剛現(xiàn)網(wǎng)銀安全危機(jī)、又出電信斷網(wǎng)事件，無(wú)孔不入的病毒、木馬趁火打劫，變本加厲，時(shí)刻都想“?！币话选⒍拒浖悄惴匠T我登場(chǎng)，技術(shù)更新加營(yíng)銷(xiāo)創(chuàng)新，使出渾身解數(shù)爭(zhēng)奪市場(chǎng)。殺毒軟件誰(shuí)更牛?信息安全市場(chǎng)將如何發(fā)展?一番PK之后，我們定有感悟。

2009年注定是不平凡的一年，經(jīng)濟(jì)保增長(zhǎng)，產(chǎn)業(yè)圖振興。不容樂(lè)觀的經(jīng)濟(jì)形勢(shì)映襯出信息安全的縷縷寒意。剛現(xiàn)網(wǎng)銀安全危機(jī)、又出電信斷網(wǎng)事件，無(wú)孔不入的病毒、木馬趁火打劫，變本加厲，時(shí)刻都想“?！币话?。殺毒軟件更是你方唱罷我登場(chǎng)，技術(shù)更新加營(yíng)銷(xiāo)創(chuàng)新，使出渾身解數(shù)爭(zhēng)奪市場(chǎng)。殺毒軟件誰(shuí)更牛?信息安全市場(chǎng)將如何發(fā)展?一番PK之后，我們定有感悟。

參測(cè)的十款殺毒軟件為：諾頓游戲版、EsetSmartSecurity4.0.314(NOD32)、卡巴斯基三年版、Mcafee2009、趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009、Avast!pro4.8、Dr.web大蜘蛛反病毒5.0、瑞星2009、金山2009、江民2009，分別代表了國(guó)際和國(guó)內(nèi)頂尖水平。我們從界面和易用性、病毒包查殺、掃描速度、實(shí)時(shí)監(jiān)控、資源占用、自我保護(hù)、主動(dòng)防御等方面進(jìn)行PK。測(cè)試平臺(tái)為：

CPUPentiumT2130

內(nèi)存2GB

硬盤(pán)日立160GBSATA

操作系統(tǒng)WinXPSP3

網(wǎng)絡(luò)環(huán)境ADSL8Mbps

為了貼近日常應(yīng)用，測(cè)試平臺(tái)安裝了驅(qū)動(dòng)、Office、常用軟件和網(wǎng)絡(luò)工具。測(cè)試完一款殺毒軟件后，用Ghost復(fù)原系統(tǒng)再測(cè)試另一款，避免相互干擾和影響，使結(jié)果更客觀。

(一)界面和易用性金山和趨勢(shì)更勝一籌

清晰明了的界面和友好的人機(jī)交互可以增加用戶親和力，也是殺毒軟件帶給用戶的第一印象。總體來(lái)看，除Avast!pro4.8外，國(guó)外殺毒軟件的界面設(shè)計(jì)風(fēng)格趨向沉穩(wěn)、規(guī)范、內(nèi)斂;國(guó)內(nèi)三強(qiáng)的界面風(fēng)格更明快、活潑、時(shí)尚。其中，金山和趨勢(shì)的功能布局更合理、易用性更強(qiáng)。

圖注: 金山2009主界面清晰、直觀，符合國(guó)人的胃口

圖注：趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009的主界面設(shè)計(jì)人性，易于上手

金山2009和趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009的界面清晰明了，各主要功能入口明確，很容易上手。相比之下，Eset Smart Security 4.0.314(NOD32)的界面(如圖所示)布局欠明晰，“高級(jí)設(shè)置”等功能比較隱蔽，不易查找。

圖注：Eset Smart Security界面設(shè)計(jì)十分簡(jiǎn)潔，但不易于操控

諾頓和卡巴斯基的界面內(nèi)斂而規(guī)范，看上去很專(zhuān)業(yè)。Mcafee 2009的界面相對(duì)比較中性，主界面設(shè)計(jì)符合簡(jiǎn)潔、易用的理念，但層次結(jié)構(gòu)略顯繁復(fù)，各層次之間的邏輯結(jié)構(gòu)和歸屬關(guān)系仍不醒目，對(duì)初次接觸的新用戶，尚需摸索。Avast!pro 4.8的界面更像一款精致的播放器，支持界面模式的切換和換膚。Dr.web大蜘蛛反病毒5.0的界面則非常樸素、簡(jiǎn)單。

