标题:
[Z]一位黑客眼中的国产“杀毒软件”
[打印本页]
作者:
chengxyt
时间:
2009-6-14 13:58
标题:
[Z]一位黑客眼中的国产“杀毒软件”
瑞星狮子:技术亮点分析:
1.木马入侵拦截--网站拦截:说实在的,要说防挂马这方面,瑞星真的是下足了功夫~尤其是度加密网页的解密程度自动化确实令人惊讶,对于漏洞类的网页挂马尤其有效~在这方面可以说世界领先了~
2.木马入侵拦截--U盘拦截:基本杀软都有的东西~没什么特色,无非是增加站位文件,而搞笑的是正是这些删不掉又隐藏的英文站位文件让小菜鸟看到后穷紧张~
3.木马行为防御:从2008开始抄袭卡巴的东西~2008的主动防御是纯粹的调用函数就报警~很容易被绕过~再加上拦截不彻底~等病毒项进入注册表后再清理,根本没什么实质作用(如果有哪个傻瓜作者会主动让主防拦截自己的木马除外~)2009说是进行了改动,实质也只是故了些钩子增加了些函数而已~SSTD还是没封-_-与有底层驱动检测和防护的卡巴来讲还是差了一大截。
4.网络攻击拦截:对菜鸟来说,瑞星防火墙是最好的选择~(最起码不至于让他连不上网络,不会废到用天网或者windows自带防火墙的地步~PS:天网N久没出新版本了,不废才怪)
5.恶意网址拦截:由于其恶意网址库对关键字的定义~所以很神经质,登陆一些脚本,外挂,黑客网站都一样会报,对于菜鸟来说也许不错~但对于黑客同志和外挂脚本的FANS们则很是讨厌。
6.出站攻击防御:鸡肋功能,扫荡波就是个很好的例子~没见这个防御有什么动作~所以说,这个功能只对魔波以下的版本才有作用。
总评:用来防挂马还不错~
金山毒霸:技术亮点分析:
1.MSN聊天加密功能:倒~确实是"新颖"的功能~对于上班一族的MSN常用户终于可以免受性感鸡等MSN病毒的困扰了~不过对于其他杀软的"保险箱"技术~这个真的有优势么?值得期待。
2.智能主动漏洞修复:接着倒~金山这个功能未免太多了点~毒霸带一个,独立一个,清理专家再加一个~一共三个漏洞扫描,真是太多余了,不用我说大家也明白又是个没有优势的技术,虽然修补漏洞的速度是很快。
3.安全程序识别:金山2008开始推广的新技术,那时瑞星等紧跟卡巴的主动防御风,唯独金山推出了这个安全技术识别,也就是现在的互联网安全认证,很实用,也很可靠~在国内实属首创~也吸引了很多FANS,之后的事大家都知道了,瑞星马上又跟风,换个名字~整了个"云计划"(真是鄙视~我习惯把它称为"孕计划"~)虽然这项技术日益成熟~但也不可能像广告里说的那样能提升日处理病毒率100倍。不过对于每天过几个小时就弹出的升级对话框,用户可要感谢它。
4.超强自我保护:。无语,完全字面~看不出超强在哪里~难道不能被windows任务管理器,或者Process Explorer这类软件干掉,就算超强了?。,底层!底层不懂么?!再加上映像劫持(金山一直没有拦截这方面的东西,相反的恶意行为拦截这个功能,基本上就是个摆设,有谁见过这个功能,有起作用的话,一定要告诉我)所以一点抵抗力都没有,自称超强防护就有点恶心了。
5.金牌客服在线:这个都能拿来做技术亮点?。确实金山的客服很方便,能在毒霸本身界面上就能找到,而且在线交流,相比之下还是不错的。
总评:还是原味的"云安全"好,互联认证还是毒霸强
江民科技:技术亮点分析:
1.启发式扫描:的确是国产的第一个启发扫描利用,不过比起NOD32的高启发,实在是小巫见大巫,也没让本来扫描方面就平庸的江民有更好的表现。
2.内核级自防御引擎:江民确实是"内核"级了~相比瑞星这样的"半内核"级对抗上能力确实更强,无愧有"小卡巴"之称,不过江民的确有点实心有余而力不足,虽然提供了内核级的保护,却没有做到像卡巴那样好的兼容,导致卡死、蓝屏更甚过其榜样卡巴,只能说是自找麻烦。
3.虚拟机脱壳:鸡肋功能,早就证明过这类技术根本无法"完全可能"虚拟机脱壳再杀确实是解决识别免杀壳的好方法,不过虚拟机需要消耗大量的系统资源,脱壳时会觉得很卡,同时,不是人为操作,自动脱壳的识壳的能力本身就漏洞百出,这就是为什么超不过卡巴的查壳的原因。
4.沙盒"(Sandbox)技术:像虚拟脱壳机一样,没完全可能的技术,只能用一半而已,该技术就是将可疑文件,放入沙盒运行后,分析是否是病毒,让病毒在虚拟的系统(沙盒)中运行一次,既不会造成破坏,也会大大简单查杀未知病毒的难度,以及降低误杀率,很好的方法,问题和上面一样,就是系统资源上根本不允许,明明查毒时狂占用CPU利用还来个沙盒分析,你以为是8核哪?!效率也是个问题,把所有可疑文件和病毒都放进沙盒运行一遍再分析,得等多少时间?
