发信人: emil(稻草人)
整理人: emil(2002-01-09 10:51:32), 站内信件
|
正义卫士闪亮登场
为了配合这次反病毒软件导购及应用指导专题,我们编译了PC World[美]2001年第9期中有关7款反病毒软件的横向评测专题,目的是让广大读者了解国外对于反病毒软件的评测方法及标准,同时也向您提供了防杀病毒的常识。
2000年5月,LoveLetter计算机病毒成为有史以来最厉害的一种病毒,它通过一个宣称是Love Letter的电子邮件来传播,致使全球数以百万计的计算机被感染。该邮件的附件实际上是一个智能程度很高的Melissa病毒的最新版本的变种,该病毒能自动发送给通讯录中的每个人,LoveLetter信件大量泛滥时就会给无数的计算机用户和使用电子邮件从事商业活动的人员带来很大的麻烦。
曾经,病毒是通过电脑间频繁交叉使用软盘来传播的,但现在却是通过E-mail和公共网络来快速传播的,它们可以在数小时内就感染几百万台机器。
幸运的是,我们可以防止电脑被病毒侵害。保持高度的警惕同时利用恰当的反病毒软件即可帮您保护您的计算机。
现在最新版本的反病毒软件的性能已经比以前有了显著提高。我们常见的反病毒软件都在原来版本的基础上增加了新功能,以保证能预防最新的病毒。我们评测了7款应用于个人电脑或小型办公环境中的比较主流的反病毒软件,当然,这其中的F-Secure和Sohpos主要用于企业网。
为了评估这些软件的功能,我们请来了计算机病毒方面的专家Joe Wells来检测每个软件查毒、杀毒、修复毁坏文件的能力。为了保证这些杀毒软件的测试环境的真实性,我们使用了在2001年3月份Wildlist(http://www.wildlist.org)上刊登的所有病毒(该名单是被大家广为认可的病毒程序列表)。这一病毒名单每个月更新一次,确定了近期将感染计算机的大约200种病毒。
我们还从非专业人员的角度对这些软件安装、运行、配置、执行扫描、更新病毒库时的易用性进行了评估。最后,我们检测了当软件发现病毒后采取的措施及提供的解决方案,其评测结果如表2。
了解敌人
反病毒软件主要是检测并试图清除3种类型的恶意代码: 病毒、蠕虫和特洛伊木马。其中,病毒程序是广为人知的。一旦病毒感染了计算机的文件或程序,它就会迅速从一个系统中扩散到整个网络的计算机中去。一些病毒程序还能发送第二级程序,它可能是无害的也可能会对系统造成严重破坏。就像流行电影一样,一个成功的病毒程序经常会导致难以预料的结局。
蠕虫病毒最初是利用操作系统的漏洞在机器间传播的,但现在的蠕虫病毒是通过E-mail来扩散的。比如,BubbleBoy病毒是利用Outlook内置的脚本工具来传播的。一旦接收了一封被BubbleBoy感染的E-mail,该病毒就会把它自己发送给Outlook通讯录中的每个人。
特洛伊木马与前两者不同,就像古希腊神话中的木马一样,这些恶意程序可以使它们的创建者拥有访问某台主机的权限。例如,著名的黑客工具BackOrifice就经常隐藏在受害者运行的其他程序(如游戏)中发送出去。
反病毒软件通常是通过扫描机器中的文件并将其与反病毒软件自带的病毒库(定义了所有病毒的特征代码)做比较,这就意味着一定要有人在病毒代码被发现之前感染病毒,如果病毒的特征代码没有存入病毒库,反病毒软件就没法发现并清除病毒。为了更有效地发现病毒,使用者必须定期更新反病毒软件的病毒库,否则该程序就不能检测出最新的病毒。
为了及时检测出反病毒软件厂家尚未发现的最新病毒,反病毒软件使用了一种叫做“启发式”的技术: 软件并不是扫描某种病毒的特征码,而是针对某种可能的病毒行为进行扫描。但这种技术也存在问题,软件可能误认为某个正常文件已染毒。如果一台机器上安装了多种反病毒软件,有时后安装的软件竟会认为先前安装的反病毒软件的病毒特征代码是病毒。
使用者可以把反病毒软件设置成“需要时执行扫描”,此时手工打开反病毒软件来扫描磁盘上的文件; 也可以设置成“有文件存取时执行扫描”,此时当打开文件或安装一个新的应用程序时反病毒软件将自动检查系统。当您第一次安装反病毒软件,或者准备从软盘、光盘拷贝文件时,最好执行一次对于PC机的全面扫描。
