3次更新,從金山和F-Secure看多引擎,加轉帖,支持大陸國產!NOD32、小紅傘,趨勢分析,kv vs 瑞星,五大殺毒引擎分析
給你一個真正的答案,KV好還是瑞星
看到大家在討論,我現在告訴大家,
1、先從監控來看,瑞星2004-2005是用的DLL注入寫的,也就是很多病毒用的方式,所以占記憶體非常大,監控很差勁。DLL注入監控最大的弱點就是對網頁病毒監控困難,這也是瑞星最大的弱點。2006用了好像用了掛鉤子技術,有很大進步。
KV的監控要好很多,差不多相當於防毒牆,你用迅雷下個病毒就知道了,在下載過程中就被幹掉,而瑞星要在下載完才可以殺掉。
2、殺毒方面,這個就要看殺毒引擎了,KV的引擎跟卡巴的很類似,我不想打擊大家,全世界只有五家公司有自己的引擎,其它都是仿製的,中國的殺毒軟件也一樣。瑞星的引擎不太好,無法徹底清除自我複製型病毒。這是瑞星第二大弱點。瑞星無法徹底清除病毒,像愛情後門、ROSE。瑞星殺毒不徹底。ROSE用瑞星殺毒以後還是不能直接雙擊打開,用KV直接可以恢復原樣。
3、殺殼方面,瑞星現在的引擎是殺不了殼的,新的引擎還不知道脫殼技術怎麼樣,現在在公測,KV可以幹掉流行的殼,這很不錯了,不能殺殼的殺毒軟件,意味著什麼,對付有殼保護的病毒變種基本是廢品。這也是殺毒軟件引擎好壞的基本標準,為什麼大家用卡巴,就是它脫殼厲害,是變種木馬的剋星。
4、病毒庫方面,在這個方面,KV就差很多了,現在的KV病毒庫非常不全,特別是木馬庫。現在知道為什麼KV過不了西海岸的木馬認證了吧,引擎很好,但病毒庫不全。這是現在KV的致命弱點。所以金山都過了,KV到現在還過不了。
5、自帶的防火牆,瑞星的牆要比KV的牆好很多,這個我就不用說了。
不過我最後說一句,全世界最厲害的殺毒引擎是DR.WEB 的比卡巴的都厲害。基本上可以殺所有的殼,用的動態虛擬機脫殼技術,連北斗的也可以輕鬆幹掉。
DR.web是一個俄羅斯的殺毒軟件,就是大家所說的大蜘蛛。和卡巴基本是一樣的,但引擎和技術不一樣,是俄羅斯官方和軍隊的採用的產品,商業和個人大多是採用卡巴,分兩個版本。
驅逐艦用的它的引擎,但畢竟是假蜘蛛,殺毒效果和DR。WEB根本不一樣
只有一個對外,而且它的技術是俄羅斯國家科學院為後盾的。這個殺毒軟件公司目標不是賺錢,純粹為了技術,所以現在都沒有中文版,它從來不把二進制病毒和不能發做的木馬列入病毒庫,所以在一些測試中名字不是很靠前,甚至很少參加測評,但殺毒實力絕對在卡巴以上,佔用記憶體很少,差不多4兆。
全世界五大殺毒引擎:
1、第一個當然是要說說諾頓了,首創實事監控技術,還知道微軟的代碼。大家都說諾頓不好,其實諾頓的引擎很強大。從最底層保護電腦,所以執行起來不太快,只是殺毒理念不同,才讓諾頓不適合個人用戶。它主要以隔離為主,防止企業文件被刪除。因為有些被病毒感染了的文件根本不能完全殺毒。直接刪除又會破壞文件,所以諾頓最適合企業用戶選擇。
2、第二應該就是咖啡了,這個殺毒軟件把主要能力放在防毒上,也用了虛擬脫殼技術,基本所有殼都可以幹掉,現在知道為什麼它這麼火了吧,北斗的殼,我不知道能不能幹掉,但它的虛擬技術沒有DR。WEB的好,用加密保護XTA算法(基本與DES一樣很難破解)寫的病毒,它和卡巴就都廢掉了。
3、第三個就是熊貓了,哈哈,這個西班牙的東東,全球第一個自動升級的,人家的引擎也相當不錯,速度絕對一流,查殺徹底,但病毒庫有點歐洲化,所以在中國用著不太好用,占記憶體很大,金山好像現在就在防熊貓,監控好像不是,殺毒和升級都是防造熊貓的,金山的監控很LJ,你用用就知道了。
