杀毒软件全分析 杀毒软件客观使用感受

2008-02-23 07:21:17来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  近期卡巴斯基、诺顿的“误杀”事件在中国IT界闹得沸沸扬扬,个人感觉杀毒软件之争事关中国IT发展的根本安全保障,因此整理了一下自己的杀毒软件客观使用感受,给大家做点小小的参考:

  一、首先来说说世界五大杀毒引擎

  1、第一个当然是要说说诺顿了,首创实时监控技术,还知道微软的代码。大家都说诺顿不好,其实诺顿的引擎很强大。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。

  诺顿的杀毒软件实际上防止侦测方面做得并不是很好,很多病毒程序在子程序段中经常借鉴搞崩诺顿的代码,希望在新版本中诺顿可以采用更强的自身防护技术。诺顿的引擎应该是完全自成封闭体系的,没有资料证实诺顿曾经购买或者借鉴过别的杀毒引擎。传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计,因此曾经在微软社区在线聊天时,问过这个问题。回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要,它自己的引擎搞得挺好的。有一个叫fenssa的家伙甚至回贴说不考虑病毒库因素,诺顿的杀毒引擎相当先进,综合防护性能很好。在微软,除了用Mcafee的就使用诺顿的(这一点我比较相信,很少见到别的杀软在微软被使用)。从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看,诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合,应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么推崇虚拟机技术)。

  诺顿的杀毒速度慢,应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。我个人非常喜欢诺顿的隔离机制,我认为在没有确定完全正确的处理方式之前,删除是不应该被采用的。一个高手写的病毒应该能尽可能的与系统进程相关,在这种情况下,隔离的优势立刻显现。诺顿资源占用量比较大,但实现了如下设计目标:能识别的病毒和被识别为病毒的进程完全可以正确处理,对已经不可能产生破坏作用的“病毒尸体”不会产生误判,更不会出现一次又一次的在处理完某病毒后又检测其为病毒的状况。

  很多人认为诺顿企业版和个人板采用的引擎完全一致,这种理解不很正确。实际上企业版在个人板的技术上还是有改进的。Zdnet上刊登过一篇文章指出:企业版和个人版引擎的核心规则完全一样,但在前端文件汇入部分企业版是优于个人版的,企业版使用了更多的API接口。文章中说,在大规模文件扫描时,企业版明显优于个人版。并且由于使用了负载技术,企业版资源占用还好一点。另外据说企业版支持基于网络的多重负载技术。

  2、第二应该就是咖啡了,这个杀毒软件把主要能力放在防毒上,也用了虚拟脱壳技术,基本所有壳都可以干掉,现在知道为什么它这么火了吧,北斗的壳,我不知道能不能干掉,但它的虚拟技术没有DR.WEB的好,用加密XTA算法(基本与DES一样很难破解)写的病毒,它和卡巴就都废掉了。

  记得看过一篇报道说Mcafee收购过别的杀毒软件引擎设计公司,据回贴可知为所罗门。在网上很少能看到关于对Mcafee的杀毒引擎进行过分析的技术文档,但从他自己宣传的资料看,Mcafee对虚拟机技术和实时监控研究的都挺彻底的。比如他最近宣传防止应用程序溢出(大致这个名字)的技术,应该是在不考虑硬件平台的情况下虚拟机技术和实时监控技术结合的上乘之作,尽管经常出现错误的溢出侦测(软件层面的防溢出技术确实不很稳定)。在处理大量的文件时,Mcafee有一定的速度优势(微软社区中有这个问题的论述)。有来自于Mcafee论坛的消息说,Mcafee 正在研究更先进的智能码扫描技术,估计肯定比东方卫士搞得要好。

  根据组长的回贴,Mcafee自发布VSE8.0i以来就着重于“前慑防范”这一新型的安全领域,并且NORTON也在朝这一方向迈进。“前慑防范”一共分为两个部分,其一为运用部分防火墙技术外加其入侵检测技术有效的阻断病毒的传播源,以至于病毒在传染的初期无法得到大面积的传播降低了危害性;其二为依靠其强大的特征码检测技术(Extra.dat)对病毒的行为方式、特征代码等进行检测,依靠它强大的研发团队以及策略联盟伙伴使其在这一领域独树一帜。

  诺顿能在其新版产品中也加入了一些原本属于防火墙的功能。发邮件询问诺顿的研究人员为什么没有采用特征码杀毒技术,回应说一个完美的特征码扫描技术应该能够达到根据用户的指定加入特定文件为病毒的目的,也就是当用户指定某个活动程序为病毒时,杀毒软件的引擎能够根据自身的规则为该活动程序定义一个特征码,并且在控制该活动程序时,能够有效地断绝其与系统正常进程的关联。在没有这个水平之前,诺顿不会大规模采用特征码技术。从Mcafee的技术文档来看,Mcafee也只是有限度的试验性的研究该技术,并在比较有把握的地方应用。实际上两家公司在这方面还有很长的路要走。

  3、第三个就是熊猫了,哈哈,这个西班牙的东东,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大,金山好像现在就在仿熊猫,监控好像不是,杀毒和升级都是仿造熊猫的,金山的监控很LJ,你用用就知道了。

  4、这个就是俄罗斯的卡巴斯基了,6.0 的引擎我还没有分析过,人家的确是自己的引擎,以前KV就是防造的卡巴。但现在的KV好像更优化了。

  5、DR.WEB、也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。

  驱逐舰用的它的引擎,但毕竟是假蜘蛛,杀毒效果和DR.WEB根本不一样。

  今天用驱逐舰全面扫描了一下,没有发现什么。但用DR.WEB一扫发现这么多没有扫出来,虽然大多数是广告。

  看来核心技术比DR.WEB 还是差很多,大家不要以为你真的用上了DR.WEB。人家俄罗斯说了,核心的东西是不卖的。

  关于NOD这个我说一下,我不是很清楚这个杀毒软件,不过它的引擎好像不是自己的。好像是自己做了很大的改进,杀毒很像熊猫,又不是熊猫,监控和DR.WEB很像,形势好像也一样,有两个进程,监控用的虚拟脱壳加启发式,但方式绝对不一样。我也不清楚它是谁的引擎,监控很智能,我晚上试了一下可以对付一次北斗加壳的病毒,加了跳针就不行了。我一运行灰鸽子竟然在我的计算机上生成了一个自动连接的文件,NOD一点都没有感觉。让我忙了好久才杀掉。加了内存免杀直接就过了,监控上存在一个很大的问题,对付两次加北斗壳的病毒,完全没有感觉,你可以加两次壳上报给它,估计会得奖。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:一次把网页字体改变大而且不变的小技巧

下一篇:有趣技巧:让指定QQ号码无法登陆