驱逐舰5.0a与金山毒霸对比测试
驱逐舰5.0a与同类产品对比测试
“不怕不识货,就怕货比货“,目前杀毒软件市场群雄逐鹿,做为最终用户究竟该怎样择计算机病毒防护产品呢?
俗话说,“有比较才有鉴别”,下面我们就驱逐舰(Virus Chaser)和金山毒霸的最新防病毒产品进行一个全方位的评测,以供最终用户在选择计算机病毒产品时参考。
以下让我们一起来开始测试过程:(测试时间: 2007年03月18日)
第一节 测试硬件配置
CPU: 迅驰1.66G
内存:256M
硬盘:4200 RPM IDE硬盘
其他:标准配件
第二节 测试软件环境
操作系统:
Windows XP SP2 简体中文版
杀毒软件:
n 驱逐舰(VirusChaser)5.0a + 最新病毒升级包
n 金山毒霸(Duba) 2007 + 最新病毒升级包
界面对比及病毒库版本:
⑴、驱逐舰(VirusChaser)5.0a:
⑵、金山毒霸(Duba) 2007:
第三节 主要测试目标
n 资源占用对比测试
n 实际杀毒能力对比测试
n 特有双重保护
n 特有的智能自动升级
n 变种查杀能力对比测试
n 内存查杀对比测试
第四节 测评过程
4.1 资源占用对比测试
通常对于一个应用软件(杀毒软件是一种用于辅助用户进行病毒预防与清除工作的工具性软件)来说,其运行效率以及对系统的资源的利用率取决两个方面:(1)应用软件本身的大小;(2)应用软件的系统资源(CPU资源与内存资源)使用方式。
对于一个计算机防病毒产品来说,软件越大实现的功能可能越多,但随之而来的系统资源占用也就相应的增大,杀毒软件作为一个辅助用户进行病毒预防与清除的工具软件,其最核心的能力应该现在强大的病毒预防与处理能力,同时最大限度地降低病毒处理对用户系统资源的消耗,而不是一个“全能”但不实用的系统维护工具。下面我们一起来看看每个杀毒软件在安装前后文件的大小:
|
软件名称 |
安装文件 |
安装后 |
升级后 |
写入Windows文件夹 |
写入其它文件夹 |
|
金山毒霸(Duba) 2007 |
23.2 MB |
29.5 MB |
83 MB |
否 |
是 |
|
Virus Chaser5.0a |
7.20MB |
7.45MB |
7.76MB |
否 |
否 |
详述:
有些用户误以为现在的硬盘几十G、上百G,装几十M的软件有什么问题?
通常计算机防病毒软件为了最大限度提高系统安全系数,通常都采用“实时防护”+“定期全面扫描”相结合的双重的安全处理措施,而“实时防护”通常由计算机防病毒软件的“实时监控引擎”随着操作系统的启动而启动并驻留内存,实时监控计算机系统的活动,发现病毒立即处理(自动清除或报警),“实时防护”系统的性能直接影响到系统资源(CPU利用率以及内存空间)占用率,驱逐舰(Virus Chaser)采用Dr.WEB的优秀引擎,基于硬件的动态资源的分配方式,极大降低了计算机防病毒软件“实时监控”对用户系统的影响。
通常计算机防病毒的软件实时监控采用是系统资源完全监控方式,例如,当你打开一个文件夹的时候,它会自动扫描你文件夹所有的文件;打开一个网页的时候,会扫描所有的代码及下载的东西。从安全上来说,这是一种相对较为安全的保护方法,但是同时也最大化的占用了系统资源。
测试中,我们准备了一个包含有病毒的EML(邮件),并且该邮件文件被ZIP压缩。
我们在打开这个邮件的时候,杀毒软件并不会提示“系统感染病毒”,因为病毒并没有伤害到你的电脑或者发作,当我们再打开邮件的ZIP文件时,一样,驱逐舰(Virus Chaser)也不会提示“系统感染病毒”,下面当我们试着运行这个病毒或者将其从压缩文件中释放的时候,驱逐舰(Virus Chaser)将发出“病毒”警告并对其进行处理,以阻止计算机病毒的破坏及继续传染,从而最小化的占用了系统的资源。
病毒的破坏和传染有其一定的条件与环境,充分把握病毒传染与破坏的特性,驱逐舰(Virus Chaser)强大的内存扫描与修复能力,以极小的系统资源占用提供用户最强地安全防护,让用能拥有一个安全、健康的系统应用环境。
