史萊姆論壇 - 查看單個文章

psac · 2005-10-17, 09:56 PM

對於反病毒軟體，其實一直有一個很重要、但大家容易忽視的觀念，那就是：防毒能力和殺毒能力同樣重要，甚至更應該受到重視。這就是說，與其等到病毒在電腦裡興風作浪後再被動查殺，不如趕在病毒來犯時就將其拒之門外。KIS2006中的"File Monitor"（既時文件監控）功能很好地說明了這一點。它在文件"進駐"系統時就對之進行了非常詳細的檢查，以保證文件中沒有病毒或其他惡意程序。與同類軟體相比，筆者最深的印象就是它的設定項目顯得更加詳細而豐富，對檔案類型的支持也更廣。並且，它完全關於對文件內容的檢查，這種檢查方式也是Kaspersky病毒查殺出色的原因之一。
　　一般來說，反病毒軟體使用識別文件內容的方式檢查其中是否含有病毒，但某些殺毒軟體為了追求殺毒速度，採取了僅判別文件副檔名的辦法，這樣的檢查顯然容易漏掉部分病毒，留下安全隱患。

　　防毒能力的出色並不意味著KIS2006在殺毒能力上的匱乏，筆者也對其殺毒能力做了詳細的試用。令人倍感欣喜的是，KIS2006系統資源佔用的"老大難"問題似乎有所好轉（測試環境：Celeron 1.7G，DDR256MB，Windows XP+SP2），掃瞄系統碟時相對其老版本來說已經比較"流暢"，即使筆者在執行其他"資源大戶"程序（如Office2003等）時，也沒有完全中斷筆者的其他工作。不過和國產不少殺毒軟體相比，其系統資源佔用依然不低，在掃瞄磁牒時記憶體佔用就在20-30MB左右，而如果發現病毒時處理或掃瞄多層壓縮包就更厲害了（40MB-50MB）。筆者分別此後使用三款國產軟體和KIS2006來查殺一個含6000多個文件、共4層壓縮的壓縮包（事先將使用Norton 2005查出的30個病毒文件放入壓縮包），得到對比表格如下：

殺毒軟體記憶體佔用耗時查殺病毒數量
瑞星2005 29MB 1分48秒 24
KV2005 28MB 2分14秒 27
毒霸2005 28MB 2分16秒 23
KIS 2006 52MB 4分10秒 21

　　註：本結果僅為個人測試，不代表普遍情況。

　　從表格上面可以清晰的看到，對於多層壓縮，幾款軟體的對比非常明顯，KIS明顯要慢許多。這就和其多層算法有關係了。當然，由於採用啟髮式殺毒、病毒特徵庫不一致甚至誤報等原因，幾款軟體最後得到的病毒數量不同是比較正常的。大家千萬不要認為Norton 2005就一定比其他殺毒軟體優秀。

　　小知識：

　　當然，大家都知道，由於殺毒引擎的原因，卡巴斯基的記憶體佔用問題在一時半會可能還無法得到根本性解決，不過從KIS2006上來看，很明顯這一問題得到了開發者的重視，並給予的最佳化設計。

三、反垃圾郵件功能

　　把對垃圾郵件的防護納入反病毒軟體的保護範疇，可以說是反病毒軟體廠商在2005年的一項重要舉措。無論是國內的瑞星、金山還是國外的Norton，不約而同地在其新版本中對反垃圾功能做了特別加強，這也說明了垃圾郵件的危害似乎越來越大了。在眾多軟體的同類功能中，KIS2006的反垃圾郵件功能也算是比較專業的一款。它使用了一個"Training Wizard"（訓練嚮導）的表單，啟始用戶進行反垃圾郵件的相關設定，方便了普通用戶對這一功能的使用，算是獨樹一幟。而與同類軟體不同的是，在組態垃圾郵件過濾嚴格程度時，KIS2006提供了兩個選項--"Spam"（垃圾郵件）和"Potential spam"（潛在垃圾郵件）。而使用"Potential spam"可以更廣泛地檢查郵件，並最大可能地保證正常郵件的接收和傳送，避免誤報。在這一點上，KIS2006更接近於專業的反垃圾郵件軟體。

http://image.onlinedown.net/2005/09/20050921ljq23.jpg

圖 3反垃圾郵件功能

　　未知病毒的探知能力

　　對未知病毒的防護一直是反病毒行業中重要的研究方向，也是大家關注的焦點，KIS2006中的"Proactive Defense"（前攝防護）功能就是重要的體現。它包括"Office Guard"（Office保護）、"Application Guard"（應用程式保護）和"Registry Guard"（註冊表保護）等，而這些功能全都關於智能的行為判斷，對未知病毒的判斷能力相當強。這就是說，KIS2006會主動去判斷系統的一個操作行為是否病毒所為。舉個例子，在"Office Guard"中的"巨集保護"項裡可以選項"當以寫模式開啟文件時"需要詢問用戶，而這正是巨集病毒發作的一個重要行為特點。如果用戶有一定的反病毒經驗，當出現行為提示時就完全能夠判斷出該行為是正常操作還是病毒破壞。不過，對於普通用戶而言，這一功能似乎太複雜，交互性或許還需改進。

