2005年桌面级防病毒软件横向评测

作者：离子翼信息安全实验室

欢迎访问e展厅 展厅 4 电脑/软件/周边产品展厅 瘦客户机, 机架服务器, 塔式服务器, 刀片服务器, 商用电脑, ... “拥有武装的先知都胜利了，没有武装的先知都灭亡了”。 当时间迈入到2005年，我们一如往常般发现信息安全领域并没有随着新年的钟声而变得平静，虽然连软件巨人都拿起了Windows XP SP2这个武器向越来越肆虐的病毒和黑客们宣战，但是走过了这个喧嚣的冬天，我们仍然看不到春暖花开的安详景象。黑与白向来都是对立的，在这个由智慧决定一切的领域，破坏者与卫士的战斗从未停息过，我们不知道这是否像是《MATRIX3》中表达出的一种秩序的平衡，然而我们都很清楚，在不同信念的引导下，双方将会终其一生地战斗下去。其实战争早在1983年就已经打响了，惟一遗憾的是……直到现在我们仍然不是在欣赏战争纪录片。 今天，你已经被迫参战了，准备好武器了吗？ 2005年病毒趋势大纪事 首先让我们把时光回溯到2004年10月，通过全球病毒网监测报告，我们发现流行时间长达五年之久的CIH家族最后幸存的一个变种CIH.1003也潸然退出了全球性流行病毒名单，从那时起，我们只能到某些国家提交的地区性病毒列表里去寻找它们的身影了。见证了信息安全领域重大变迁的CIH淡出了我们的视线，而同样是这份名单，我们看到了更多熟悉的面孔，冲击波、求职信、Mydoom、小邮差等等…… 当我们把台历翻到今天，曾经的新贵们也已是黯然失色。从光盘、软盘等存储介质传播到网络传播，应该算是病毒传播方式上的一场革命，而现在随着2005年宽带网络浪潮的推进，今日的病毒已经不局限于电子邮件附件这一通道，它们正通过更广泛的途径威胁着我们信息数据的安全。即时通讯、网络媒体漏洞、P2P共享，新兴的领域到处可见病毒的身影。曾经叱咤风云的系统病毒现如今已经被木马、蠕虫和脚本病毒所取代，我们看到的网页、下载的程序、收到的邮件以及在P2P软件中下载的电影、文档、图片，包括浏览QQ好友发来的网址都有可能使我们的机器感染病毒。 2005年的病毒，或者更确切地说，宽带网络浪潮推动下的新网络时代，病毒的传播将更加广泛，并且病毒的种类将更复杂，病毒制作者们正在密切关注着他们可能利用的一切漏洞、可以使用的任何传播方法，他们在努力捕捉着电脑的所有端口，耐心等待着进行一场“屠杀”的机会…… 我在等待什吗？难道等待着黑客们将手伸向我的电脑窃取其中的机密资料、用我的账号上网、盗取我的银行卡账号疯狂购物吗？或许，我可以选择一款可以对系统提供安全保障的防病毒软件，解决这些问题。 我们是如何评测的 硬件评测环境 CPU AMD 闪龙 2200+ 内存 256MB DDR400 主板 nForce 2 硬盘 西部数据 80GB/7200/2MB 软件评测环境 本次测试选择了Windows XP平台，并且系统已经加装了Windows XP SP2补丁，在测试主机中，仅安装了操作系统和参测软件，无任何其他程序。 参测软件情况 以下软件统一在2005.3.29日21:00～23:00之间升级 江民KV2005 AAA　引擎版本9.00.505 瑞星2005 病毒库版本17.20.12 金山毒霸2005 主程序2005.3.15.1714　 查毒引擎2004.10.25.57　病毒库2005.3.29.15 安博士V3 2005　引擎日期2005.03.29.01 趋势科技PC-cillin2005 程序12.0.1389　引擎7.510.1002　病毒库2.522.00 卡巴斯基反病毒单机版5.0.227　标准病毒库2005-3-29 诺顿防病毒2005　病毒定义2005-3-25　(我们在29日升级后，诺顿显示的病毒定义时间就是25日) 熊猫2005钛金版　病毒库4.01.02 原计划还打算对McAfee 2005的杀毒模块进行测试，但是由于McAfee 2005个人版为英文版，与中文Windows XP操作系统有冲突，在安装后系统即报错；开启监控中心时，CPU占用率始终高达100%，因此，我们不得不放弃了对McAfee的测试计划。 病毒库常识 “zoo”为大范围病毒库，其中包含蠕虫、脚本、木马、系统病毒等主要种类的病毒，但不包含已经基本退出历史舞台的DOS病毒。“流行病毒库”中共包含228个当前处于流行状态的病毒样本。“2004”为2004年流行病毒库，包含1520个病毒样本。 注：由于测试使用的样本取自多种途径，仅仅是病毒样本而已，并非具有传染性的活体病毒，因此并不能保证每个病毒样本都是完整、有效的，我们只能尽力提高病毒库的纯度。基于以上原因，在查毒和杀毒测试中，没有参测软件能够达到100％的查杀率，这点希望广大读者正确理解。 海量扫描环境 空间5.2GB，文件总数22013个，其中病毒文件数三个。包含游戏、软件、电影、音乐、程序安装文件及图片和网页等常见文件。其中插入了三个已经感染了病毒的文件，测试过程中所有时间数据均用秒表取值。 部分测试项目说 性能测试：系统启动后静置五分钟，其间无任何操作，随后在Windows自带的任务管理器中记录下软件进程所占用的CPU与内存资源。 海量扫描：CPU均值为估算。内存占用为前两分钟取值的平均值。 压缩格式与嵌套压缩格式测试：选用了目前比较主流，并且常见的压缩格式进行测试，首先计算软件在压缩前的查毒数，通过压缩后查毒数与压缩前查毒数进行对比，可以得出该软件对压缩包的支持程度，如果压缩前后查出的病毒数相同，则表示该软件完全支持这种压缩格式。 加壳格式测试：选用多种加壳软件，对总计50个病毒样本进行打包或单个加壳，在测试中，只要软件能够识别出一个被某种加壳格式加壳过的病毒，则表示该软件支持这种加壳格式。