同时,在系统资源(CPU资源与内存资源)使用上,驱逐舰采用了基于硬件地资源控制方式,用户可以动态地对驱逐舰资源占用进行控制,根据用户的实际应用需求,用户可以手动调整驱逐舰扫描进程的优先级(驱逐舰可以根据扫描进程当前的优先级以及当前系统的闲置状况,采取强制优先或自动退避的资源调度政策,驱逐舰提供以下六种优先级供用户根据具体情况进行相应调整:实时(最高优先级)、高、高于标准、标准、低于标准、低(最低优先级)。默认情况下驱逐舰处于标准优先级,驱逐舰会根据各进程的资源需求动态的进行资源分配,以保证当前系统中的每一个进程都合理的使用系统资源,正常地完相应地任务处理,当驱逐舰处于实时优先级(最快状态)时,驱逐舰采取“强制优先”的资源调度政策,而忽略其他进程系统资源请求,以保证驱逐舰能够使用最多系统资源而更快地完成地病毒处理任务。当驱逐舰处于低优先级(最慢状态)时,驱逐舰会采取“自动退避”的资源调度政策,优先其他进程的系统资源请求,以保证其他进程的正常的运行),以调节驱逐舰的资源控制方法,且在保证用户当前应用需求的同时,最大限度提高系统利用率(即提高扫描速度)。
驱逐舰在内存空间的占用上采用了动态分配方式,根据用户物理内存空间大小以及当前的系统内存分配状况,动态调节系统内存的占用,通常,如果用户物理内存空间较大,且当前总体内存使用情况较为空闲的情况下,驱逐舰会自动调节自身内存空间的大小,以提高自身的工作效率以及系统的整体运行效率。当用户的物理内存空间相对较小的情况下,为保证用户其他应用的内存需求,驱逐舰将会适当地减少自身的内存占用以提高整个系统的整个运行效率。
作为一个好应用程序,应该能充分利用系统闲置资源,加快应用处理速度,提高系统的整体运行效率。
4.2 实际杀毒能力对比测试
为了保证我们的测试结果能更真实地反应出各款杀毒实际病毒处理能力,我们使用由英国BT世界权威病毒检测机构提供的198个病毒样本进行实际杀毒效果对比,该样本病毒库分类清晰、样本全面,且由BT机构定期更新。(说明:实际测试中我们不宜拿没有病毒的硬盘文件来去做检查,这无法真实地反应出各杀毒软件实际的病毒处理速度与处理能力,病毒的检测与处理,各个软件公司都有自己的技术,比较科学的测评办法是使用由第三方权威机构(如,国家计算机病毒应急处理中心,英国BT世界)提供的不同类型、收集全面的病毒样本来统一检测各个杀毒软件的扫描速度、准确率以及实际的病毒处理能力)。在硬件、操作系统环境、设置一样,并且各版本杀毒软件都升级为病毒库的情况下测试后,大概结果如下:
由英国BT世界权威病毒检测机构提供的198个样本病毒
⑴、金山毒霸(Duba) 2007:
对198文件进行了214次的检测,扫描时间8秒,检测到病毒151个。
⑵、驱逐舰(VirusChaser)5.0a:
对198文件进行198次检测,扫描时间5秒,最后检测出病毒190个。
小结
杀毒软件是因计算机病毒存在而存在,并且伴随着计算机的病毒的发展而发展,病毒与反病毒是一个动态发展、不断斗争的过程,事实上,既不存在一劳永逸的安全,同样也不存在能够查杀所有病毒的软件,所以,杀毒软件选择必须“三比而后行”(性能、价格、服务)。
4.3 特有的双重保护
通常情况下,计算机防病毒软件是一个特殊的应用程序,工作在Windows操作系统与用户应用程序之间,通过监控内存或是硬盘的方式实现计算机病毒的安全防护,做为一个良好的计算机病毒防护软件,首先必须具有良好内存或硬盘控制能力,其次是良好的自我保护能力,但是,事实上良好自我保护只是相对,计算机防病毒软件首先是一个应用程序,它具有许多应用程序固有的特征,所以,通常防病毒软件的自我防护只是相对的,为了提高计算机病毒的防护能力,我们必须另辟蹊径,从根本提高防病毒软件自身的安全系数。
针对传统计算机病毒防护软件固有的缺陷,驱逐舰(VirusChaser)提出了“双重防护”的概念,在保留传统应用程序防护层基础上,利用俄罗斯Dr.WEB的优秀的技术实力,在BIOS(基本输入/输出接口)与Windows操作系统之间,提出“底层防护”的概念,开发了基于硬件的“设备驱动级”病毒防护,实现了在传统应用层病毒防护引擎被“恶意”病毒强行关闭(或被用户人为退出)后,仍然能正常保证计算机系统的安全。以下是传统计算机病毒防护软件同驱逐舰(VirusChaser)的防护原理示意图:
现在的杀毒软件普遍都带有实时病毒监控功能。而从技术上的角度来说,目前大部份的杀毒软件都支持主动监控全部,包括对打开的文件夹及同一位置下的所有文件进行主动检查,虽然这种监控方式提升系统监控地安全性,但是同时也大量的浪费了电脑资源。Virus Chaser 特有的双重保护,在充分优化系统资源的同时,给用户提供更高的安全性。