内在品质
识别病毒: 我们把反病毒软件的病毒库都更新为最新的2001年4月20日的版本,并用软件扫描一块含有225种病毒(2001年3月在WildList中列出的病毒)的硬盘。其中3款反病毒软件F-Secure Anti-Virus、Norman Virus Control和Panda Antivirus Platinum可以杀掉列表中的所有病毒; 另外2款软件McAfee VirusScan和Trend Micro PC-cillin 2000让一个入侵者混入了系统; Norton AntiVirus 2001没能查出msie-a.exe(著名的JS/Unicle.A-mm病毒的载体)。PC-cillin还错过了一个鲜为人知的LoveLetter病毒的变体(VBS/NewLove.A-mm病毒),而Sophos有6种病毒没检查出来。
我们从其他地方把带病毒文件拷贝到这些装有反病毒软件的机器中,测试这些软件在“有文件存取时执行扫描”的性能如何。虽然F-Secure在“需要时执行扫描”测试中表现很不错,但在“有文件存取时执行扫描”测试中却漏掉了5种病毒,包括2种常见病毒——Happy-99和KakWorm。
扫描速度: 我们检测了各种反病毒软件在Pentium Ⅲ 550 CPU的测试系统中执行扫描的性能、速度差异。Norton的扫描速度最快,3次的扫描平均花的时间是3分47秒; Norman花的时间最长,为23分30秒。实际上速度并不是病毒扫描的一个很重要的参数,但是,软件执行扫描的速度越快,通常用户就越愿意使用它。
扫描未知病毒: 现在新出现病毒的传播速度越来越快了,您很难每次都能在感染病毒之前下载最新的病毒库。
为了检测各种反病毒软件抵抗未知病毒的能力,我们把所有软件的病毒库更新到2001年4月20日,然后在硬盘上添加33种病毒的63种变种(这些病毒是在4月和5月的WildList中列出的新病毒)。需要注意的是我们的测试并没有真正完全地反映软件的“启发式”技术,因为4月20日版本的病毒库中已经包含了部分新病毒和其变体的特征代码,这样就可以利用已有的病毒库查杀这些病毒。
测试中,Panda是惟一可以查到所有新病毒的软件; F-Secure仅仅漏查了一种病毒; McAfee和Norton分别漏查了2种和3种病毒; Norman漏查了6种病毒; PC-cillin漏查了10种病毒。只有McAfee VirusScan和Panda AntiVirus Platinum能查出Homepage病毒,该病毒是在2001年5月份被发现的,其病毒特征代码没有包含在4月20日的病毒库中。
外观印象
“有文件存取时执行扫描”方式: 各种软件基本上一致,差别很小。它们都能在系统启动时自动激活,并在系统程序队列中显示为一个小图标。
有4种产品——McAfee、Norton、Panda和PC-cillin能查出E-mail附件中的病毒。这些软件是创建了一个本地的代理,它能够在E-mail到达收件箱之前对这些信件进行检查。如果反病毒软件检测出E-mail中带有病毒,它会在病毒感染系统之前就删除这些病毒。F-Secure、Norman和Sophos不能检测出接收的E-mail中的病毒,但它们能够在有文件存取时执行扫描并发现被病毒感染的文件。
“需要时执行扫描”方式: 与前一种方式对比,该方式需要您控制整个杀毒过程。Panda Antivirus Platinum的软件界面比较友好,易于操作使用,但在设置扫描过程时仍需要用户进行很多干预。您可以设定扫描特定的文件或文件类型,并安排扫描过程定期自动执行。
多数产品的用户界面都比较一致并易于使用。Norman的Virus Control是一个例外,它把整个界面分成了很多个部件,使用户很容易混淆并且很难发现自己需要的部分; Norton和McAfee存在一些一致性问题,它们的主要控制面板提供了一个半透明的、Mac风格的界面,但其他部分仍保留了早期版本中的呆板的对话框式的界面; McAfee VirusScan的部件集成的也不好,例如系统队列图标有一个弹出式菜单,似乎是允许用户修改程序设置的,但这些设置只能在一次运行过程中保存,因此,如果您关闭或重启E-mail客户端,您就会发现E-mail扫描功能已经禁用了,即使您已经通过该软件在系统队列中的图标设置了保持E-mail扫描功能永远有效。为了永久地改变系统设置,您必须通过“开始”菜单启动软件才行。