（由于程序加壳涉及到复杂的数学运算，所以该项测试中，未通过某种加壳格式测试的软件其实际是否支持这种加壳格式尚无法做出定论，但我们认为此次已经提供了一个比较严谨的加壳测试环境了。） 杀毒测试：杀毒测试中，为了防止软件报告数据不准确（因为同一个文件中有可能包含多个病毒，而有的软件最后报告的结果为“感染病毒的文件数”，而有的软件则在杀毒后报告“扫描发现的病毒体数”），所以此次测试杀毒部分的数据分成两类型来记录，一组数据是软件杀毒后报告的杀毒情况；另一组数据是我们的测试人员人工计算的实际删除/清除的病毒文件数。最后软件的实际处理率，将采用人工计算的实际处理文件数来进行统计，这样做虽然有可能出现误差，但结果数据更接近实际情况。 特殊符号注释 √表示该产品通过该项目测试 ×表示该产品未通过该项目测试 表示该产品在该项测试中有些情况需要通过文字来描述 －表示该产品未参加该项目测试或该产品不具备参加该项测试的条件，具体情况请看文字说明 ？表示无法确知该产品在该项测试中的成绩或该产品在测试中出现一些奇怪的问题? 产品性能测试 软件的目的在于使用，而像杀毒软件这种需要常驻内存的软件，其本身的资源占用就成了广大用户关心的问题，毕竟我们买杀毒软件的目的不是为了让整台机器只运行它一个程序。在此需要说明的是，我们此次测试主要评测杀毒软件的杀毒功能，并且参测软件安博士2005个人版不带网络防火墙、诺顿防病毒软件2005（不是诺顿网络安全特警2005）和卡巴斯基仅具备简单的防火墙功能，因此以下数据是在所有软件的防火墙部分都未安装或者未开启的情况下测得的。 ======================================================================= 软件性能测试　江民　　 瑞星　 金山　趋势科技 安博士 卡巴斯基　诺顿　 熊猫 CPU占用率　　　0　　　 0　　　 0　　　　0　　　 0　　　 0　　　 0　　 0 进程总数　　　 23　　　22　　　23　　　24　　　22　　　20　　　28　　30 线程总数　　　320　　　305　　 297　　 386　　 283　　 257　　 394　 414 内存可用　　 126332k 138910k 131368k 90168k 133312k 120430k 96032k　79630k 进程内存占用　5131k　 5742k　 4006k　 32055k 7508k　 11035k　40012k　39546k 未分页　　　 25016　　15960　 16172　 16784　 15752　 17520　23652　 17792 ======================================================================== CPU占用：在没有防火墙的情况下，静置五分钟后，系统中基本没有数据流传送，所以杀毒软件的监控程序处于闲置状态，CPU占用率普遍为0。 内存占用：在此环节，我们可以发现国内三强普遍领先于国外厂商。瑞星成为可用内存数最多的软件，而金山则是进程占用内存数最少的软件。在此有必要说明的是，国内厂商全部采用了杀毒软件与防火墙分离的策略。而国际厂商除安博士以外，全部使用了杀毒模块与防火墙模块集成在一起的策略，由于这些软件中杀毒和防火墙共用的是一个主界面，所以在进行内存测试时发现，未安装/关闭防火墙模块对软件的内存占用数值影响不是很大，在开启防火墙模块后，这些软件的内存占用约提升2~5MB。但即便考虑到这种因素，单就子程序来讲，国际厂商的防病毒进程也要比国内厂商占用更多的内存资源。 ======================================================================== 磁盘空间占用　　江民　 瑞星　 金山　趋势科技 安博士 卡巴斯基 诺顿　 熊猫 总体占用　　　 99197k 86827k 23486k 102383k 52273k 20198k 123085k 58202k 程序文件夹占用 97698k 85983k 22610k 96247k　43966k 19379k 106586k 55630k 系统文件夹占用　1499k　844k　 876k　 6136k　 8307k　819k　 16499k　2572k ======================================================================== 磁盘空间占用：卡巴斯基和金山明显领先于其他软件，成为了“身轻如燕”的代表。而诺顿的产品则体现出了巨无霸的态势，其系统文件夹占用居然高达16MB，已经接近其他参测软件占用量的总和了。 =================================================================== 海量文件扫描　江民　瑞星　金山　趋势科技 安博士 卡巴斯基 诺顿 熊猫 用时 第一次　　　 04:08　4:06　 2:23　　3:09　 2:44　 6:05　12:03　2:16 第二次　　　 01:17　2:26　 2:28　　2:02　 2:45　 4:51　9:05　 1:57 文件数 显示　　　　 33311 33095　 34144　22013　32359　40142 108698　40140 差异　　　　 11298 11082　 12131　　 0　 10346　18129　86685　18127 病毒发现　　　 3　　　3　　 1/1　　 2/2　 0/0　　2/2　 2/2　　2/2 CPU均值　　　 80%　　80%　　70%　　 60%　 65%　　65%　 85%　　60% 内存资源占用 12068k 22306k 22455k 48735k 20189k 19234k 32565k 29489k ==================================================================== 海量文件扫描：海量文件扫描是通过模拟用户在实际使用中的硬盘分区情况，然后测试软件的实际执行效率。