圖注：Avast!pro 4.8大膽地將自己偽裝成一個(gè)媒體播放器

總體來(lái)說(shuō)，國(guó)內(nèi)三強(qiáng)的界面設(shè)計(jì)和易用性整體上要好于國(guó)外產(chǎn)品，更具親和力，這顯然受益于其開(kāi)發(fā)者對(duì)國(guó)人使用習(xí)慣的了解。

多年的技術(shù)積淀和市場(chǎng)洗禮使主流殺毒軟件都擁有了自成體系的病毒查殺機(jī)制和日趨成熟的核心技術(shù)，遍布全球的病毒預(yù)警網(wǎng)絡(luò)和快速響應(yīng)的反毒系統(tǒng)成為殺毒軟件應(yīng)對(duì)新威脅的共性特征。因此，各主流殺毒軟件的病毒查殺能力理論上不應(yīng)有懸殊的差距，只會(huì)有個(gè)體的、非實(shí)質(zhì)性的差異。

本項(xiàng)測(cè)試使用的病毒包內(nèi)含網(wǎng)頁(yè)木馬、蠕蟲(chóng)病毒、盜號(hào)木馬等各類(lèi)病毒3000多個(gè)，分別保存到3500多個(gè)文件夾中，然后將這些文件夾分別打包成Zip壓縮文件，再將所有壓縮包一起打包成一個(gè)Zip壓縮包。隨后用各款殺毒軟件生成的右鍵快捷殺毒方式掃描病毒包，測(cè)試結(jié)果如下表：

病毒包查殺測(cè)試結(jié)果

從上表可知，由于各殺毒軟件的計(jì)數(shù)方式和掃描細(xì)節(jié)上的區(qū)別，掃描文件的數(shù)量也有所不同。但ESS(NOD32)和趨勢(shì) 2009顯然是將壓縮包和內(nèi)含文件視為同一文件對(duì)象而未分別計(jì)數(shù)。

從病毒識(shí)別數(shù)來(lái)看，江民2009表現(xiàn)最好。至于掃描速度，則是ESS(NOD32)出類(lèi)拔萃，僅用7秒就識(shí)別出了3462個(gè)病毒，效率驚人，盡管略有囫圇吞棗之嫌。Avast!pro 4.8勇奪銀牌，江民和金山緊隨其后。相比之下，諾頓游戲版和瑞星2009有些力不從心，費(fèi)時(shí)較長(zhǎng)，它們似乎對(duì)多層嵌套壓縮包的處理，并不在行，當(dāng)然，這對(duì)它們病毒的查殺準(zhǔn)確度倒是絲毫不受影響?？ò退够?、Dr.web大蜘蛛5.0和趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009的查殺效率接近，差距不大，處于中游。

Mcafee 2009在這里表現(xiàn)極其另類(lèi)，它選擇一個(gè)超級(jí)取巧的方法，在連續(xù)查出了幾個(gè)病毒后，直接將病毒樣本包視為毒巢徹底隔離，從而超近道完成了任務(wù)。即使我們?cè)趻呙柽x項(xiàng)中開(kāi)啟zip壓縮文檔查殺功能之后，它仍然在第一時(shí)間直搗毒巢，將整個(gè)病毒壓縮包完全封殺掉，以根除掉所有可能的安全隱患，這也在某種程度上體現(xiàn)了當(dāng)前殺毒技術(shù)的優(yōu)化趨勢(shì)，大幅提升掃描效率。

快速掃描和精準(zhǔn)查殺是殺毒軟件優(yōu)良品質(zhì)和核心技術(shù)的重要體現(xiàn)。我們對(duì)每款殺毒軟件在同樣的環(huán)境下進(jìn)行全盤(pán)掃描，以測(cè)試掃描速度，結(jié)果如下表所示：

