好了,言归正传,开说:
这次我主要想说一下“病毒僵尸”(江民定义法)和特洛伊木马(Trojan)
扫描病毒僵尸的意义在于杀毒软件是否对病毒具有全代码分析。这有两种可能: 其一,杀毒软件对病毒的查解的透彻, 连一些微小的可疑代码都可以查出。其二,杀毒软件对病毒查解透彻,但只是查解了其有害代码。其三,杀毒软件对病毒查解的不透彻,只找到了病毒没有破坏性的代码,而忽略了恶性代码。我想,如果对病毒僵尸的查解,还是前两种比较可信。即查病毒僵尸的多少和对杀毒软件的查毒性能有一些关系。(可以看出杀毒软件对可疑代码的敏感程度,即启发式查毒。)当然,不一定是查病毒僵尸略多的软件,就一定好。由于这次的样本对数量有限制,所以,要看软件的好坏,还是要看查毒数的多少这个主要指标。(详情请参看《反毒产品到底谁最强》1.0 by sunbird)
这次的僵尸样本共有330个。由于是没有破坏作用的僵尸,所以,查毒软件整体上对其的敏感性要弱的多,这是说正常。
病毒数据库都是比较新的数据库。(其实旧点也没事,这些病毒比较老了)
参加本次评测的反毒产品包括国内开发的“瑞星杀毒软件99世纪版”、“VRV病毒防火墙”、“电脑安全卫士AV95”、“行天98反病毒软件”、“金山毒霸”,中外合作开发的“KILL98认证版”。国外的包括“Trend PC-cillin 98”、 “AntiViral Toolkit Pro”、“ThunderBYTE Anti-Virus”、“McAfee VirusScan”、“Norton antivirus”、“Inoculate IT Personal Edition”和“F-PROT”
(注:在查出僵尸数处的括号内的数字为所查出病毒的编号)
流行反毒产品检测病毒僵尸结果一览表(病毒样本总数:330)
反毒产品 检测引擎版本 病毒代码日期 查出僵尸数 查毒率
瑞星杀毒软件99世纪版 10.0 1999/12/ 0 0%
KV300+ Z.3 1999/11/ 0 0%
BEST ANTIVIRUS北信源 31B 1999/11/28 1(032) 0.303%
第 倍救砑?
电脑安全卫士AV95 2.6I 1999/5/31 0 0%
行天98反病毒 1.0.2.071 1999/5/16 0 0%
金山毒霸 1999.12.9 1999/12/ 5(017、 1.515% 173、205、236、322)
KILL98认证版 5.10 1999/10/ 5(075、 1.212% 121、173、228、250)
搜毒1999 0.02 1999/8/ 0 0%
AntiViral Toolkit 3.0.132.2 1999/11/ 1(121) 0.303% Pro
ThunderBYTE Anti- 8.10 ?? 5(098、 1.515% Virus 157、136 、173、 228)
Norton AntiVirus Norton Anti 1999/12/ 1 0.303% 2000 Virus2000.00 Build17
McAfee VirusScan 4.0.02 1999/11/ 1(121) 0.303%
PC-cillin6.0 2.062 ?? 5(009、 0.303% 175、205 、236、 322)
InoculateIT 5.0.0.27 1999/12/ 0 0% Personal Edition5.0
F-PROT 3.06c 1999/11/15 0 0%
根据上表,大家也许会略微看出:中国的商业反病毒产品在国际上的地位。齂I LL这样的极少数的厂商有比较高的反 病毒技术以外,其他的厂商的检测率几乎为0虽然是病毒僵尸,但凭这一点也多少可以看出一点端倪了。运用启发式查毒的中国厂商好像只有KILL98系列。果然名不虚传。至于KV的“广谱代码过滤功能”和“启发式功能”不知是怎么了。信源推出的BEST ANTI-VIRUS(BAV)的“第三代”杀毒软件,好像没什么变化。DOS版居然连界面也和原来没什么区别!而且其杀毒能力和VRV比也没有什么提高。(至少笔者没看见有什么区别!)值得关注的是“金山毒霸”。曾经有人说它和PC-CILLIN一样,从所查出病毒的编号来看,确实有不少地方一样。(三个相同)但是,还是有两个不一样,而且其查毒能力不容忽视又是免费的,所以,建议大家使用。至于瑞星,我不想多说,《反毒产品到底谁最强》1.0 版已经说得很清楚了外国的软件,我要提的是ThunderBYTE Anti-Virus(TB AV)它的“启发式查毒”非常厉害,虽然有时候不能确定病毒的名称,但是还是可以扫出来。这一老牌杀毒软件还真是“老将出马,一个顶俩!”