该项目测试基本可以体现出各个软件的实际使用性能。其中，如果软件的第二次扫描时间明显少于第一次时间，那么可以认为这个软件采用了类似“文件指纹”的技术。 通过测试，我们可以看出，大部分软件都使用了文件指纹技术。但从数据体现出的未采用这种技术的金山、安博士和熊猫其本身查毒效率就已经足够傲视群雄了（由于两次时间差比较短，所以不好分析熊猫是否具备文件指纹功能）。 在扫描文件数方面，只有趋势科技采用了报告原文件数的方式，其他软件都是把压缩包或文件包内的子文件都算做扫描文件数进行报告，而诺顿用了整整12分钟，最后报告一共检查了108698个文件。 病毒发现方面，为了真实模拟用户的操作环境，我们一共在分区中插入了三个染毒文件。国产的江民和瑞星都准确地查出了三个病毒，对于其他不能全部查出病毒的软件，我们对它们进行了补充测试，让它们直接扫描三个染毒文件，以确定究竟是本身无法识别这三种病毒还是由于病毒文件被分插在磁盘分区中而漏掉了，所以记录表格中1/1、2/2这样的记录结果就表示“软件在海量扫描中发现的病毒数/软件在单独扫描中识别的病毒数”如果两个数字相同， 既表示该软件没有漏掉病毒。从最后的结果看来，未发现有参测软件漏掉病毒的情况出现。 CPU均值和内存资源占用是体现软件在进行查毒工作时对系统的影响性。虽然我们相信大部分用户在进行查毒工作时都不会做其他工作，但是如果软件占用系统资源比较少的话，那终究是件好事情。通过比照数据我们可以看出，国内三强的内存资源占用都非常少，但是CPU占用则相对较多。而趋势科技和熊猫的产品是我们在监测时发现CPU占用率最少的软件。另外，在测试时我们还发现一些无法通过数据体现的情况：所有杀毒软件检查到压缩文件时，其CPU占用率都会达到90%~100%的水平，而在检查普通文件时（比如视频、音乐、文档），CPU占用率则会回落，也就是说其实表格中记录的数值所体现的各个软件之间的差异仅是由于在扫描普通文件时CPU占用率所决定的，如果您的硬盘分区里压缩文件占绝大多数的话，那么几乎所有的软件CPU平均占用率都会攀升到90%~100%这样的高度。 注：文件指纹是经常应用于企业版安全产品中的技术，比较通俗的解释其主要原理就是在第一次扫描时，记录下用户的文件信息，当以后再次扫描文件时，对那些没有改变的文件，就可以跳过去不扫描，以提高扫描效率，目前，这项原企业版专有的技术，已经普遍应用到了个人安全产品中。 ========================================================= 监控　　江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 IE　　　 √　 √　 √　　 √　　 √　　　√　　 √　 √ Opera　　√　 √　 √　　 √　　 √　　　√　　 √　 √ FireFox　√　 √　 √　　 √　　 √　　　√　　 √　 √ 注册表 导入　　 √　 √　 √　　 √　　 √　　　√　　 √　 √ 感染　　 √　 √　 √　　 √　　 √　　　√　　 √　 √ ========================================================= 监控测试：此测试检验软件的监控中心的监控能力，我们此次没有对软件普遍支持的硬盘、光盘等传统介质进行测试，而是选择测试了软件对IE、Opera、FireFox和注册表的监控情况。通过测试我们发现，软件对浏览器的支持非常好，由于所有软件都对HTTP传输进行了监控，也就是说在用户浏览网页时，当网页开始传输进用户主机中后，防病毒软件立即进行扫描，发现病毒即报警，并在网页数据传输给浏览器前进行拦截。所以我们认为在这种监控模式下，用户可以放心的使用这些主流的浏览器程序。 说句题外话，由于Opera和FireFox缺乏对ActiveX和Vbscript的支持，所以相对来说，用户使用这两种浏览器访问陌生站点要比IE安全些。注册表的监控为了模拟用户的实际操作，所以我们特意选择了两种方式来进行染毒实验，一种是我们双击运行带毒REG文件，另一种是在注册表编辑器里，通过导入功能导入带毒文件。显然，结果是令人满意的，所有软件都能够防止注册表感染病毒。在此我们特别奉劝那些可能经常需要向注册表中注入信息的用户（比如经常上网玩战网游戏的玩家们），最好安装一套防病毒软件。 产品查毒测试 首先在此说明一下：查毒记录的标准类别的含义是软件在标准模式下的查毒情况，启发的含义是软件在启发状态下（最高查毒能力状态）的查毒能力。由于江民、瑞星、趋势科技和卡巴斯基的产品默认就使用启发式查毒检测，所以这些软件在测试时，我们直接把软件的其他设置都设置为最高等级，测得的结果就直接放入启发式查毒的记录中。 熊猫2005钛金版不支持查毒模式，也就是说发现病毒必须处理。所以熊猫没有参加查毒测试。 “流行病毒”/228个样本 ====================================================== 　　　江民 瑞星 金山　 趋势　安博士 卡巴斯基 诺顿 熊猫 标准 用时　　-　　-　0:01　　-　　 0:05　　 -　　0:11　 - 病毒体　-　　-　 208　　-　　　123　　 -　　 201　 - 启发 用时　0:09 0:13 0:03　 0:09　　0:06　 0:09　 0:08　- 病毒体 224　191　208　 172　　 126　　219　　202　 - 可疑　　0　　0　　0　　 0　　　 0　　　0　　　0　　- ====================================================== 记录的病毒数均为软件报告的病毒数，由于在很多文件中包含不止一个病毒，所以查毒部分的数据仅表示软件查出了多少个病毒体，而并不等于软件查出了多少染毒文件。 “流行病毒”库测试：流行病毒库主要反映软件对目前正在流行的病毒的查毒能力。在该项目中，我们看到国内的传统杀毒软件厂商江民KV2005，取得了该项测试的第一名，以查毒引擎而闻名的卡巴斯基位列第二。另一方面金山毒霸在执行效率上取得第一名，安博士紧随其后。 “2004”/1520个样本 ======================================================= 　　　 江民　瑞星　金山　趋势 安博士 卡巴斯基 诺顿 熊猫 标准 用时　　 -　　 -　　0:09　 -　　0:37　 -　　　1:04　 - 病毒体　 -　　 -　　1022　 -　　387　　-　　　1390　 - 启发 用时　 01:38　1:31　0:12　0:48　0:39　1:27　　1:04　 - 病毒体　1105　1171　1022　1154　388　 1541　　1392　 - 可疑　　　0　　0　　　0　　 0　　0　　　0　　　 0　　- ======================================================= “2004”样本测试：2004样本测试是我们根据去年曾经在世界范围内流行过的病毒列表整理出来的病毒样本库，该样本库是对软件查毒能力的一个补充测试。在测试结果中，我们可以看出，卡巴斯基的查毒引擎的确有其独到之处，其以压倒性优势取得该项目查毒数的胜利。而国际厂商诺顿2005以1392个病毒体的成绩紧随其后。其他厂商水平相当，差距不明显。 来自韩国的安博士可能由于进入中国市场较晚，其查毒数量有些异常，希望安博士能够早日摆脱“水土不服”。同时，在记录中大家可以发现，金山在取得不错成绩的情况下，其查毒速度惊人，由于所有时间均为测试人员用秒表测得的，结合前面的测试我们可以看出金山毒霸的执行效率的确是相当优秀。 病毒变体 ======================================================= 　　　江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 MTE　　√　 √　　-　　√　　　-　　　　√　　 √　 √ ======================================================= “变形病毒”测试：变形病毒测试，是通过病毒源体变形出的1000个病毒变体来考查软件对变形病毒的支持程度，如果完全查出了1000个变体的话，那么软件就通过测试。在测试结果中我们看到软件对变形病毒的支持程度非常好。但是金山和安博士由于无法识别病毒母体，也根本不可能识别出病毒的变体，所以这两个软件没有参加该项目的测试。 压缩格式测试 ==================================================================== 　　　　　　　 江民　瑞星　金山 趋势科技 安博士　卡巴斯基 诺顿　熊猫 未压缩前识别数 1372　1138　810　 1397　　　782　　 1477　 1467　1371 Zip 病毒　　　　　 1372　1138　810　　1396　　 783　　1477　　1467　1371 比率　　　　　　√　　√　　√　 99.928　　 √　　　√　　　√　 √ RAR 3.4 病毒　　　　　　454　1138　810　　1394　　 783　　1477　　1467　1376 比率　　　　　33.09%　√　　√　 99.785　　 √　　　√　　　√　　? ==================================================================== 压缩格式测试：压缩格式测试是为了体现软件对不同格式的支持程度而设置的。在此我们选择了比较常见的ZIP和RAR文件（RAR文件采用WinRAR 3.4压缩）。在常见的ZIP和RAR格式测试中，除了趋势科技以外，其他软件均完美的支持ZIP格式。而对于RAR文件，江民KV2005不幸出现了压缩率下降的情况，因为我们的RAR文件是使用新版的WinRAR压缩的，所以可能江民KV2005对这种新内核的RAR文件支持得还不太好。因为在以前的测试中，江民KV2005是可以完美支持WinRAR3.0压缩的RAR文件的。安博士在对压缩包扫描时比压缩前多报告了一个病毒体，经检验是安博士把压缩包本身也当作一个文件进行处理了，这种情况在正常接受范围之内。 但是，在RAR文件测试中还发现熊猫有个奇怪的问题，未压缩前熊猫可以识别1371个病毒体，而压缩成RAR文件以后，熊猫识别了1376个病毒体，显然这跟安博士的多报还不同，至于出现这种情况是什么原因，我们也很费解。 