明明是一个JPG格式的图片文件,打开后电脑右下角莫名开始弹出许多广告;还有QQ群、论坛、微博上疯传的《人事变动通知》、《放假通知》、《2013预算总表》等压缩包文件,点一下电脑上的Word、PPT、Excel文件全变成了乱码,你说害人不害人?
其实,黑客只要给病毒木马加个强“壳”,就能绕过不少安全软件。据悉,在目前已知病毒中,90%以上做了“加壳免杀”处理,有的病毒制造者甚至给病毒加上10多层壳,这就需要用户的杀毒软件必须具备出色的破壳查杀能力。接下来,我们甄选了国内安全市场的五款安全软件:360杀毒、卡巴斯基、金山毒霸、瑞星、电脑管家,做一次“破壳查杀”能力的专项测试。
一、测试原理:
一般来说杀毒软件对加“壳”文件的理想化处理方式为:先解壳-->再对比定义库-->最后判断是否为威胁,但有的安全软件纯粹就是“花架子”。要么无破壳能力干脆遇“壳”就报,要么破“壳”水平太差直接破坏了正常的测试文件。故除了检测各参测杀软的破“壳”查杀能力之外,“误报误杀”也是本次测试的另一项重要参考指标。
二、测试软件
测试样本部分来源于国内安全论坛,部分由测试组自制。收集的新样本主要用于测试破“壳”查杀环节,自制样本主要用于检测误报误杀。
四、测试结果
1、卡巴斯基
卡巴斯基安全部队2012虽然占用资源更大,但具有虚拟键盘保护,紧急检测系统等特色功能,可实时保护用户免遭各类互联网威胁的侵害。且作为国际知名杀软品牌,卡巴斯基的破“壳”查杀能力一直盛名在外,测试组成员都忍不住跃跃欲试了。
从测试的结果来看,卡巴斯基的破“壳”查杀能力相当的令人震惊,查杀率高达97%。唯一美中不足的是其在误报误杀环节的测试成绩不太理想,综合来看除了要“收费”之外,卡巴斯基的破“壳”查杀能力还是值得肯定的。
2、360杀毒
拥有自主研发的第二代QVM人工智能引擎的360杀毒4.0,据说可秒杀新生木马病毒。且让我们看看坛友们上传的这些最新加壳样本,它能否一一秒杀之。
从具体测试结果来看,360杀毒4.0最新版破“壳”查杀能力仅次于卡巴斯基,不过96%的成绩也不错,同时误报率也比较低,说明其查杀更追求精准,使得360杀毒综合成绩超出了卡巴斯基。
3、金山毒霸
传统杀软都有一个巨大的病毒库,这也使得其安装包极为臃肿。那么是否意味着小体格的金山毒霸是否安全防护能力也较小?带着这样的疑问,我们测试了金山毒霸的破“壳”查杀,及对专用测试包的误报误杀的能力。
虽然在“云安全”时代,越来越多的杀毒软件将病毒库放在了云端,减少了对用户资源的占用。但就金山毒霸在破“壳”查杀环节的测试成绩来看,有过“壳”而不入的异常表现,这令测试组颇为费解,因为查杀少的缘故误报误杀也较小,这是个坏逻辑。
4、瑞星杀毒
瑞星是除了金山之外另一家国内老牌安全企业,早在2009年瑞星公司就专门推出了具备破“壳”查杀能力的杀毒软件,那么它的表现如何?让我们在测试环节见真章。
测试结果表明,新版的瑞星杀毒V16破“壳”查杀能力表现中规中矩,对测试样本的拦截率达到了87%。同时,它在误报误杀测试环节的表现也较为令人满意,综合来说有“宝刀不老”的气势。
5、电脑管家
电脑管家作为腾讯系安全产品,在安全领域堪称异数。我们的疑问是,腾讯是否有独门安全技术,能真正做到破“壳”查杀?接下来让我们逐一进入两项测试。
从具体测试的结果来看,电脑管家和金山毒霸有同样的问题,对于某些加“壳”技术和手段相对高明的测试样本,基本上没有什么查杀能力。这样的好处是,误报误杀率也相应地有所降低,只是不知道这算不算“捡了芝麻丢了西瓜”呢?
五、测试总结
通过这次破“壳”查杀能力的小测试中我们发现,国内有些杀毒软件这样的毛病不少,有些软件更像玩票的,管你安全不安全加“壳”就报就杀。遇上真正加“壳”水平较高的病毒木马干脆装聋作哑,这有点令人难以接受。综合全部五款参测杀软的平均成绩来看,卡巴斯基、360杀毒是本次测试的胜出者。