的思路被提出,即给病毒构造一个仿真的环境,诱骗病毒自己脱掉“马甲”。并且“虚拟环境”和用户的计算机隔离,病毒在虚拟机的操作不会对用户计算机有任何的影响。 ) {( e& q+ t3 r 4 B" i+ P, O7 |" E, c“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难,即使有雄厚的研发实力,也未必能在短时间内达到实用的程度。 ( ?* ?/ [. I% F
. L" |: G, e" s. @
启发试杀毒(启发式代码扫描技术) . I9 \2 [% v0 X% O' h
3 ]5 s% @9 w6 K
启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。” 5 P! C. T; r. F% k2 n启发式杀毒代表着未来反病毒技术发展的必然趋势,具备某种人工智能特点的反毒技术,向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势,必将得到普遍的应用和迅速的发展。资料显示,目前国际上最著名的排名在前五名的反病毒软件产品均声称应用了这项技术,从来自不同机构和出处的评测结果来看,纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解),已能达到80%以上的病毒检出率, 4 Z [1 s; H. F3 x& ? m* @+ S而其误报率极易控制在0.1%之下,这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说,是不可想象的,一次质的飞跃。在新病毒,新变种层出不穷,病毒数量不断激增的今天,这种新技术的产生和应用更具有特殊的重要意义。 (简单说明,就是通过这种技术,对一个行为进行分析,看是否可以可疑,从而判断的,这种方法,不但速度快,占用资源少,更是能查杀未知病毒,虽然有误报,但一般不会可疑的给杀了.这种方法的应用,明显可以不那么依赖病毒库了) 1 i# s7 s. m7 J& b" o1 Z6 p! V8 b5 C, }4 @. I
/ M, g1 w( k: i) d
杀毒引擎介绍 $ [7 ~# f" f7 R4 y & @ ]5 V( S. x4 C+ { y5 v3 `1.诺顿:诺顿的引擎采用了系统最底层的核心驱动方式,应该说是最安全、最高级、最稳定的方式,但是需要微软的系统核心代码,如果说系统工作的步骤是3-2-1,那么诺顿便是这种方式工作。 8 S( }2 h3 E7 C) S
) [# g# s4 v8 d, F: U
+ u9 e. h% e V2.McAfee:咖啡的工作方式相对与诺顿,叫做硬件虚拟层,3-2-1-1-2,其他的绝大多数是3-2-1-1-2-3咖啡采用启发式杀毒+虚拟脱壳,启发和虚拟技术是非常高的。 5 I/ x1 n/ K/ x* q 3 S& z# l- G2 e/ ~* W( |主要能力放在防毒上,也用了虚拟脱壳技术,基本所有壳都可以干掉,现在知道为什么它这么火了吧,北斗的壳,我不知道能不能干掉,但它的虚拟技术没有DR.WEB的好,用加密XTA算法(基本与DES一样很难破解)写的病毒,它和卡巴就都废掉了。 4 A% K+ t" @0 [& m+ k' L 5 v; F q( e& \% f: n' q. @$ [& S $ u% H0 T0 `. P0 t3.熊猫:西班牙的东东,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大 " _6 k6 e2 V% f9 B" c# T8 J. a9 Q7 l7 x9 l
4.卡巴:废话不用了吧?还很不错的,为什么会被木马当为客星就是这个道理 % D( r% q# X, I8 N( O6 q7 r2 h5 M8 p, @8 u, \ K. L
5.Dr.Web:俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。 4 t$ S* ?6 o9 d6 }- O7 i3 b2 G' b4 D2 c/ {' ~( A
2 H t. o( k! V E) c& S. tDR.WEB:这个软件不是很多人认识吧?蜘蛛是世界第一的杀毒引擎,我觉得这毫无疑问!他的启发式扫描技术和虚拟脱壳技术都是第一的,到现在,没一个壳可以绕过蜘蛛!也曾是1994年第一个可以根除OneHalf病毒的杀毒软件。另外,2006年末和07年初最猖狂的熊猫烧香病毒,灭掉了卡巴、咖啡、诺顿、冰刃、江民、瑞星等等几乎所有的著名杀毒软件和辅助工具,而Dr.Web及采用Dr.Web引擎的驱逐舰(这个只是假蜘蛛,后面再解释)杀毒软件,由于其引擎的优越性,是很少几个没有被病毒关闭的著名杀软。卡巴都不能比,不信大家去试试..他能完全清除复杂的病毒和壳,监控占用超小,完全没感觉,什么机都不会觉得卡,而且非常牛...这个软件大家都忽略了,是很厉害的,但到现在都没中文版,只有汉化,KEY也非常珍贵,不过英文倒是很容易..呵呵..如果你觉得我说得不对,你说在世界排名没见过他,那你就可以拿只扫把+个西瓜皮去打俄罗斯吧...如果连军方机密都保护不了,那能干个毛?DR.WEB很少参加比赛,因为他只为技术不为名誉,你何曾见过他卖过广告?好东西自然就有人懂得欣赏..这个我个人强力推荐.呵呵,就算不使用也可以装个绿色版的,有空就拿来杀杀~还是不错的..(补一句,DR.WEB牛逼到什么程度知道吗?他看不入眼的病毒他是不会放入病毒库的,也不报毒,那是不是就不能杀呢?不是,只要那些病毒一接触就马上给干掉了~牛吧..) + E# N& k' e. U$ H