　　還有一點需要注意，關於行為的病毒判斷技術最惱人的就是誤報，因為很多正常程序的行為可能和病毒完全一致，比如複製自身等。但是經筆者試用，至少一般的日常操作都沒有發生誤報現象，說明KIS2006在這一功能上的確具備了比較成熟的技術實力。

http://image.onlinedown.net/2005/09/20050921ljq24.jpg

圖4 未知病毒的探知能力

　　點評：作為一個beta版本，KIS2006肯定存在某些不足之處，但瑕不掩瑜，我相信Kaspersky有能力將KIS2006的正式版本做得更好。

2005-10-17, 09:56 PM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	對於反病毒軟體，其實一直有一個很重要、但大家容易忽視的觀念，那就是：防毒能力和殺毒能力同樣重要，甚至更應該受到重視。這就是說，與其等到病毒在電腦裡興風作浪後再被動查殺，不如趕在病毒來犯時就將其拒之門外。KIS2006中的"File Monitor"（既時文件監控）功能很好地說明了這一點。它在文件"進駐"系統時就對之進行了非常詳細的檢查，以保證文件中沒有病毒或其他惡意程序。與同類軟體相比，筆者最深的印象就是它的設定項目顯得更加詳細而豐富，對檔案類型的支持也更廣。並且，它完全關於對文件內容的檢查，這種檢查方式也是Kaspersky病毒查殺出色的原因之一。　　一般來說，反病毒軟體使用識別文件內容的方式檢查其中是否含有病毒，但某些殺毒軟體為了追求殺毒速度，採取了僅判別文件副檔名的辦法，這樣的檢查顯然容易漏掉部分病毒，留下安全隱患。　　防毒能力的出色並不意味著KIS2006在殺毒能力上的匱乏，筆者也對其殺毒能力做了詳細的試用。令人倍感欣喜的是，KIS2006系統資源佔用的"老大難"問題似乎有所好轉（測試環境：Celeron 1.7G，DDR256MB，Windows XP+SP2），掃瞄系統碟時相對其老版本來說已經比較"流暢"，即使筆者在執行其他"資源大戶"程序（如Office2003等）時，也沒有完全中斷筆者的其他工作。不過和國產不少殺毒軟體相比，其系統資源佔用依然不低，在掃瞄磁牒時記憶體佔用就在20-30MB左右，而如果發現病毒時處理或掃瞄多層壓縮包就更厲害了（40MB-50MB）。筆者分別此後使用三款國產軟體和KIS2006來查殺一個含6000多個文件、共4層壓縮的壓縮包（事先將使用Norton 2005查出的30個病毒文件放入壓縮包），得到對比表格如下：殺毒軟體記憶體佔用耗時查殺病毒數量瑞星2005 29MB 1分48秒 24 KV2005 28MB 2分14秒 27 毒霸2005 28MB 2分16秒 23 KIS 2006 52MB 4分10秒 21 　　註：本結果僅為個人測試，不代表普遍情況。　　從表格上面可以清晰的看到，對於多層壓縮，幾款軟體的對比非常明顯，KIS明顯要慢許多。這就和其多層算法有關係了。當然，由於採用啟髮式殺毒、病毒特徵庫不一致甚至誤報等原因，幾款軟體最後得到的病毒數量不同是比較正常的。大家千萬不要認為Norton 2005就一定比其他殺毒軟體優秀。　　小知識：　　當然，大家都知道，由於殺毒引擎的原因，卡巴斯基的記憶體佔用問題在一時半會可能還無法得到根本性解決，不過從KIS2006上來看，很明顯這一問題得到了開發者的重視，並給予的最佳化設計。三、反垃圾郵件功能　　把對垃圾郵件的防護納入反病毒軟體的保護範疇，可以說是反病毒軟體廠商在2005年的一項重要舉措。無論是國內的瑞星、金山還是國外的Norton，不約而同地在其新版本中對反垃圾功能做了特別加強，這也說明了垃圾郵件的危害似乎越來越大了。在眾多軟體的同類功能中，KIS2006的反垃圾郵件功能也算是比較專業的一款。它使用了一個"Training Wizard"（訓練嚮導）的表單，啟始用戶進行反垃圾郵件的相關設定，方便了普通用戶對這一功能的使用，算是獨樹一幟。而與同類軟體不同的是，在組態垃圾郵件過濾嚴格程度時，KIS2006提供了兩個選項--"Spam"（垃圾郵件）和"Potential spam"（潛在垃圾郵件）。而使用"Potential spam"可以更廣泛地檢查郵件，並最大可能地保證正常郵件的接收和傳送，避免誤報。在這一點上，KIS2006更接近於專業的反垃圾郵件軟體。圖 3反垃圾郵件功能　　未知病毒的探知能力　　對未知病毒的防護一直是反病毒行業中重要的研究方向，也是大家關注的焦點，KIS2006中的"Proactive Defense"（前攝防護）功能就是重要的體現。它包括"Office Guard"（Office保護）、"Application Guard"（應用程式保護）和"Registry Guard"（註冊表保護）等，而這些功能全都關於智能的行為判斷，對未知病毒的判斷能力相當強。這就是說，KIS2006會主動去判斷系統的一個操作行為是否病毒所為。舉個例子，在"Office Guard"中的"巨集保護"項裡可以選項"當以寫模式開啟文件時"需要詢問用戶，而這正是巨集病毒發作的一個重要行為特點。如果用戶有一定的反病毒經驗，當出現行為提示時就完全能夠判斷出該行為是正常操作還是病毒破壞。不過，對於普通用戶而言，這一功能似乎太複雜，交互性或許還需改進。　　還有一點需要注意，關於行為的病毒判斷技術最惱人的就是誤報，因為很多正常程序的行為可能和病毒完全一致，比如複製自身等。但是經筆者試用，至少一般的日常操作都沒有發生誤報現象，說明KIS2006在這一功能上的確具備了比較成熟的技術實力。圖4 未知病毒的探知能力　　點評：作為一個beta版本，KIS2006肯定存在某些不足之處，但瑕不掩瑜，我相信Kaspersky有能力將KIS2006的正式版本做得更好。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次