4、這個就是俄羅斯的卡巴斯基了,6.0 的引擎我還沒有分析過,人家的確是自己的引擎,以前KV就是防造的卡巴。但現在的KV好像更優化了。
5、DR.WEB、也是俄羅斯的引擎,俄羅斯國家科學院合作開發的,軍方和克里姆林宮專用。啟髮式加虛擬脫殼,北斗的殼,外面再加殼,加跳針也可以幹掉,佔用記憶體很少。可以說是最強的引擎。對付變種病毒和木馬最好了。可以幹掉加密保護XTA算法。清除極其複雜的病毒。
驅逐艦用的它的引擎,但畢竟是假蜘蛛,殺毒效果和DR。WEB根本不一樣
今天用驅逐艦全面掃瞄了一下,沒有發信什麼但用DR。WEB一掃發現這麼多沒有掃出來,雖然大多數是廣告。
看來核心技術比dr.web 還是差很多,大家不要以為你真的用上了DR。WEB人家俄羅斯說了,核心的東西是不賣的
關於NOD這個我說一下,我不是很清楚這個殺毒軟件,不過它的引擎好像不是自己的,好像是自己做了很大的改進,殺毒很像熊貓,又不是熊貓,監控和DR。WEB很像,形勢好像也一樣,有兩個工作行程,監控用的虛擬脫殼加啟髮式,但方式絕對不一樣,我也不清楚它是誰的引擎,監控很智慧式,我晚上試了一下
可以對付一次北斗加殼的病毒,加了跳針就不行了,我一執行灰鴿子竟然在我的電腦上產生了一個自動連接的文件,NOD一點都沒有感覺。讓我忙了好久才殺掉。加了記憶體免殺直接就過了,
監控上存在一個很大的問題,對付兩次加北斗殼的病毒,完全沒有感覺,你可以加兩次殼上報給它,估計會得獎。
再就是它對付國內的木馬,很差勁,很多殺不出來,特別是現在國內木馬這麼猖獗,你看到瑞星升級的病毒庫了嗎?木馬幾乎占90%,我感覺還是別用這個殺毒軟件好,我試了幾個盜QQ的木馬,結果就查出一個來,這個殺毒軟件我感覺還是不錯的,在國內用就感覺不合適了。對付灰鴿子不如KV,不是說它殺毒不行,是病毒庫的問題,軟件很不錯,我很喜歡這個殺毒軟件,理念很先進,占記憶體又少。我對它不是很瞭解,不要罵我。
今天我加入趨勢和小紅傘,趨勢是日本控股的殺毒軟件,所以我一直都不用,不過我大二的時候趨勢出了一個很好的破解,我就把學辦的電腦都裝了趨勢(我當時在法學院學辦和網站勤工儉學做反病毒和維修工),不是因為它好用,我只是想讓小日本的升級服務器硬碟多轉轉,給它耗耗電,也讓他為中國人民免費工作工作,趨勢前幾年很厲害的,特別是它的企業版,基本可以和咖啡抗衡,它的引擎是模仿諾頓的,理念也和諾頓一樣。記得我上中學時它出了一個樂億陽,當時賣28塊錢,還有監控帶升級,那個時候,瑞星還是3張軟碟呢,但它的個人版真的不怎麼樣,要用就用企業版吧。
小紅傘是典型的DR。WEB的模仿產品。至少殺毒引擎一樣,應該和驅逐艦的效果差不多,連啟動掃瞄的方式都一樣。記憶體掃瞄和殺毒掃瞄分開。這個傢伙我是很喜歡的,很早以前就用過,竟然殺掉了當時瑞星殺不了的愛情後面,用的還是那個免費的,你們喜歡的太金版,當時由於沒有升級的方法就放棄了。
還有人說卡巴的殺毒太占記憶體了,這個是真的,我感覺卡巴並不成功,至少不是一個最好的殺毒軟件,一個好的殺毒軟件,最應該做到的就是不托電腦,看看NOD32的設計,要是NOD有卡巴的病毒庫,估計我會一直用它,今天用NOD32開了幾個網頁,又中毒了,簡直就是對中國用戶的漠視,關鍵是在中國沒有市場,沒有利潤才會這樣,不過要是大家買正版的話,我還是推薦中國的,我就一直買正版,包括我的XP都是正版的,真的就是比大街上買的那些Xp穩定,所以測試還是別用那些所謂的破解,瑞星2005的盜版和正版的殺毒就有區別,但我很少買外國的正版,一直用江民的正版,瑞星我也有正版,當是是為了測試用了它,你知道以前的瑞星總會有個提示,請反覆查殺,什麼叫反覆,就是一次清除不了,就是說明2005版瑞星的引擎跳殺很嚴重,一次不能徹底清除自我複製型病毒,那個瑞星2005的時候,我當時拿著盒飯站在服務器前面,看著它的監控被愛情後面幹掉的,傷心死了,金山我是買的金山網鏢V,90大洋阿。