全盤(pán)掃描速度對(duì)比表

從表中可知，各軟件的默認(rèn)設(shè)置在文件計(jì)數(shù)方法和掃描細(xì)節(jié)上有明顯區(qū)別。諾頓游戲版的掃描速度可謂“風(fēng)馳電掣”(當(dāng)然它也是掃描文件數(shù)最少的)，實(shí)力毋庸置疑，充分體現(xiàn)了其全面優(yōu)化的新一代殺毒引擎的優(yōu)勢(shì)!卡巴斯基的表現(xiàn)也非常搶眼，有望改變“慢工出細(xì)活”的一貫形象。

ESS(NOD32)的表現(xiàn)中規(guī)中距。Avast!pro 4.8也有不錯(cuò)表現(xiàn)。Mcafee 2009非常賣(mài)力，但由于核心引擎并未進(jìn)行本質(zhì)改進(jìn)，因此感覺(jué)上還是有勁使不上。趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009的默認(rèn)設(shè)置會(huì)掃描瀏覽器Cookie和系統(tǒng)漏洞，最高支持6層嵌套壓縮文檔，文件計(jì)數(shù)也比諾頓和ESS(NOD32)高出數(shù)倍。Dr.web大蜘蛛5.0在默認(rèn)設(shè)置下耗時(shí)最長(zhǎng)，期待改進(jìn)。若啟用諾頓、卡巴等的“智能掃描”、“iSwift”和“iChecker”等技術(shù)，再次掃描時(shí)的速度會(huì)大為提升。在國(guó)內(nèi)三強(qiáng)中，江民表現(xiàn)最好，瑞星速度最慢。

測(cè)試的各款殺毒軟件都具有實(shí)時(shí)監(jiān)控功能。相比之下，卡巴斯基由“反惡意程序”、“系統(tǒng)安全”、“在線安全”、“內(nèi)容過(guò)濾”組成的“4D”防御體系(如圖所示)使實(shí)時(shí)監(jiān)控和系統(tǒng)保護(hù)、主動(dòng)防御等功能高度融合、協(xié)同聯(lián)動(dòng)，涵蓋了應(yīng)用程序和文件監(jiān)控、Web和郵件監(jiān)測(cè)、即時(shí)通訊和流量監(jiān)控、家長(zhǎng)控制和設(shè)備控制等有關(guān)的軟、硬件資源和本地、遠(yuǎn)程應(yīng)用，監(jiān)控全面而精細(xì)，反映出深厚的內(nèi)功和嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)理念。

圖注：KIS 2009的“4D”防御體系

Avast!pro 4.8的監(jiān)控同樣強(qiáng)大，擁有防火墻、文件讀取、網(wǎng)頁(yè)防護(hù)、即時(shí)通訊、郵件收發(fā)、P2P軟件防護(hù)、腳本攔截等七大防護(hù)模塊和獨(dú)特的靜寂模式。ESS(NOD32)和諾頓游戲版支持文件操作、郵件收發(fā)、網(wǎng)頁(yè)瀏覽等常規(guī)監(jiān)控。

Mcafee 2009在安裝了個(gè)人防火墻、反垃圾郵件、隱私保護(hù)等組件后，支持功能也非常完善，擁有了文件、郵件、Web、流量等眾多豐富的監(jiān)控功能。趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009支持敏感文件和服務(wù)修改、Web欺詐、隱私數(shù)據(jù)防竊、郵件收發(fā)等監(jiān)控。Dr.web大蜘蛛5.0自帶SpIDer Guard實(shí)時(shí)監(jiān)控程序，提供“智能”和“其它”兩種監(jiān)控模式(如圖所示)，支持文件、郵件和惡意程序等監(jiān)控。

