1、杀毒软件对比测试报告杀毒软件对比测试报告 杀毒软件对比测试报告目录1 背景和目标 12 测试准备 22.1 测试样本 22.2 测试环境与测试方法 23 测试结果 33.1 Forefront Client Security 33.2 Symantec 10.1企业版 73.3 卡巴斯基6.0个人版 93.4 McAfee Internet Security Suite 2008 123.5 瑞星2008下载版 143.6 江民2008标准版 164 第三方测试结果 195 测试总结 201 背景和目标由于目前木马、流氓软件等新型的恶意代码泛滥,对企业的系统安全造成很大的威胁,仅仅对病毒的防护
2、已经不能满足企业发展的需要。为了保障企业客户端计算机的系统安全,需要构建主动的恶意代码防护系统。2 测试准备2.1 测试样本本次测试选用了两个自备的病毒样本包。一个是网上流传的7176个病毒样本,约3573个病毒。此样本包括DOS病毒到一些流行病毒,优点:病毒样本数量较多,可以测试出杀毒软件普通的杀毒效果。缺点:病毒样本偏旧,有些病毒无法感染现有的操作系统,比如DOS病毒。所以很多杀毒厂商已把这些病毒排除在自身病毒库,不能查杀。另一个是笔者自己收集的现流行的病毒木马,有231个文件,约200个病毒。优点:病毒样本新(包括比较流行的熊猫烧香,机器狗,AV病毒,盗号木马等)。缺点:流行病毒,破坏性
3、较强,部分杀毒软件无法查杀。由于自备病毒样本包可能在病毒选择上存在偏差,会造成测试结果与产品的真实查杀情况发生比较到的变化,因此。我们在本次评测过程中也将参考其它第三方评测机构评测的结果。2.2 测试环境与测试方法测试平台:Microsoft Virtual PC搭建的虚拟机测试系统:Windows XP SP2 测试软件:微软Forefront Client Security,Symantec 10.1企业版,卡巴斯基6.0个人版,McAfee Internet Security Suite 2008,瑞星2008下载版,江民2008标准版病毒库:均升级到最新的病毒库。测试方法:对上述提供的
4、两个病毒样本包,手动扫描。本次测试采用同一个虚拟镜像备份,Windows xp sp2裸机,只安装有杀毒软件和虚拟光驱软件。为保证公平性,每次只启动一台虚拟机,查杀完毕后纪录结果。3 测试结果3.1 Forefront Client Security微软Forefront Client Security被设计用于帮助业务用户对间谍软件、Rootkit及其它最新的威胁进行实时检测与移除的统一解决方案。同时,它当然也可以应对传统威胁,例如病毒、蠕虫和木马。FCS在本次测试中与其它产品相比从防御理念到实际操作上与其它产品有比较明显的差别。分别体现在一下几个方面:1. 针对间谍软件的泛滥,FCS在产品
5、设计上进行针对性的优化处理,分别与病毒防护采用不同的定义代码,从一定程度是强化了对间谍软件的防范等。2. FCS提供了新的恶意代码防护模型,该模型更加符合安全防护的理念,通过循环的系统安全评估 系统安全加固 病毒检测措施 - 病毒响应处理 - 日志分析等几个阶段,不断提高系统的安全性,从而确保客户端的安全性。这与其它产品更加关注病毒检测、清除环节更能够有效的构建可靠的企业恶意代码防护系统。3. FCS提供了系统安全评估功能,帮助观察企业内的关键威胁与潜在弱点。状态评估扫描可以帮助查看哪些被Forefront Client Security所管理的计算机需要安装补丁,或者进行了不安全的配置。自带
6、的报告功能使客户可以根据安全最佳实践评估其安全风险。安全警报可以在公司内部产生威胁时发送警报,不需要在海量数据中进行查询了。从而可以在威胁爆发之前进行处理,减少病毒危害。4. FCS首次采用了在操作系统内核扫描的工作方式,使用Windows Filter Manager这种技术允许一种称为迷你筛选器的程序在从文件系统访问数据时对其进行扫描。在文件处于打开状态时,迷你筛选器模型是一种非常稳定的文件检查方法。FCS提供了更简便、更健壮的解决方案。5. FCS具有高级的系统清理功能,通常,简单地移除恶意软件是不够的,同时还必须消息负面影响,将计算机还原到感染恶意软件之前的状态。微软防恶意软件引擎包括
7、一些先进技术,支持自定义各种病毒补救步骤措施。这些步骤可能包括重新创建注册表项和将被修改的设置还原为默认的安全设置6. 进行恶意代码的防范,成功的安全分析和响应是保护公司免受恶意软件和有害软件侵蚀的关键部分。作为 Microsoft Forefront Client Security 支持后盾的全球智能恶意软件研究系统通过不懈的安全研究(以社区收集和提交的大量数据为依据),以及可快速发现新威胁的先进的自动分析技术。7. 产品中没有主机防火墙管理和入侵防御。8. 服务器端对硬件的要求比较高。9. 只支持Windows。3.2 Symantec 10.1企业版赛门铁克的传统优势在消费类与中小企业安
8、全领域,近年来赛门铁克在企业级安全软件领域取得了长足的发展,在安全软件市场中占有领先的市场份额。赛门铁克的企业级安全产品覆盖防病毒、个人防火墙、防间谍软件、入侵检测等多项功能。Symantec产品作为传统的防病毒产生,产品具有以下特点:1、 在一个区域/工作组环境中管理服务器和客户端组群很简易。2、 提供的网络扫描工具帮助寻找开放端口。在一定程度上能够提醒用户关闭不必要的端口3、 可以远程安装客户端和服务器。特别是远程安装服务器,这是测试中的其它产品不具备的功能。4、 产品线中包含主机防火墙和主机入侵防御。用户如果需要可以增加订购。5、 需要在每一台客户端机器上安装报告代理才能实现报告功能。6