5.反病毒Rootkit/HOOK:如同字面意思,用来检测利用Rootkit技术隐藏的病毒文件,或者恢复HOOK钩子破坏杀软文件,防止被安全软件所查杀,Rootkit还好说,卡巴早有的东西,给"垃圾巡警"带来N多误报的东西,至于HOOK钩子,所谓的防御就是接管病毒常用的HOOK钩子,这样的缺点显而易见,很容易被某些清理软件作为危险项清理掉从而失去保护能力。(类似卡巴2009的悲哀)况且,现在病毒利用的HOOK钩子花样百出,哪只限于原来的几样,只怕是亡羊补牢,为时已晚呢。~
总评:有心做,却无力做好的杀软
费尔托斯特:技术亮点分析:
1.动态防御系统(FDDS):简单点来说就是有点像间谍或者狗仔队?(说的难听了点。)。无时无刻的跟踪每个程序,不像其他杀软监控,检测完毒就放着不管,也不像其他主防等有危险动作再弹窗口,真正的无时无刻跟踪,不放过任何一个细节,由于采用的是动态跟踪以至于报警非常频繁(尤其是注册表),现版本中发现可疑程序的同时还会自动通过互联认证(云安全)确认程序安全,不过对菜鸟而言过于繁琐,对高手而言又显得无聊和啰嗦,需要更加自动化、人性化一点。
2.SmartScan快速扫描:其实不应作为亮点来说的,连名字都不改直接抄袭诺顿的东西,不过确也实用~速度快,侦测率也不低。
3.木马强力清除助手:首先开创"暴力删除、抑制再生"的先河,强有力的辅助删除无法解决的木马文件,同时其抑制再生可防止病毒文件再次生成,当时可以说威震一时,连著名的Unlocker也甘拜下风,实属典范。
4.低资源占用:虽然现在很多杀软都说是"低资源占用"但很难做到,以前的榜样NOD也开始"学坏"了,ESS安全套装更是赶超卡巴,不过费尔做的确实可以说是"亮点"同样也是监控和查杀,在不影响侦测率的情况下,资源占用控制的非常好,比起同类是略胜一筹。
总评:杀木马比较在行,杀病毒会很郁闷
东方微点:技术亮点分析:
1.主动防御:本身就是作为微点的"卖点"来做的,独撑门户的技术,其实就是,动态监视所运行程序调用各种应用程序编程接口(API函数)的动作,如果说木马病毒、蠕虫盗号,想要运行但不调用系统API函数是不可能的,所以自然逃不过侦测~(当然,调用的方式千差万别,躲避侦测的方式也是花样百出,不可能100%的完全侦测,所有杀软都一样,不存在100%的检测率),再根据行为库进行判断,比起特征码查杀的过时性,以及主防弹出让莫名的窗口由用户自己判断这个动作是否具有威胁,要好的多,更加傻瓜化,不升级也能防御某些新病毒的秘诀就在于此。
2.智能病毒分析技术:不同于云安全的"集中收集"-"自动上报分析"-升级客户端的方法,形象的说就像人体的免疫系统一样,遭遇病毒入侵后会产生抗体消灭,而消灭病毒后,人体就会自动记下这种抗体,以便以后再遇到这种病毒时能轻松应对,这个技术就是采用这个原理,在病毒运行后自行产生"特征码",在不知不觉中,毒库就自动"本地升级"了,所以实在说不出,微点到底有多少数量的"病毒库"
3.强大的病毒清除能力:用微点不同与其他杀软会出现"重启后再清除"或者被"隔离"、"禁止访问"微点几乎全是清除和删除,原因就在于,微点用的是内核级对抗(和冰刃的文件删除是一个原理),不采用windows本身的删除机制(windows的删除机制是,如果文件被占用,则无法删除),更底层的删除方式就可以完全无视这种机制,轻而易举删除病毒文件。
4.溢出攻击防护能力:测试了下,虽然微点没有说明,但根据结果来看,这个溢出防护不是现在网页挂马流行的0day或者Flash溢出漏洞,而是针对系统本身的远程溢出攻击,如果再早个几年的话,这个技术确实非常实用~几乎可以代替当时windows所有的安全补丁,不过现在就老套多了,基本上很少有蠕虫病毒和黑客会对本地计算机采用"远程溢出攻击"了~(注入网站、入侵数据库的除外)现在可是木马横行的时代。
5.病毒衍生物/攻击源侦测:因为是动态监视API函数(用过OD的都清楚)所以步骤都会了如指掌,这也正是动态分析技术的优势所在,马上就可以分析出病毒都产生了哪些衍生物和危险文件,从而清理的更彻底。不过呢,对于系统没有危害的衍生物。(例如展位文件等)就有可能不被清除而残留下~如果中毒多了,也是件很郁闷的事。
作者:
masculine
时间:
2009-6-15 09:02
很好很强大。。。不知道LZ推荐实用什么杀软呢??
作者:
chengxyt
时间:
2009-6-15 12:24
以前的KV(那个炸弹不算)还真的不错, 现在么衣果奔
作者:
大土豆
时间:
2009-7-2 10:27
强烈推荐衣果奔
作者:
fyddt
时间:
2011-2-17 12:16
微软的MSE,比裸奔好点
作者:
fyddt
时间:
2011-2-17 12:19
广告挖坟党
作者:
conan
时间:
2011-2-19 20:17
灌
作者:
小牛顿
时间:
2011-2-20 10:12
我是使用的东方微点,感觉不错。
东方微点+金山卫士,总体还好。
欢迎光临 NBCLUB笔记本电脑俱乐部 合肥THINKPAD APPLE LENOVO DELL专卖店 (http://nbclub.net/DISCUZ/)
Powered by Discuz! 7.2