收费 360金山星卡巴对比实测.docVIP

挂马拦截对比 随着宽带网的发展，挂马拦截已经逐渐成为杀毒软件的最主要工作，相比传统的入侵渠道，网页感染显然具有更好的伪装性。一般来说在整个入侵过程中，黑客会首先将制作好的木马植入网页，然后等用户访问该网站时，木马便会顺着客户机漏洞进入系统。在这项测试中，杀毒软件的实时监控及主动防御体系将得到考验，同时对日常浏览的拖累也将计入相关评测。??? 本节测试中，我们事先从国内一些专业安全论坛收集到了一组最新挂马网址，并事先验证了其可靠性。不过由于执法部门的查处，这些网站的有效期都不是很长，因此所有结果将以文章撰写时的评测为准，这一点希望大家了解！??? 附：挂马网站测试列表（以下网站都已确认存在挂马，点击请慎重！！） ??? * hxxp:/// ??? * hxxp:///??? * hxxp:///??? * hxxp:///??? * hxxp:///? 图5 挂马拦截示意 ???? 【小评】 测试中360杀毒的表现稍差，对这些挂马网站没有预警，显然与它在实时监控方面力度不足有着关，这可能跟产品积累有一定关系，毕竟360杀毒才正式发布不到半年。三款收费版杀软则表现较好，尤其是瑞星2010和卡巴斯基2010，均能在发现木马后第一时间予以拦截，避免遭遇进一步侵害。相比而言金山毒霸的表现较差，拦截准确度上明显较其他两位同行逊色。??? 还有一点值得称赞的是，四款杀软均没有对正常浏览速度造成影响，实际感觉还是很流畅的，基本上与裸机运行一致。 三大毒王实测??? 如今杀毒软件往往采用多层防御体系，处于最外层的便是基于特征码的实时监控模块（可能带启发），不过出于效率上的考虑，第一层防御往往不能分辨出所有威胁。于是便有了更深层次的扫描模块（第二层次）。在这一模块中很多新技术都被应用其中，包括虚拟机查毒、启发式查毒等等，云安全的加入大大增强了其对新木马的识别，大多数木马都能在这一层面折戟沉沙。当然为了避免个别强悍的家伙冲破第二防线，主动防御便承担起了第三道防线的任务。如果样本做出一些有威胁动作时，主动防御便会迅速将它处理（一般是隔离），这样便能在最大限度上消灭所有威胁。??? 正是基于上述思路，我们将测试也分为如下几块，首先通过压缩包解压考察杀软的实时监控，接下来再用手工扫描测试其第二道防线。一旦有样本无法被前两步清除时，再通过直接运行激活主动防御。??? 1. “脚本下载器”变种实测??? * 英文名称：JS.TrojanDownload.*??? * 危险级别：★★★★??? * 基本特征：一般嵌入于网页Flash视频的某个片断中，当用户播放到这一片断后，病毒便自动运行，进而自动下载更多的木马。 图7 360杀毒 图8 瑞星2010 图9 金山毒霸2009 图10 卡巴斯基2010 ???? 【小评】 也许是样本被加壳所致，四款软件对于“脚本下载器”的监测都不理想。其中360杀毒、瑞星2010、卡巴斯基2010均没有在实时监控阶段查出，金山毒霸2009虽然可以检测，但也仅仅清除掉了一个样本。随后笔者进行了手工扫描，发现仅有360杀毒、卡巴斯基2010能够对样本进行识别并予以清除，另两款软件则干脆没有检出！ 2. “木马下载器”变种实测??? * 英文名称：Win32.TrojDownloader.*??? * 危险级别：★★★★??? * 基本特征：虽然历史悠久，但木马下载器一直变种不断，激活后能够在后台自动下载大量木马。不过最大的威胁并不是它本身，而是它所下载的后门、木马程序。在这些木马中常常包含一些盗号木马，正是它们导致了用户的QQ、网游、银卡账号等信息被黑客窃取。 图11 360杀毒 图12 瑞星2010 图13 金山毒霸2009 图14 卡巴斯基2010 ???? 【小评】 相比而言“木马下载器”的检测则要轻松很多，四款软件均在实时监测阶段发现了问题，其中瑞星2010、金山毒霸2009、卡巴斯基2010在这一阶段便已将威胁排除，效果十分理想。360杀毒虽然也监测到了木马痕迹，但却无法对其自动处理，只有当笔者使用手工扫描时才成功清除。??? 3. “文件夹模仿者”实测??? * 英文名称：Win32.Troj.FakeFolderT.*??? * 危险级别：★★★??? * 基本特征：这是目前感染量最高的一款U盘病毒，主要通过隐藏原系统文件夹图标，并生成与原文件夹相同的病毒文件诱骗用户点击，一旦被激活便会弹出大量广告。不过它的最大危害还在于如果将病毒直接删除，将会导致被隐藏的系统文件无法找回。 图15 360杀毒 图16 瑞星2010图17 金山毒霸2009? 图18 卡巴斯基2010 ???? 【小评】 “文件夹模仿者”的表现与“木马下载器”基本一致，四款