以下是驱逐舰(VirusChaser)与同类产品在防护性能上的比较:
|
软件名 |
监控 |
底层监控 |
监视时退出 |
主动监控全部 |
病毒运行前保护 |
内存检查并修复 |
|
金山毒霸(Duba) 2007 |
√ |
× |
√ |
√ |
√ |
√ |
|
Virus Chaser 5.0a |
√ |
√ |
×* |
×* |
√ |
√ |
传统应用程序层监控:
Win9X下的底层监控:
驱逐舰(VirusChaser)在传统应用层病毒防护被“恶意”病毒强行关闭的情况下,仍然能正常地发挥实时防护作用。
按照感染的病毒种类,只允许键盘输入,在画面的右侧表示字母表。按照表示的字母意思,可以通过键入键盘方式,对病毒感染文件采取措施。
|
S |
Shutdown |
结束命令。此时,有可能丢失正在执行中的操作信息。 |
|
R |
Rename |
修改相应文件名。 |
|
L |
Lock |
不允许接近相应文件。 |
|
C |
Cure |
修复相应文件。 |
|
M |
Move |
将相应文件移到Virus驱逐舰根目录的“infected!!!”文件夹中。 |
|
D |
Delete |
删除相应文件。 |
|
I |
Ignore |
忽略被病毒感染的文件,继续操作。 |
|
O |
Ok |
对控制台上信息进行确认。 |
[注意]
Windows NT、 2000、 XP、 .NET 的情况下,不显示控制画面而Lock(锁定)相应文件,以切断用户或系统、其他恶性程序的接入;对被锁定的文件可以进行删除,但即使是可修复的病毒,也不能恢复。此时,重新启动系统,就可以解除锁定。
4.4 特有的智能自动升级
据国家计算机病毒应急处理中心最新报告显示,当前计算机病数量已超过10万,且每天以30个新病毒的速度持续增长;
电脑危害产生的原因,90%以上来原于新病毒,10%来自旧病毒,所以杀毒软件的升级是否及时直接影响到杀毒软件的病毒处理性能。
与其它产品每周进行两、三次的升级不同,驱逐舰特有的自动升级功能对病毒进行最快的防范。
通常,杀毒软件的实际升级效果(有效升级:病毒库记录数量的增加、引擎版本或软件版本真实产生变化的升级即为有效升级)与以下两个方面有关:
1) 杀毒软件厂商的升级政策,包括病毒库的更新周期、引擎的更新周期以及版本的升级限制等等;
2) 防病毒软件的升级方式,通常防病毒软件的升级方式有以下三种:全自动后台升级、周期性自动升级、手动升级、定时升级等等。
以下是驱逐舰(VirusChaser)与同类产品在厂商升级政策上的比较:
|
软件名称 |
升级服务器的位置 |
常规病毒的更新周期 |
变种病毒的更新方式 |
引擎的更新周期 |
版本的升级限制 |
|
金山毒霸(Duba) 2007 |
中国 |
平均2天一次 |
未知 |
每年(手动) |
更换新版本 |
|
Virus Chaser 5.0a |
中国 |
一天大约4次 |
单个变种立即更新 |
自动检测 |
可跨版本升级 |
以下是驱逐舰(VirusChaser)与同类产品在升级方式上的比较:
|
软件名称 |
每星期都有效升级 |
每天都有效升级 |
平均升级容量 |
平均每次有效升级病毒数量 |
升级后重启操作系统 |
智能修复软件本身的文件 |
|
金山毒霸(Duba) 2007 |
√ |
× |
>500K |
未知 |
有时 |
无法 |
|
Virus Chaser 5.0a |
√ |
√ |
2~6K |
1~100 |
无需 |
升级时自动 |
驱逐舰(VirusChaser)智能升级的优势:
每天自动升级2~8次,每次升级2~6K,平均有效升级2次以上,优化的网络流量,提高升实时性与可行性;
智能化随机升级方式,降低了多客户同时升级而引起的网络瓶颈。
4.5 变种查杀能力对比测试
变种病毒是伴随着计算机病毒的发展提出的概念,是针对当前流行病毒传播方式的一种形象的描述。变种病毒是指计算机病毒在生产或传播过程中通过不断改变自身的病毒特征,而产生同一类型的一系列变体,通常情况下,这一系列的变体具有相同的功能,但是具有不同病毒特征码,变种病毒的出现给计算机反病毒行业提出了新的要求,同对也计算机防病毒软件提出更高的技术要求。