用金山的朋友注意了,它的中級規則,是不防止別人PING的,調到高階又沒法線上看電影,規則真的不太好,不過一般家庭也夠了,卡巴斯基防黑客在局域網好像也不能防止別人PING你,KIS6.0的防火牆,我還沒有試過,但推薦你把它調成學習模式,它預定的是低,現在不買金山了,你要買的話就買KV和新引擎的瑞星吧,估計新引擎的瑞星要勝過KV,前提是KV不進步,但KV和卡巴最近的合作很密切,估計到下一個版本,引擎可能會達到卡巴6.0的標準,支持大陸國產,中國才會強大!!你看看韓國的汽車,基本韓國人都用韓國自己的汽車。卡巴的掃瞄是所有文件都掃瞄,所以很卡阿,你關了監控也沒有用,它在系統內部執行。不過殺毒絕對........不說了
對了今天出了熊貓的2007中文,熊貓最新的引擎已經超過了NOD32的速度,在一個國外的測評上看到的,占記憶體少了很多,我現在在測試,很流暢。你們可以試一下。感覺還是不錯的。過幾天再做個防火牆的分析。希望大家支持我,我把字放大了,這樣對視力有好處,有什麼問題就說好了,我會不段更新,一定記住殺毒軟件一定不要托機器,要不就違反了基本的原則。那和你常年中毒有什麼區別
在這裡,我把高手寫的關於殺毒軟件引擎的帖子轉過來,大家借鑒學習,人家寫的確實好,的確是高手,聽說一部分還是MM寫的,真是厲害阿。
以下為轉貼,謝謝走走看看為我們提供文章
以下為各家廠商的殺毒引擎簡介,文中有一部分來源於業已公開的技術資料,有一部分來源於在病毒論壇上被奉為經典的反編,還有一部分來源於廠商技術人員的介紹(官方和私下的都有)。
1.諾頓:這個最熟悉了,諾頓的殺毒軟件實際上防止偵測方面做得並不是很好,很多病毒程式在子程式段中經常借鑒搞崩諾頓的代碼,希望在新版本中諾頓可以採用更強的自身防護技術。諾頓的引擎應該是完全自成封閉體系的,沒有資料證實諾頓曾經購買或者借鑒過別的殺毒引擎。傳聞很多公司都在設計時參考過卡巴斯基的洩漏版引擎設計,因此曾經在微軟社區線上聊天時,問過這個問題。回貼一致認為諾頓借鑒卡巴斯基的殺毒引擎毫無必要,它自己的引擎搞得挺好的。有一個叫fenssa的傢伙甚至回貼說不考慮病毒庫因素,諾頓的殺毒引擎相當先進,綜合防護性能很好。在微軟,除了用mcafee的就使用諾頓的(這一點我比較相信,很少見到別的殺軟在微軟被使用)。從諾頓的技術文檔描述和在病毒論壇上流傳的29A的一個傢伙搞的一篇叫虛擬機環境下諾頓工作過程的步進追蹤和反編的文章來看,諾頓的殺毒引擎應該是傳統的靜態代碼對應與既時監控的完美結合,應該有一些改進的虛擬機技術在裡面(諾頓的人並不怎麼推崇虛擬機技術)。諾頓的殺毒速度慢,應該源於諾頓採用了較多的靜態代碼這種傳統的檢查方式有關。我個人非常喜歡諾頓的隔離機制,我認為在沒有確定完全正確的處理方式之前,刪除是不應該被採用的。一個高手寫的病毒應該能盡可能的與系統工作行程相關,在這種情況下,隔離的優勢立刻顯現。諾頓資源佔用量比較大,但實現了如下設計目標:能識別的病毒和被識別為病毒的工作行程完全可以正確處理,對已經不可能產生破壞作用的'病毒屍體『不會產生誤判,更不會出現出現一次又一次的在處理完某病毒後又檢測其為病毒的狀況。