自动更新
只有当反病毒软件的病毒库保持最新更新时才能保证病毒扫描功能最有效。我们建议每周更新一次病毒库,以确保反病毒软件能对付所有最新的病毒。
正因为如此,我们特别关注软件病毒库更新的易操作性。有5种软件可以自动更新病毒库,它们是F-Secure Anti-Virus、Norman Virus Control、Norton AntiVirus 2001、Panda Antivirus Platinum和Trend Micro PC-cillin。只要您的机器建立了Internet连接,这些软件就能自动查找本公司网站上的最新的病毒库和程序升级信息,然后下载并安装。该功能在Norton和PC-cillin中缺省设置是打开的,但Norman和Panda则需要您手动打开这个选项。在F-Secure中,您必须另外安装一个自动更新程序才能获得自动更新的功能,但这些部分在其软件说明书中并没有提到。
McAfee和Sophos基本上没有自动更新功能,需要您去访问他们的网站获得最新的病毒库。但McAfee提供了定期更新提醒,所有程序都含有一个一年期限的病毒库更新的订阅。
从容面对警告
当发现自己的系统中存在病毒或怀疑有病毒存在时,总会让人感到不安。幸运的是,所有反病毒软件并没有通过一些警告、闪烁的灯光或其他醒目的图片来夸大这种不安。当然,虽然PC-cillin和Sophos的提示设计得很微妙,但仍可能让人感到压力,因为即使没有问题,这些软件有时也会弹出一些提示信息来。在我们的测试中,PC-cillin就曾经3次把正常文件误认为是染毒文件,Sophos出现了4次这种情况,其他软件没有出现过这种情况。
如果扫描程序确实检测出有病毒,您可以有几种方法来对付这些病毒。就像外科医生摘除肿瘤一样,反病毒软件通过去掉病毒代码并恢复文件原貌来修复被感染的文件。所有参测的反病毒软件都能成功地去除大量病毒并安全地修复被感染的文件。
在反病毒软件中您还可以看到这样一些选项: 忽略警告、删除受感染的文件或者隔离受感染的文件(隔离区是硬盘上的一块特殊区域,专门用于存放那些无法运行或无法打开的文件)。隔离文件可以将一个新的病毒分离出来,并把它发送到反病毒软件厂家那里去分析。Norton AntiVirus 2001和PC-cillin都能自动发送这些病毒。
当检测出有病毒时,不同的反病毒软件会提示您不同的处理方法。McAfee、Norton和PC-cillin都能在发现病毒时显示很友好的信息来提示您软件将如何处理这种情况。在这方面,我们给F-Secure的评价最高,它的提示对话框中包含了一个“Virus Info”的按钮,点击它可以链接到可疑代码的详细描述。所有反病毒软件厂商都在他们的网站上详细描述了各自的软件能够检测的病毒的详细资料。Sophos做的不太好,他们只是提示您“如果要得到详细资料,请参看用户手册”。
对于软件附带的说明文档,Sophos确实是做得最好的,软件包中包含一个完整的图示的安装指南、一本详细的用户手册以及一本有价值的、易读的书——“揭开计算机病毒的神秘面纱”。像多数其他厂商一样,Sophos产品的安装光盘中也包含PDF版本的文档。Norton Antivirus提供了最好的光盘电子文档,其中包括4段产品说明录像。
安装与卸载
所有的杀毒软件的安装过程都不很复杂。相比之下,Symantec的Norton AntiVirus安装起来稍困难些,它在安装过程中以及在更新病毒库时都需要重启机器。
在安装Panda Antivirus时我们碰到了一点小麻烦,虽然程序有一个内置的注册工具,但Panda已经不再支持这种方式了,该公司希望您能通过他们的网站来注册。我们拿到的评估版中没有任何关于这方面更改的信息,但Panda已经在新版的用户手册中加了一条提示,并提供了详细的注册过程的说明。基于互联网的注册过程虽然不太方便但比较顺利。虽然不注册仍可以使用该软件,但注册后您就可以下载最新的病毒库了。