9、、 扫描计算机的时间很长。赛门铁克产品扫描时间是其它产品扫描时间的10多倍。3.3 卡巴斯基6.0个人版卡巴斯基,一直在从事反病毒、反垃圾邮件、反黑客、反间谍软件的相关研究工作,并拥有完善的计算机、掌上电脑、智能手机等多平台的网络安全产品体系。卡巴斯基产品具有以下特点:1. 病毒查杀能力强;2. 全天平均每小时一次自动更新反病毒数据库 3. 对未知病毒防范能力强4. 由于过分追求查杀率,造成大量的误杀事情,甚至对国内竞争对手的产品也会误杀。3.4 McAfee Internet Security Suite 2008长期以来McAfee都为企业级客户提供杀毒软件及相关的安全解决方案,近年来Mc
10、Afee越来越致力于提供保护客户端与服务器的多功能安全套件, McAfee是一套通过单一控制台进行管理的集成解决方案,为桌面、服务器、电子邮件服务器提供保护。McAfee具有下列特点:1. 丰富的用户界面管理控制台。2. 首次提出很多概念,比如buffer overflow protection(缓冲区溢出保护),离群系统侦测(Rogue System Detection)、System Compliance Profiler。3. 利用专用通讯代理为McAfee软件收集报告和日志。4. 产品线包含主机入侵防御产品,用户可以选购。5. 在测试中,Trojans会短时间禁用Auto Protec
11、t功能。6. 管理控制台操作缓慢。由于样本1为多层ZIP压缩包,MCAFEE不支持清除压缩包里的单个文件,发现病毒后就隔离了整个压缩包,所以无法得到其查杀结果。3.5 瑞星2008下载版国内著名的防病毒厂商。在中小企业市场上占用一定的份额。1 整合智能广告拦截、系统一键修复、IE外观修复、IE反劫持功能2 启动项管理、插件免疫、插件管理、系统清理、IE地址清理、痕迹清理3 网络钓鱼网站过滤、病毒网站过滤、浏览器劫持网站过滤、恶意脚本网站过滤4 专门针对中国用户设计,操作简单,使其更加符合国内用户的实际状况5 针对行为、规则等等进行了更多的优化和定制,运行更加稳定3.6 江民2008标准版江民是
12、国内最早的本土防病毒厂家,产品具有如下特点:1. 运行速度快、杀毒效率高2. 管理员可能通过主控中心为客户端强制远程关机,以防止病毒再次通过这台机器传播FCSSymantec 卡巴斯基MacAfee瑞星江民扫描时间23s17m20s3m47s/2m32s2m49s扫描文件725471527206/71727157带病毒文件/35433516/35323590病毒数3491/扫描时间56s55m30s6m19s/1m13s26s扫描文件719232446233405235带病毒文件284138195146172182病毒数76/4 测试总结杀毒软件旧病毒查杀率新病毒查杀率资源占用率扫描时间FCS
13、3491(病毒数)284非常低极短Symantec3543(带毒文件数)138良非常长卡巴斯基3516(带毒文件数)195比较高比较短MCAFEE164高一般瑞星3532(带毒文件数)172低比较短江民3590(带毒文件数)182低短FCS:从自备测试病毒包扫描结果看,无论FCS在病毒查杀能力方面,还是扫描时间方面都具有优势。这与微软防恶意软件的防御理念和设计相关。恶意软件的传播主要利用系统的漏洞,FCS针对性的把对恶意软件的防御提前到事前的系统状态评估和加固上。Symantec:对旧病毒查杀能力好,对于新病毒木马,查杀能力比较弱,扫描时间超长,其他杀毒软件扫描新病毒样本包,用时不过几分钟,而
14、Symantec用了55分30秒。卡巴斯基:对旧病毒查杀能力好,扫描时间比其他几款杀毒软件稍长一点,资源占用率比普通杀毒软件都高(推荐512M以上内存使用),但是对于新病毒木马查杀能力最强,而且卡巴病毒库升级频率高。MCAFEE:由于样本1为多层ZIP压缩包,MCAFEE不支持清除压缩包里的单个文件,发现病毒后就隔离了整个压缩包,所以无法得到其查杀结果。对于新病毒查杀能力欠佳。MCAFEE优点在于防护能力比较强。瑞星:旧病毒查杀能力不错,新病毒查杀能力尚可,资源占用率和扫描时间可以接受。江民:旧病毒查杀能力强,新病毒木马查杀能力仅次于卡巴斯基,扫描时间短,资源占用率低。总结:从各个厂家对防恶意
15、软件的理念上可以看出,一些产品已经意识到对病毒防护应该从系统的评估和加固开始,也有一些产品仍在片面的追求病毒的查杀率,往往在带来高查杀率好处的同时,也容易造成严重的误杀事件。从整体分析,FCS作为微软推出的系统安全解决方案,提供了最丰富和完善的系统安全评估功能;在Windows平台上,微软具有先天优势的内核扫描技术最大程度上减低了对客户端计算性能的影响;集成的设计理念,可以与现有的企业系统基础架构紧密集成,充分发挥各个系统的功能;对用户透明的设计理念,极大降低了对最终用户的技术要求,企业IT管理员可以通过集中的主动管理,让最终用户享受FCS来了的系统安全保证。所以,通过综合分析,建议采用微软Forefront Client Security 作为建设四川移动的恶意代码防护系统的产品。杀毒软件不是万能的,关键在于用户使用习惯,勤升级病毒库,提高用户防病毒知识。