很多人認為諾頓企業版和個人板採用的引擎完全一致這種理解不很正確。實際上企業版在個人板的技術上還是有改進的。zdnet上刊登過一篇文章指出:企業版和個人版引擎的核心規則完全一樣,但在前端文件匯入部分企業版是優於個人版的,企業版使用了更多的API接頭。文章中說,在大規模文件掃瞄時,企業版明顯優於個人版。並且由於使用了負載技術,企業版資源佔用還好一點。另外據說企業版支持基於網路的多重負載技術。
2.Mcafee:記得看過一篇報道說mcafee收購過別的殺毒軟件引擎設計公司,據回貼可知為所羅門。在網上很少能看到關於對mcafee的殺毒引擎進行過分析的技術文檔,但從他自己宣傳的資料看,mcafee對虛擬機技術和既時監控研究的都挺徹底的。比如他最近宣傳防止應用程式溢出(大致這個名字)的技術,應該是在不考慮硬體平台的情況下虛擬機技術和既時監控技術結合的上乘之作,儘管經常出現錯誤的溢出偵測(軟件層面的放溢出技術確實不很穩定)。在處理大量的文件時,mcafee有一定的速度優勢(微軟社區中有這個問題的論述)。有來自於mcafee論壇的消息說,mcafee 正在研究更先進的智慧式碼掃瞄技術,估計肯定比東方衛士搞得要好。根據組長的回貼,McAfee自發佈VSE8.0i以來就著重於"前懾防範"這一新型的安全領域,並且NORTON也在超這一方向邁進。"前懾防範"一共分為兩個部分,其一為運用部分防火牆技術外加其入侵檢測技術有效的阻斷病毒的傳播源,以至於病毒在傳染的初期無法得到大面積的傳播降低了危害性;其二為依靠其強大的特徵碼檢測技術(Extra.dat)對病毒的行為方式、特徵代碼等進行檢測,依靠它強大的研發團隊以及策略聯盟夥伴使其在這一領域獨樹一幟。諾頓能在其新版產品中也加入了一些原本屬於防火牆的功能。發郵件詢問諾頓的研究人員為什麼沒有採用特徵碼殺毒技術,回應說一個完美的特徵碼掃瞄技術應該能夠達到根據用戶的指定加入特定文件為病毒的目的,也就是當用戶指定某個活動程式為病毒時,殺毒軟件的引擎能夠根據自身的規則為該活動程式定義一個特徵碼,並且在控制該活動程式時,能夠有效地斷絕其與系統正常工作行程的關聯。在沒有這個水平之前,諾頓不會大規模採用特徵碼技術。從mcafee的技術文檔來看,mcafee也只是有限度的試驗性的研究該技術,並在比較有把握的地方應用。實際上兩家公司在這方面還有很長的路要走。
3.卡巴斯基:本論壇上被過度神話的殺毒軟件。我個人非常尊重卡巴斯基的高水準,但說句實話,在不考慮資源佔用的情況下,卡巴斯基並沒有什麼足夠的理由能夠讓我放棄諾頓,二者的水平並沒有什麼差異。在穩定性上,卡巴斯基比諾頓要差一些。由於早些年卡巴斯基的引擎曾經洩漏(實際上洩漏的並不是初始源代碼,只是洩漏的引擎可以比較容易的反編),因此網上可以找到很多關於卡巴斯基引擎的非常詳細的技術分析,尤其是德國的病毒高手寫的關於如何優化卡巴斯基殺毒引擎的文章,被認為是所有採用卡巴斯基引擎的殺毒軟件廠商必看的文章之一,就像美國人寫的那篇VB100到底怎麼測試殺毒軟件(裡面作者綜合近幾年的測試結果推測了VB100在測試時可能使用的病毒類型,相關比例等)是殺毒軟件廠商在將自己的軟件送測前必看的文章一樣。從網上大量的分析文檔看卡巴斯基的虛擬機技術是很優秀的,但是去年有人發貼認為卡巴斯基的良好的性能來源於它非常龐大的病毒庫和良好的升級速度,其殺毒引擎設計水平並不高於其餘的公司。