7 W J5 \! f- H- q
"还有,我想大家肯定知道360safe和qqkav这个2个软件,它们在蜘蛛的扫猫结果中,是被列为病毒的范畴!360safe我个人肯定不会去用,也不了解,但我想周XX那个家伙在其中做点龌龊行为,一点都不奇怪!杀掉的原因,我想跟qqkav的原因差不多。 + K6 N9 C# D! S, L6 D0 P0 R' M' a N那么qqkav呢?它是有此我用蜘蛛扫D盘的时候就把它干掉了。技术角度讲,qqkav肯定要加壳来防止被病毒破坏,虽然qqkav处理某些qq病毒还算可以,但是它本身却也恶意捆绑浏览器主页,说它是病毒便是理所索应当的了。这点来看,qqkav的丑恶行为没能骗过蜘蛛虚拟脱壳技术,但是其他杀软都无法达到蜘蛛的水平,至少同样是启发式扫描+虚拟脱壳技术的McAfee,却没能判断qqkav是病毒。而卡巴跟360safe的关系,就更不用说报毒了。 "(这是引自网友的解释~~我个人觉得360很好,虽然有点那个,但还是不错的,功能不错,但就是开有点卡,他那个监控也没什么用``) / x ?* Q8 t7 S8 S- O) a* A* j" F
8 o" Y# R3 o' j2 x"看来做龌龊行为还想要挂完美的牌坊,除非把你的加壳能力做到可以绕过蜘蛛!" 1 u- Q8 J) j7 u, ^" i2 y4 b) O$ K% J3 ~. G2 ]* [! @9 L: G0 d
) j( P4 [6 h y
卡巴:我为什么第2个说呢?我怕给卡巴迷骂,因为卡巴迷骂人是最牛的!我见识多了..卡巴杀毒和杀壳,病毒反应(包括变种)的能力,我是绝对承认的..在6.0出版后,也改进了不少,我用过,还不错,没以前那么卡,但相比5.0,杀毒速度更慢..汗...这个软件还是相对比较卡的,建议需要高级保护的用户使用.但不怕死也说一句了,他就算再牛也比不上DR.WEB的,因为DR是世界级的超专家,而卡巴是一些狂热人员研制的~ 3 t+ m, S" S) _6 v0 [7 f! r8 f# p: B
杀毒方式:卡巴杀毒的方式,第一依据不是文件或者程序行为的判断,而是病毒库。卡巴病毒库非常的优秀,病毒库与引擎结合的也非常好,但是感觉卡巴太过依赖他的病毒库了,强势的地方反而是缺陷。所以,他的脱壳能力,有的时候却不如咖啡!卡巴的拥护者可能不愿承认,但事实不可否认!综合来说,卡巴的杀毒能力仅弱于蜘蛛,其他的包括卡巴的模仿者都还要差点火候! 7 v1 L! Y% v, G- z( @ W/ L* R监控能力:卡巴的后台监控能力弱,这是不可否认的。比如开启迅雷等下载工具的监控,一个含有病毒的压缩包下载后就会被卡巴删除。但是如果关闭卡巴的下载后扫描,压缩病毒包下载到硬盘后,卡巴的监控就差了很多,可能你会很容易把病毒解压出来,或者双击运行病毒文件,卡巴都没法组织病毒发作,只能是这时候发现病毒,怎么办?这时候才是真正的卡巴斯基,杀毒!所以,卡巴更适合玩家,对于有重要资料的人,并不太适合! - X1 e) k9 }# A% y! p2 y+ G资源占用:卡巴占用系统资源实在太多了,网上有些人似乎不承认,认为自己优化一下就没问题。但是任何事情都是相对的。在一台纯净的系统上,安装卡巴斯基后,不管你怎么优化,只要主监控打开,你去对比纯净系统看PF值增加,我想不承认卡巴浪费资源的人会闭嘴的! 2 v+ [ j6 Q4 B% y9 h
% ^6 b \! x- n8 W9 _& g" j* O
McAfee(迈克菲,俗称咖啡或麦咖啡) :这个杀软我一认识就是一个感觉:口碑超好..他有些是免费的,而且监控也一流!杀壳能力诺顿一样(在一个杀壳测试中,他和诺顿并列第2)~~~我感觉还不错,这个软件还是好滴..那时候我放弃是为了试别的杀软.. ( n j3 O7 l0 q. h Z" L
3 E0 u, Y, W. Y0 [单纯从虚拟机技术上说,瑞星的VM是很不错的,但从杀毒产品上来说,比较失败。瑞星当初为了对付以后可能存在的加壳病毒而研究虚拟机,应该说是比较有眼光和远见的,但经过多年直到今日,这个庞大的脱壳虚拟机只是为了应付商业宣传,从具体杀毒效果上来说,对上,比不过卡巴的脱壳引擎,比如卡巴基本是静态脱壳,速度极快、脱壳类型极多、且这个引擎与他们自身病毒库高度结合;也不比木马克星之类的末流木马查杀工具,因为当前木马病毒技术含量急速下降,外加某些特定原因,造成事实上大量传播的危害性木马采用同种文件体,也就是说查杀时候甚至不需要脱壳(即使他们本身有壳)。反观瑞星这个虚拟机模块,不仅臃肿,而且速度不够快,且仅能对付一般的压缩壳,数年时间闭关研制这个所谓的高级技术,也导致该模块与病毒库之间的脱节、耦合性非常差。 2 k& `: D- m0 z1 C8 j_______________________________________________________________________________________ 2 C. D* t. i$ |9 g# n