在测试系统中,Norton Antivirus卸载比较麻烦,因为它的卸载程序会在硬盘上留下一些文件,这就可能产生问题,即使是存留了很少的文件,一些反病毒软件将会拒绝安装在曾经安装过其他杀毒软件的机器上。
但是,与卸载Norman Virus Control相比,卸载Norton并不是最困难的。我们测试的Norman没有卸载程序,也未出现在Windows的“添加/删除程序”列表中。Norman公司后来给我们提供了一个更新的版本,可以从Windows的“添加/删除程序”列表中卸载该程序。
毋庸置疑的全能冠军
在我们的这次查毒、杀毒测试过程中,Panda Antivirus Platinum 6.23成为其中的佼佼者。它能够检测出所有已知病毒,在未知病毒预测试验中也是表现最好的,同时没有出现误查错误。虽然它不是速度最快的,但扫描时间仍在可容忍之列。尽管我们在注册过程中遇到了些小麻烦,但总体来说Panda还是很容易使用的。其60美元的盒装零售价格(30美元的下载版本)与其他同类产品相比是稍微贵了一些,但它的卓越性能是物超所值的。
我们是如何测试的
测试工作由Joe Wells执行,他是WildList Organization International的奠基者,也是AvTestlab.com的总负责人。
所有反病毒软件的病毒库都是在2001年4月20日下载的。我们按“需要时执行扫描”和“有文件存取时执行扫描”2种扫描方式分别对352个感染了225种病毒和6种特洛伊木马的文件进行扫描,这些病毒来自于2001年3月的WildList(一个由WildList Organization International编辑的计算机病毒列表)。
所有性能测试都是在Intel Pentium Ⅲ 550 CPU、128MB SDRAM、10GB硬盘的相同配置的电脑上进行,安装了Windows 98 SE和Office 97专业版。每个反病毒软件都是在缺省设置下进行测试的。
软件扫描速度测试结果取的是3次对10022个文件(包括.exe、.com、.bin、.dll和.ovl)共894MB扫描的平均值。我们通过扫描、修复115个被不同病毒感染的Word文档、112个Word模板文件、34个Excel表单和1个PowerPoint文件来评测软件修复文件的能力。当修复后的文档能够在相关的应用程序中打开并能保持数据的完整性时,我们就认为是修复成功。
在未知病毒检测中,我们使用了2001年5月在WildList中列出的33种病毒的63个样品,而反病毒软件使用的病毒库是2001年4月20日的,所有软件的“启发式”功能都是打开的并设置成最高级别。
如何应对病毒
被病毒感染之前
安装一套反病毒工具软件:选择一个提供了专用的“有文件存取时执行”的扫描功能的软件,该软件还应该易于升级病毒库。
点击之前应三思: 一旦您打开E-mail中的附件,就意味着您正在允许程序在您的计算机上做任何它想做的事。千万不要认为从朋友那里发来的邮件就不会含有病毒。
及时使用安全补丁: 经常了解最新的安全漏洞的信息,及时使用推荐的安全补丁。
被病毒感染以后
查毒、杀毒: 仔细注意病毒扫描软件提示给您的信息,不要忽略了这些警告信息。
拔掉网线: 如果您的机器已经感染了病毒,首先应断开与网络的连接,运行一次全面的病毒扫描,以防止病毒继续扩散。
寻求帮助(可选): 如果您在办公室,请及时与系统管理员联系;如果您是在家中,可以向反病毒软件厂商寻求更多的信息。
武新逢编译自PC World[美]2001年第9期
责任编辑: 庞燕 [email protected]
责任美编: 王战辉 [email protected]
----
欢迎光临聊毒斋!!!
http://cnav.myrice.com or http://cnav.533.net
Email: [email protected]
Oicq:201604 |
|