卡巴斯基的引擎採用了所謂的單一形式的規則判斷,眾所周知諾頓是基於分類的規則處理。卡巴斯基的引擎在文件標識比對病毒庫的時候被認為有著很好的性能,充分利用了處理器的處理能力,"但令人擔憂的是,該公司對最新出現的技術並不充分重視"(英國的電腦雜誌去年年末的評論),究竟是對原有引擎進行徹底改進還是大量使用新技術,估計誰都不知道。卡巴斯基的引擎存在叫做所謂的"過與簡短的文件碼"問題,說白了就是有時候會鞭屍,它的研究人員說正在改進。前段時間有人發帖子中指出病毒編寫者只認可卡巴斯基,說實話看了很多論壇文檔,好像沒有哪個強人這麼說過。卡巴斯基走的是與美國廠商有很大區別的研發道路,卡巴斯基很少引用別的公司開發的技術,而是在不斷的深化,改進自身的殺毒引擎,單從某些方面評論,卡巴斯基的引擎代表著業界最高水準,但並不是全部。卡巴斯基是一款很好的殺毒軟件,但並不是神。應該說它與諾頓,mcafee一樣都站在殺毒軟件的頂峰水平上。
在國內,一直有江民的殺毒軟件採用卡巴斯基引擎的傳聞,說句實話業界相當一部分殺毒軟件都參考了其引擎設計,即使在國內也沒有足夠的訊息證實只是江民參考了其引擎設計。很多人都使用各種各樣的病毒包對卡巴斯基和江民進行測試,測試結果是完全一樣。說句實話,這種測試並沒有什麼可信性,對化石孢的檢測各種殺毒軟件結果幾乎都一樣。只有兩種方法能夠說兩者的引擎如何:1.將兩款軟件送至VB100或者類似的權威機構進行測試,如果兩者對其中未知病毒的測試結果(這個結果並不公佈,廠商自己去買)完全一樣,那什麼都沒說的。兩個不同的引擎機制在對待同樣大規模的未知病毒庫時出現相同的檢測結果近乎是不可能的。可惜的是,江民沒有參加過VB100測試,好像也不大可能個人有足夠龐大的未知病毒庫來進行檢測。2.採用類似於破解的方法進行反編,分析整個軟件的工作機制,工作量有多大相信都能猜出來,也沒有見過有人搞過這種研究。因此我個人只能認為江民可能(較大程度的)參考了卡巴斯基的殺毒引擎設計,但從兩款殺毒軟件的靈敏程度,殺毒速度等諸多方民看,即使江民採用了卡巴斯基的引擎,江民也應該進行了很大程度的源代碼修改或者優化,另外也有消息說江民在引擎中加入了一些自己開發的技術,在實現方法上類似於數位碼技術。霏凡上曾有高手指出假如公佈兩款軟件的源代碼,可能並不會有人能看出二者有什麼關係。實際上,當發現江民的軟件並不能使用卡巴斯基的病毒庫的時候,我們就應該知道即便曾經借鑒過,二者也已經可以被認為是不同的殺毒引擎。可能在win3.x平台下,二者曾經很相近;但是今天我們在使用winxp.即使江民確實採用過卡巴斯基的引擎,那麼可以說江民在某些方面發展了這套引擎,儘管這種發展未必與原始的研發方向相符。但無論基於何種角度考慮,我認為江民的殺毒軟件還是有優秀之處的。畢竟你回頭看一看國內的殺毒軟件廠商,在真正的技術研發領域只有這麼一面旗幟偶爾飄揚。一步步走下來,江民還是有技術進步的。只就純技術因素而論,假如江民採用了卡巴斯基的引擎,那麼今天兩家廠商在不同的方向上發展著那套原始的引擎,這未必是壞事,只要不故步自封,我們好像沒什麼必要爭論兩家廠商是否一個原始祖先,怕的就是在別人都往前跑的時候自己停下來,這跟自取滅亡沒什麼區別。儘管市場是殺毒軟件廠商的第一要素,但別忘了技術是一個殺毒軟件能否基業常青的決定性力量。
今天晚上再加入金山和F-Secure殺毒,從它們來看多引擎