嵌套/混合压缩 ============================================================ 　　　 江民　 瑞星　金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 未压缩前识别数 　　　　46　　 32　　38　　47　　　29　　 48　　 47　 46 3 层 病毒　　46　　 32　　38　　47　　　32　　 48　　 47　 46 比率　　√　　 √　　√　　√　　　√　　　√　　 √　√ 9 层 病毒　　46　　 32　　38　　×　　　38　　 48　　 47　 46 比率　　√　　 √　　√　　×　　　√　　　√　　 √　 √ 10层 病毒　　46　　 32　　38　　×　　　39　　 48　　　30　 46 比率　　√　　 √　　√　　×　　　√　　　√　 63.829 √ 20层 病毒　　30　　 32　　38　　×　　　49　　 48　　　×　 46 比率　 65.217　√　　√　　×　　　√　　　√　　 ×　 √ Zip+RAR 病毒　　46　　 32　　38　　47　　　×　　 48　　　47　 46 比率　　√　　 √　　√　　√　　　×　　　√　　 √　 √ ============================================================= 嵌套／混合压缩：嵌套压缩是测试杀毒软件对压缩格式支持的深度，测试采用全部软件都能很好支持的ZIP压缩格式来进行。混合压缩则测试压缩包对混合压缩形态文件的支持性（先把病毒压成ZIP包，然后再把这个ZIP包用WinRAR压缩）。在整个测试中，瑞星、金山、卡巴斯基和熊猫顺利地通过了全部测试。 江民在对高达20层的ZIP包进行扫描时出现了扫描率下降的问题。趋势科技PC-cillin2005内置了对压缩程序的缺省值（3层），虽然其技术文档表明支持20层以上的压缩层数，但是界面上未提供修改项，因此在本次测试中大于3层的压缩文件未能显示足够的处理能力。安博士的数据可能大家觉得奇怪，但是前面我们刚刚分析过，安博士应该是把每个染毒的压缩包都算做一个染毒文件来对待，那么表格中体现的数据正好是压缩包的层数与未压缩前识别数的总和。所以安博士对嵌套压缩的支持还是很优秀的，只是对于混合压缩支持得不好。诺顿在十层压缩包时出现了识别率下降的情况，而到20层的时候，已经无法识别了。 =========================================================== 加壳格式 江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 ASPack　　√　 √　 √　　 √　　　√　　　√　　 √　 √ PEtite　　√　 ×　 ×　　 √　　　×　　　√　　 ×　 √ UPX　　　 √　 √　 √　　 √　　　√　　　√　　 √　 √ WWPack32　√　 √　 ×　　 √　　　×　　　√　　 √　 √ =========================================================== 加壳格式测试：加壳是通过一系列的数学运算，将可执行程序或动态连接文件的编码进行改变，以达到缩小程序体积或加密程序编码的目的。这本是很好的软件技术，但是往往都被利用在不好的方面，不过读者也不必过分担心，因为不是每个程序都可以加壳的，相当一部分病毒加壳后就无法发作了，这和编写病毒的语言以及病毒的发作机理都有关系。我们选用了四种比较流行的加壳格式进行测试，江民、趋势科技、卡巴斯基、和熊猫都能够完全支持全部加壳格式这里有必要特别指出的是，趋势科技PC-cillin2005较前一版本有了长足的进步，因为趋势科技PC-cillin2004支持的加壳种类不是很丰富，而在2005版中，大家可以看到趋势科技在过去自己弱项上的努力，瑞星、金山、安博士和诺顿在Petite方面表现不佳，而金山和安博士在WWPack32的测试中仍然不够理想。 ========================================================== 虚警测试 江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 可疑文件 标准　　　-　　-　　无　　 -　　　 无　　　 -　　 无　 无 启发　　　无　 无　 无　　 无　　　无　　　无　　 无　 无 EICAR 标准　　　-　　-　　*　　　-　　　 √　　　 -　　 √　 √ 启发　　　√　 √　 *　　　√　　　√　　　 √　　√　 √ xEICARx 标准　　　-　　-　　无　　 -　　　 无　　　 -　　 无　 有 启发　　　无　 无　 无　　 无　　　无　　　无　　 无　 有 ========================================================== 虚警测试：该测试主要测试软件的误报情况。需要说明的是，由于我们在此所选用的测试样本本身并不是病毒而是我们收集或制作的一些近似于病毒的文件，而且仅靠这几个样本是无法全面模拟用户在实际使用中的情况的，所以，这个测试结果仅供参考。在此测试中所有软件都顺利通过了我们准备的可疑文件的测试，没有发生误报情况。随后我们又通过改变EICAR病毒引擎测试文件的编码字符串的方式来进行测试。 在测试中仅有熊猫2005钛金版将改变后的EICAR文件仍然识别为EICAR病毒引擎测试文件，其他软件均顺利通过测试。不过在测试中发现一个关于金山毒霸的小问题，该软件在程序主界面下对包含EICAR文件的文件夹进行扫描时，就会识别出EICAR病毒引擎测试文件，但是如果我们在资源管理器中，通过右键菜单对EICAR文件进行单个文件扫描，则金山毒霸不会把EICAR文件报告为EICAR病毒引擎测试文件，而是报告未发现任何病毒。因为前提到过，我们所使用的EICAR文件本身并不是病毒，而且考虑到EICAR文件的特殊性，所以这种现象属于软件引擎上的设定，应该不属质量问题。 