圖注：Dr.web大蜘蛛5.0的SpIDer Guard實(shí)時(shí)監(jiān)控程序

在國(guó)內(nèi)三強(qiáng)中，金山和江民的監(jiān)控(如圖所示)較周全，支持文件、郵件、網(wǎng)頁(yè)、即時(shí)通訊、腳本(惡意行為)監(jiān)控;而瑞星只有文件和郵件兩類(lèi)監(jiān)控，只是在賬號(hào)保險(xiǎn)柜和嵌入式殺毒中支持QQ和MSN，其防火墻也主要防范漏洞攻擊和蠕蟲(chóng)攻擊等，可見(jiàn)其監(jiān)控功能有待加強(qiáng)。

圖注：江民KV2009的監(jiān)控功能，比較完善

降低殺毒軟件的資源占用水平已成為廠商和用戶的共識(shí)，各廠商也在產(chǎn)品的研發(fā)和更新中不斷嘗試和突破。但由于殺毒軟件的核心引擎相對(duì)穩(wěn)定，外延功能又不斷擴(kuò)展，除非下大力氣徹底更新核心架構(gòu)，否則難有實(shí)質(zhì)性的突破。各殺毒軟件在監(jiān)控和掃描時(shí)的實(shí)測(cè)平均CPU/內(nèi)存占用水平如下表所示：

資源占用水平對(duì)比表

從表中可見(jiàn)，諾頓游戲版憑借NIS 2009版中300多項(xiàng)改進(jìn)和60余項(xiàng)創(chuàng)新所帶來(lái)的脫胎換骨式的革新，在資源占用方面獨(dú)領(lǐng)風(fēng)騷，笑傲群雄。這也證實(shí)了諾頓官方宣稱(chēng)的“零資源占用”并非夸夸其談。而作為微軟曾“御用”5年、全球唯一54次通過(guò)VB100認(rèn)證的ESS(NOD32)也同樣表現(xiàn)不俗。

Avast!pro 4.8也顯示出不凡實(shí)力。趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009和Dr.web大蜘蛛5.0也表現(xiàn)不錯(cuò)?？ò退够?009和Mcafee 2009比以往版本也有了一定程度的改進(jìn)，但還算不上“身輕如燕”，尚需進(jìn)一步優(yōu)化。國(guó)內(nèi)三強(qiáng)中，金山表現(xiàn)最好，這可能與其起家時(shí)采用的引擎架構(gòu)有關(guān)——從金山毒霸Ⅴ至2009，其資源占用水平總體優(yōu)于瑞星和江民，這一優(yōu)勢(shì)，至今未變。

病毒與反毒的斗爭(zhēng)早已白熱化，越來(lái)越多的病毒已由最初的躲避變?yōu)橹苯印皻⒌簟睔⒍拒浖?。保護(hù)自身的安全對(duì)于殺毒軟件來(lái)說(shuō)至關(guān)重要。我們通過(guò)任務(wù)管理器和IceSword 1.22兩種途徑來(lái)嘗試終止殺毒軟件的進(jìn)程，以此測(cè)試其自我保護(hù)能力。需要說(shuō)明的是，本項(xiàng)測(cè)試只是希望對(duì)新一代安全軟件的自我保護(hù)功能進(jìn)行一次簡(jiǎn)單的挑戰(zhàn)，以體驗(yàn)一下其自我保護(hù)的功能設(shè)計(jì)，而不能完全代表其真正抵御病毒破壞的能力。

進(jìn)程終止測(cè)試對(duì)比表

由進(jìn)程終止測(cè)試對(duì)比表可知，10款殺毒軟件中自我防護(hù)能力最差的是趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009，用任務(wù)管理器即可輕松終止除TMBMSRV進(jìn)程外的其余進(jìn)程，致使趨勢(shì)2009失效，其次就是ESS(NOD32)，egui進(jìn)程一旦被任務(wù)管理器終止，就會(huì)導(dǎo)致任務(wù)欄調(diào)用ESS異常。其它8款軟件都具有一定的自我保護(hù)能力，能有效對(duì)付一般的進(jìn)程終止企圖，但在IceSword的“屠刀”下，表現(xiàn)各異。