现行的计算机病毒变种主要有两种方式:(1)手动变种,通过变种程序,也称为“病毒生产机”,(2)自动变种,病毒程序自身具有自我变种的功能。
欧美流行的PETITE和UPX应用程序加密工具,在程序员中很流行,通常电脑程序是由程序员使用某种计算机语言(Viusal Basic , C++等)编写然后通相应的编译工具生成最终的用户可执行程序,虽然编译对程序员作品(程序的源代吗)有一定的保护作用,并且提高应用程序的运行效率,但对部分个中高手(黑客、高阶程序员)来讲,简单的编译对他们来讲是不具备任何保护作用的,他们可以通过反汇编等程序调试或反编译工具对程序员的作品进行破解、篡改,最终导致程序员的作品得不到保护与尊重,甚至被别有心的人所利用,但是经过PETITE(针对32位程序)或UPX(主要针对16位程序)打包后,在能够正常运行该程序的同时,该程序的文件大小将会被压缩到最小,并且所有数据都进行加密,如果此时需要对打包过的程序进行查看内核的话,必须先将该文件进行脱壳后才能再破解.但脱壳是一件很麻烦的事,所以,PETITE和UPX是程序员挚爱的应用软件加密工具。
凡事有利也必有弊,任何事务都有其两面性,一些别有用心的黑客,病毒制造者也发现PETITE和UPX等等应用程序加密工具的“优秀特性”(病毒是破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码),通过使用这些工具的“优秀特性”,通过在加密过程输入不同或随机的可变参数,由源病毒经过工具的处理产生同一类型(功能性相同)且具有不同二进制特征的一系列变种病毒,给计算机反病毒行业提出了新的要求,同对也计算机防病毒软件提出更高的技术要求。
PETITE和UPX也从此成为目前最为流行的病毒变种工具。
以下驱逐舰同国内外其他品牌的杀毒软件的在处理压缩文件、PETITE和UPX变种病毒的性能比较:
|
软件名 |
Zip/Rar |
Cab/其它压缩包 |
邮件 |
多选文件 |
PETITE |
UPX |
|
金山毒霸(Duba) 2007 |
√ |
√ |
√ |
√ |
× |
√ |
|
Virus Chaser 5.0a |
√ |
√ |
√ |
√ |
√ |
√ |
(一)、PETITE变种病毒测试
我们对一个未打包之前所有杀毒软件都能认出来的病毒文件进行PETITE打包.
经过PETITE变种的病毒原体以及变体
⑴、金山毒霸(Duba) 2007:
⑵、驱逐舰(VirusChaser)5.0a:
通过测试,我们发现,驱逐舰增强版和金山(Duba)2007 均能完整地处理原体病毒和经过PETITE处理过的变种病毒,具有良好地变种识别与处理能力。
(二)、UPX变种病毒测试
我们对一个未打包之前所有杀毒软件都能认出来的病毒文件进行UPX打包。
UPX变种工具以及变种前的病毒原体
使用UPX对病毒原体Hellokitty.exe进行变种
经过UPX变种的病毒原体以及变体
⑴、金山毒霸(Duba) 2007:
⑵、驱逐舰(VirusChaser)5.0a:
通过测试,我们发现,驱逐舰增强版和金山(duba)2007 均能完整地处理原体病毒和经过PETITE处理过的变种病毒,具有良好地变种识别与处理能力。
4.6 内存查杀对比测试
做为一个优秀的计算机防病毒软件,对内存病毒的查杀,应该达到以下要求:
1. 能清除内存的活动病毒;
2. 清除病毒来源,以防二次感染;
以下是驱逐舰同国内外其他杀毒软件在内存病毒处理上的对比测试:
|
软件名称 |
是否具有独立的内存扫描能力 |
是否具有内存程序嵌入式扫描能力 |
能清除内存中的活动病毒 |
能清除病毒来源 |
系统核心程序的修复能力 |
|
金山毒霸(Duba) 2007 |
有 |
有 |
是 |
是 |
通过紧急修复盘 |
|
Virus Chaser5.0a |
有 |
有 |
是 |
是 |
重启后自动修复 |
⑴、金山毒霸(Duba) 2007:
金山毒霸(Duba) 2007成功的清除内存病毒
⑵、驱逐舰(VirusChaser)5.0a:
驱逐舰5.0a成功的清除内存活动病毒
通过测试,我们发现,驱逐舰(VirusChaser)5.0a和金山毒霸(Duba) 2007均能满足以上的内存病毒查杀的标准。