注：EICAR文件是用来测试防病毒引擎是否正常工作的测试文件，世界上的大多数厂商均将EICAR文件的特征码收集到其自身的病毒库中，由于EICAR文件本身并非病毒，而且整个文件都不具备任何破坏性，所以普通用户就可以安全的通过EICAR文件来确认他们的防病毒软件是否正常工作。在虚警测试项目中，EICAR一栏记录的数据就是参测软件是否能正常识别EICAR文件的记录。而xEICARx一栏记录的是参测软件对被测试人员改变了编码的EICAR文件的识别性，理想情况下参测软件不应该再识别出EICAR文件。 产品杀毒测试 “流行病毒”杀毒测试 ======================================================================== 　　　　　　　江民　　 瑞星　　金山 趋势科技 安博士 卡巴斯基　诺顿　 熊猫 杀毒用时　　　0:10　　 0:14　　0:03　　 0:10　0:09　0:12　　　0:25　　2:52 报告发现数　　 210　　 194　　　212　　 178　 126　 224　　　 200　　 185 报告清除数　　　15　　　-　　　 194　　　-　　 -　　 18　　　　9　　　178 实际清毒文件　　10　　　15　　　11　　　10　　 ?　　 11　　　　8　　　 28 报告删除数　　 195　　　-　　　　3　　　 -　　 -　　194　　　 187　　　0 实际删除　　　 195　　 174　　　181　　 161　 113　 189　　　 187　　 149 可疑　　　　　　0　　　 0　　　　0　　　 0　　 0　　 0　　　　 0　　　 0 无法处理　　　　0　　　 0　　　　0　　　 0　　 0　　 0　　　　 0　　　 0 总处理率　　 89.912　 82.894　 84.21%　　75%　 ?　　87.719　 85.526　 81.14 ======================================================================== “流行病毒”杀毒测试：在本测试中，我们让参测软件对流行病毒样本库进行杀毒，对于无法清除的病毒，我们选择让参测软件删除染毒文件。在该测试中，金山毒霸以不可超越的速度完成了整个杀毒工作，而反观在海量扫描时扫描效率No.1的熊猫2005钛金版，则以“熊猫”般的速度完成了整个杀毒工作，果真名副其实！ 在报告发现病毒数方面，很多软件都出现了与查毒时不同的数据，这是由于部分软件的杀毒统计方式与查毒统计方式不同的缘故，属于正常现象。清除病毒方面，熊猫2005钛金版以实际清除28个病毒夺得了最高清除能力的桂冠，另外，熊猫2005钛金版还将八个病毒文件改名，这个无法在数据中体现出来，不过已经计入熊猫的最后总处理率中了。最后的总处理率方面，国内老牌杀毒厂商江民KV2005取得了最高的处理率，来自俄罗斯的卡巴斯基以微弱劣势屈居第二。 说明：安博士由于最后报告数据不足，而且安博士清除过的病毒文件没有发生明显的变化，所以无法通过简单的方式进行统计，由于测试时间有限，我们的测试人员不可能通过校验的方式一个一个检查安博士是否真正清除了染毒文件，所以安博士的杀毒测试没有统计清除数和总处理率，仅统计了删除数。 “2004”病毒样本杀毒测试 ======================================================================= 　　　　　　江民　 瑞星　 金山 趋势科技 安博士 卡巴斯基 诺顿　　 熊猫 杀毒用时　　1:19　 1:53　　0:23　　0:51　0:49　 2:02　　1:41　　18:05 报告发现数　1057　 1172　　1026　　1154　 388　 1497　　1364　　 1243 报告清除数　 32　　　-　　 1004　　　-　　 -　　 17　　　10　　　1195 实际清毒文件 24　　 48　　　93　　　56　　 ?　　 43　　　28　　　 26 报告删除数　1025　　 -　　　 3　　　 -　　 -　　1472　　1296　　　 0 实际删除　　1025　 1111　　 908　　1083　 385　 1429　　1256　　 1113 可疑　　　　　0　　　0　　　 0　　　 0　　 0　　　0　　　0　　　　 0 无法处理　　　0　　　0　　　 0　　　 8　　 0　　　0　　　13　　　　0 总处理率　 69.013　76.25　65.855　74.934　 ?　　96.842　84.473　79.342 ======================================================================= “2004”病毒样本杀毒测试：在该测试中，金山毒霸2005的执行效率仍然无人可敌，其完成整个测试只用23秒，熊猫2005钛金版依旧以夸张的18分05秒“爬”完了这个测试。而在病毒实际清除数方面，金山毒霸以93个病毒清除数的绝对优势获得第一名。在无法处理文件数方面，诺顿防病毒2005有13个病毒文件无法自动处理，由于诺顿一贯采用保守的病毒删除策略（即当无法清除病毒时，先判断该文件是否为重要文件，只有诺顿认为的非重要文件它才可以删除），所以出现这种情况也很正常。 另外趋势科技也有8个病毒文件无法处理。熊猫在此次测试时，重命名了77个病毒，所以其实际处理的病毒总数是1206个。最后的总处理率方面，卡巴斯基没有再给其他对手任何机会，以高达96.842%的优势夺得处理率第一名。 产品功能测试 为了使广大用户更清楚的了解每款软件的功能情况及侧重，我们遴选相对重要的软件功能做以记录，方便大家进行比较。