這兩款殺毒以前都以多引擎著稱,看看真實的情況,說起金山,感覺有點遺憾和壓抑。對自己的正版用戶都撒謊騙人,大家一定知道金山毒霸是怎麼出道的,途經和今天的病毒驅逐艦是一樣的,在DR。WEB的引擎外面加了個包裝。不過在中國是金山公司加的。當年的毒霸其實真的不錯,可以說比當時的瑞星和KV都好,這也是應該的,拿DR。WEB和當時的瑞星和KV比,中國的當然幹不過它。所以金山毒霸當時一舉成功。但當時金山根本不是它說的多引擎,其實就一個DR。WEB的。為什麼阿?大家一定認為我亂說,事實上毒霸2003號稱整合AVP引擎,2002版及之前又號稱是Dr.Web的,可見其所謂「國內引擎」是Dr.Web,金山並無其自己的引擎。其實DR。WEB在2002年以前就停止了和金山的合作,你現在知道金山毒霸的用戶為什麼從2002版金山開始就老是罵金山毒霸不管用了吧。的確從2002版金山毒霸,質量就十分差了。還有一點,你把金山毒霸和DR。WEB一起打開殺毒,看看佔多少記憶體。估計今天的機器也夠嗆,要真是多引擎,當時的機器的性能能執行嗎?掃瞄能那麼快嗎?簡直就是騙人。
人家F-Secure的殺毒軟件才真正是多引擎(以前的版本),故鄉芬蘭,整合了AVP,LIBRA,ORION,DRACO四套殺毒引擎。基本是走的卡巴的路線,加上自己的引擎,現在的F-Secure占記憶體很少,現在是不是多引擎我就不知道了,有很多人喜歡這個東東,我告訴你有個辦法可以拿到正版,你去用微軟推薦殺毒,其中就有這個,不過是英文版的,可以用一年,破解的生級後,容易出現像DR。WEB那樣的情況,從漢化的變成英文的,如果只殺毒的話,這個F-Secure我還是很推薦的,現在的病毒庫也不如以前的版本了,你裝上它就會發現它有N個工作行程,很占記憶體,這個傢伙才是真正的多引擎,這個傢伙很早就整合了卡巴得引擎,甚至在一段時間還在VB100中超過了卡巴,你執行一下就知道什麼叫多引擎殺毒了。
在我看來金山是最會做秀的,把木馬庫拿出來做個木馬專殺,當時的木馬專殺僅僅可以檢查EXE關聯與win.ini,winstart.bat以及system.ini,就不用說和國外的木馬專殺比了,估計木馬剋星也會笑死它,在防火牆上加入殺毒引擎,這些其實都沒有實質性的作用,作用只由一個,作秀讓中國不懂殺毒軟件的老百姓去買金山毒霸,自從不用DR。WEB引擎以後金山幾乎就LJ到家了,如果你是金山的FANS一定看過金山毒霸6加強版出來時,他們說過一句話,「我們從來沒有對毒霸這麼有信心過」看來自己也是知道不行的,那個時候為什麼有信心了,因為加強版終於可以查殺他們在2003版就宣傳的可以徹底查殺RAR文件病毒。現在金山的新引擎居然說可以殺某些很生猛的殼,甚至加殼後加跳針的,簡直就是騙人。它沒有虛擬脫殼怎麼殺啊???這不是坑中國老百姓嗎?金山的FANS可能看到要罵我了,用事實來說話,你如果在病毒重災區,你裝上金山毒霸2006,從此你就別清閒了!!!我什麼都不說,不信你就試試看。
昨天由於看到回帖,一個是要寫金山的,一個是要寫先寫F-prot就先寫了F-PROT,但在試殺殼的時候出了點問題,就沒有先發。就先發了這個金山的關於多引擎的,很晚才寫完,當時有點睏了,疏忽把F-Secure打成了冰島F-prot,十分抱歉,今天一早發現已經被淹沒在口水中了,辜負了各位,在此更正對指出錯誤的朋友表示感謝
為表示歉意,提供一個免費申請芬蘭殺軟F-Secure IS 2006序列號的申請地點,可以用一年,
https://www.edv-buchversand.de/f-sec...l.php?cnt=chip