諾頓游戲版、Avast!pro 4.8和金山毒霸2009毫無(wú)還手之力，立馬被斬;卡巴斯基在啟動(dòng)IceSword時(shí)會(huì)提示其屬于“低限制組”程序，詢問(wèn)是否放行。首次終止其雙進(jìn)程AVP時(shí)未獲成功，但終究無(wú)法抵抗IceSword的凌厲攻勢(shì)，多次抗擊后“陣亡”; Mcafee 2009很有意思，在任務(wù)管理器中被終止后又自動(dòng)加載，但被IceSword “斬殺”后就再也“無(wú)力回天”了;瑞星2009同樣在頑強(qiáng)抵抗后“犧牲”;只有江民2009和Dr.web大蜘蛛5.0固若金湯、堅(jiān)不可摧，IceSword也無(wú)計(jì)可施，看來(lái)它們“刀槍不入”的“鐵布衫”果然名不虛傳!

主動(dòng)防御技術(shù)使殺毒軟件變被動(dòng)查殺為主動(dòng)出擊，一改過(guò)去“事后諸葛亮”的形象。它通過(guò)總結(jié)病毒和木馬的編碼規(guī)則和活動(dòng)特征，分析系統(tǒng)中各API接口之間的邏輯關(guān)系，在病毒庫(kù)中沒(méi)有特征碼的條件下力圖識(shí)別未知的病毒或惡意軟件。

各大殺毒軟件在識(shí)別未知病毒方面各有高招。諾頓采用了基于行為殺毒技術(shù)的實(shí)時(shí)SONAR主動(dòng)防護(hù)，結(jié)合官方服務(wù)器來(lái)對(duì)文件和進(jìn)程進(jìn)行安全認(rèn)證，所有“安全”的文件和進(jìn)程會(huì)獲得“安全證書(shū)”，取得高信任級(jí)別，從而快速捕獲潛在的未知威脅。

卡巴斯基也通過(guò)官方服務(wù)器對(duì)全球用戶上傳的數(shù)據(jù)匯總分析，以此比對(duì)可疑文件和進(jìn)程。ESS(NOD32)、Mcafee 2009、Avast!pro 4.8和Dr.web大蜘蛛5.0是啟發(fā)式殺毒技術(shù)的典型代表，尤其是ESS(NOD32)采用的ThreatSense引擎高級(jí)啟發(fā)式檢測(cè)技術(shù)，通過(guò)代碼分析、基因碼和動(dòng)態(tài)虛擬機(jī)三種手段檢測(cè)各種變種和未知病毒;而Mcafee 2009新一代主動(dòng)保護(hù) (Active Protection)也能提供全面的即時(shí)檢測(cè)和即時(shí)保護(hù)功能。啟發(fā)式殺毒無(wú)疑是未來(lái)反病毒技術(shù)發(fā)展的重要趨勢(shì)，為我們提供了一種通用的、無(wú)需頻繁升級(jí)、先知先覺(jué)式的病毒檢測(cè)技術(shù)。

趨勢(shì)網(wǎng)絡(luò)安全專(zhuān)家2009則是采用OSP系統(tǒng)主動(dòng)防御技術(shù)，實(shí)時(shí)檢測(cè)系統(tǒng)內(nèi)核、注冊(cè)表、進(jìn)程等15處項(xiàng)目，結(jié)合“云安全”網(wǎng)絡(luò)防護(hù)技術(shù)來(lái)防范可能的病毒和威脅。國(guó)內(nèi)三強(qiáng)中，瑞星和金山是“云安全”技術(shù)的推崇者，通過(guò)官方服務(wù)器和龐大用戶群上傳的病毒庫(kù)來(lái)分析可疑文件和進(jìn)程，同時(shí)提高殺毒軟件的響應(yīng)速度和病毒處理能力。

江民則另辟蹊徑，將“虛擬機(jī)脫殼引擎(VUE)”技術(shù)、啟發(fā)式殺毒和“沙盒”技術(shù)結(jié)合起來(lái)，強(qiáng)調(diào)“云安全”防毒系統(tǒng)與未知病毒防殺技術(shù)的融合，致力于構(gòu)建“從已知病毒的迅速響應(yīng)到未知病毒的立體防殺”安全防范體系。