因为每个人对安全产品的需求不同，而且有些环境对功能的需求甚至超过了对软件性能的需求，所以我们希望广大读者可以通过我们以下做的这些工作，买到最符合您要求的产品。 安全性测试 ============================================================= 　　　　　 江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 安装前扫描 可选　√　 ×　　 √　　　×　　　×　　可选 可选 安装后扫描 可选　×　 √　　 ×　　 可选　　 ×　　 ×　 × 启动时扫描 可选 可选　×　　 ×　　 可选　　 √　　 ×　 × 密码保护 使用　　　 ×　 ×　 ×　　 ×　　　×　　　√　　 ×　 × 改变　　　 √　 √　 √　　 √　　　√　　　*　　　√　 × 关闭　　　 ×　 ×　 ×　　 √　　　×　　　√　　 √　 × 卸载　　　 √　 ×　 ×　　 *　　　 √　　　*　　　×　 × 运行程序时是否可卸载 　　　　　　可　 可　 可　　 否　　　 !　　　否　　 可　 可 手动隔离　　×　 ×　 √　　 √　　　×　　　√　　 √　 × ============================================================= 安全性测试：本列表记录的是软件自身的安全性。密码保护部分，四个子栏目的含义分别是当软件设置密码后：使用——在用户使用时是否需要输入密码。改变——想要改变软件设置时是否需要输入密码。关闭——关闭软件时是否需要密码。卸载——卸载软件时，是否需要密码。 补充说明：趋势科技和卡巴斯基卸载软件时必须先关闭软件程序，而如果设置了密码的话，那么关闭软件时需要输入密码，这也就等同于卸载软件时需要密码。我们在测试的时候发现安博士的程序运行时，如果选择卸载软件，那么当卸载进行到一半时，将会自动重新启动计算机，相当于按了机箱上的重启按钮，目前尚无法确认该问题的起因。另外，卡巴斯基在设置密码后，想要进入程序界面就必须输入密码，所以也等同于在改变设置时需要输入密码。 信息反馈能力 =========================================================== 　　　　 江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 程序信息 简洁 丰富 简洁　 丰富　　简洁　　简洁　 简洁 简洁 日志系统 程序　　　×　 ×　 √　　 √　　　√　　　√　　 √　 × 病毒　　　√　 √　 √　　 √　　　√　　　√　　 √　 √ 报警 PopUp　　 √　 √　 √　　 √　　　√　　　√　　 √　 √ 声音　　　√　 √　 ×　　 √　　　√　　　√　　 ×　 × 升级　　　√　 √　 √　　 √　　　√　　　√　　 √　 √ 配置　　　√　 √　 √　　 √　　　√　　　√　　 √　 √ =========================================================== 信息反馈能力：该表格体现软件的信息记录能力，其中程序信息指软件中对自身功能、状态的提示或帮助信息是否丰富，该记录由测试人员主观判断，在使用中测试人员发现，瑞星和趋势科技对自身软件的各个功能都给出了明确的提示或说明，尤其是趋势科技PC-cillin基本每个按钮、选项都给出了一定的提示信息。瑞星和趋势科技的这种软件设计方式这大大节省了新用户熟悉软件的时间，更解除了用户去翻帮助文件或查软件说明书的痛苦。。日志系统指软件是否记录程序运行状况和发现病毒情况的历史日志。报警指软件是否使用弹出窗口和声音进行报警。提示指软件是否对软件升级进行提示，同时可否对软件配置进行提示。 增强功能 ==================================================================== 　　　　　　　 江民　　瑞星　 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 引导区备份/修复 √　　　√　　 √　　 ×　　　×　　　×　　 ×　 × 文件修复　　　　×　　　×　　 ×　　 ×　　　×　　　×　　 ×　 × 文件备份　　　　×　　　√　　 ×　　 ×　　　×　　　×　　 ×　 × 扫描系统漏洞　　×　　　√　　 √　　 √　　　√　　　×　　 √　 × 多语言支持　　　√　　　√　　 ×　　 ×　　　×　　　×　　 ×　 √ 文件指纹　　　　√　　　√　　 ×　　 √　　　×　　　√　　 √　　? 防火墙功能　江民反黑　 附带　 网镖　　√　　　×　　　√　　 *　　√ ==================================================================== 增强功能：该表格记录软件的附带功能。文件指纹前面已经解释过了，是通过软件扫描时间差别来判断的，由于熊猫差别过低，所以不好判断是否具备该功能。防火墙功能的记录中，国内厂商都在安装盘中附带了独立的防火墙程序。安博士不带防火墙程序。诺顿防病毒2005中自带一个非常简单的防火墙程序，仅能定义简单的规则，如果读者比较看重诺顿的个人防火墙的话，建议选择诺顿网络安全特警2005，其中的防火墙具有相当专业的水准。在趋势科技PC-cillin 2005中，不光加入了针对网络的防火墙，还把对Wi-Fi的支持作为一个特色功能加入进来。 更新情况 =========================================================== 　　　　　　江民　 瑞星 金山 趋势 安博士 卡巴斯基 诺顿 熊猫 在线　　　　 √　　 √　 √　 √　　√　　　 √　　√　 √ 本地　　　　 √　　 ×　 √　 ×　　√　　　 √　　×　 * 服务器　　　 ×　　 ×　 ×　 √　　√　　　 ×　　×　 × 配置更新模块 ×　　 ×　 ×　 ×　　√　　　 ×　　√　 × 调整更新间隔 √　　 √　 √　 √　　√　　　 √　　√　 √ 自动更新定制 √　　 √　 √　 √　　√　　　 √　　√　 √ =========================================================== 更新情况：此表格记录软件的更新方式。其中的服务器指软件本身是否可以作为局域网中的升级服务器（也就是当它升级完毕后，其他机器中的同品牌软件可以直接通过它来进行升级，而无须再连入互联网升级）。 =========================================================== 监控定制　江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 排除 目录　　　 ×　 ×　 ×　　 √　　　×　　　√　　 √　 × 启动扇区　 ×　 √　 ×　　 ×　　　√　　　×　　 ×　 × 自身文件　 ×　 ×　 ×　　 ×　　　√　　　×　　 √　 × 邮件　　　 √　 √　 √　　 √　　　√　　　√　　 ×　 × 感染类型　 √　 √　 √　　 √　　　√　　　√　　 ×　 × 扩展名　　 √　 √　 ×　　 √　　　√　　　√　　 √　 √ 预设级别　 √　 √　 √　　 ×　　　√　　　√　　 √　 × 处理 禁止访问　 √　 √　 √　　 √　　　×　　　√　　 √　 √ 清除　　　 √　 √　 √　　 √　　　√　　　√　　 √　 × 删除　　　 √　 √　 √　　 √　　　√　　　√　　 ×　 × 改名　　　 ×　 ×　 ×　　 ×　　　√　　　×　　 ×　 × 直接隔离　 ×　 ×　 √　　 √　　　×　　　×　　 ×　 × 询问　　　 √　 √　 √　　 ×　　　√　　　√　　 √　 × =========================================================== 监控定制：该表格记录软件监控中心的可配置性 =========================================================== 查杀配置　江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 排除 目录　　　 ×　 ×　 √　　 ×　　　×　　　√　　 √　 × 引导区　　 ×　 √　 √　　 √　　　√　　　√　　 √　 × 邮件　　　 √　 √　 √　　 √　　　√　　　√　　 ×　 × 文件属性　 ×　 ×　 ×　　 ×　　　×　　　√　　 ×　 × 感染类型　 √　 √　 √　　 ×　　　√　　　√　　 ×　 × 扩展名　　 √　 √　 √　　 √　　　√　　　√　　 √　 √ 分级　　　 √　 √　 √　　 ×　　　√　　　√　　 √　 × 处理 清除　　　 √　 √　 √　　 √　　　√　　　√　　 √　 × 删除　　　 √　 √　 √　　 √　　　√　　　√　　 √　 × 改名　　　 ×　 ×　 ×　　 ×　　　×　　　×　　 ×　 × 直接隔离　 ×　 ×　 ×　　 √　　　×　　　×　　 ×　 × 询问　　　 √　 √　 √　　 ×　　　√　　　√　　 √　 × =========================================================== 查杀配置：该表格体现软件在查杀功能方面的可配置性。 其他 ============================================================ 　　　　　 江民 瑞星 金山 趋势科技 安博士 卡巴斯基 诺顿 熊猫 安装重启动 ×　 ×　 ×　　 √　　　×　　　√　　 √　 √ 卸载重启动 √　 ×　 √　　 √　　　√　　　√　　 √　 √ IE修复　　 √　 √　 √　　 ×　　　×　　　×　　 ×　 × 帮助精灵　 √　 √ 需下载　 ×　　　×　　　×　　 ×　 × ============================================================ 测试总结 通过本次测试，我们认为，国内国外的诸多反病毒厂商在2005版的进步是显著的，并非那种只是“升级升在操作界面上”的手法，各大厂商都在2005版中引入了许多新鲜的功能，并将自身性能进一步提高。国内三强，江民、瑞星、金山的软件能力得到进一步提升，并且由于这三家软件厂商均扎根于国内，所以其软件设计更贴近国内用户的习惯和需要。在本地病毒的防治上面，我们始终认为国内软件厂商更有优势，但是从2005版软件中，我们发现国外厂商也在越来越看重国内市场，像以往国外厂商统统无法查杀的QQ病毒，现在都已经得到了很好的支持。 可以说目前的行业形势是：国外的厂商已经波涛汹涌的闯了进来，国内的厂商也剑拔弩张地要冲出去，这种碰撞的结果是我们惊喜地看到了各大厂商在2005版中的改变。作为评测者是需要保持中立的，并且我们在测试中也是这样自律的，我们尽全力提供了一个公平的环境来获取测试数据，希望读者朋友们看完以上全部的数据之后，可以理性的选择所需的产品。 备注：中国电脑教育报提供测试环境并组织文字解说，离子翼信息安全实验室(www.Ionwing.com)提供测试数据。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (5/9/2005)