杀毒软件测试: 微软OneCare倒数第一

杀毒软件测试: 微软OneCare倒数第一

太平洋电脑网

作者：BlackWing

　　一奥地利反病毒研究人员表示，在17个参与针对数百种蠕虫、病毒、木马和其它恶意软件的杀毒软件测试中，微软的Windows Live OneCare排名最后。

　　AV Comparatives网站每季度都会推出流行杀毒软件针对动态更新的多达50万种恶意软件的测试结果。

　　据网站维护人Cleminti的测试结果显示，成绩最好的是G Data Security的AntiVirusKit（AVK），99.5％的恶意软件都逃不过它的拦截；第二名是AEC的TrustPort AV WS，查杀率为99.4％；Avira的AntiVir PE Premium以98.9％排名第三；以后的几名分别为：MicroWorld的eScan Anti-Virus，97.9％；F-Secure，97.9％；卡巴斯基，97.9％。

　　而其它比较有名的杀毒产品如赛门铁克的Norton Anti-Virus和McAfee的Virus Scan相应的查杀率分别为96.8％和91.6％。

　　垫底的是微软的Live OneCare，只能查杀82.4％的恶意软件。

　　Cleminti还对这17个参加测试的产品进行了多态病毒（polymorphic viruses）的防御测试，这种病毒为了躲避查杀会衍生出大量的变体。测试结果显示，只有赛门铁克的Norton AntiVirus和ESET的NOD32杀毒软件能够捕获提供测试的12个多态病毒家族中的每个变体。而OneCare在这项测试中排名15。

　　Cleminti的详细报告可以到这里下载。

　　这也不是微软的安全产品第一次被批了，就在前一周，澳大利亚的安全公司PC Tools就公布了一份研究报告，报告称微软的Windows Defender反间谍软件只能识别46％到53％的间谍软件。

　　而微软的发言人表示，他们会仔细研究这次测试的方法跟结果以确保Windows Live OneCare在未来的测试中表现的更好。

卡巴斯基称Vista将主宰恶意软件的进化

太平洋电脑网

作者：BlackWing

　　据杀毒软件厂商预测，在未来几年内，Vista将成为影响恶意代码发展的重要因素。

　　在卡巴斯基公布的年度报告中，它预计在未来几年，Vista将成为恶意软件进化的决定性因素。

　　同时它还预测，针对Mac OS X和Unix系统的恶意软件数量也会明显的增加。

　　而随着如PS等游戏机的增多和它们网络网络功能的丰富，游戏机也慢慢会引起病毒作者的注意。

　　作者表示，目前这些攻击应该还是局限于概念严重代码的阶段，暂时威胁不大。

　　卡巴斯基表示，今年针对大中型企业的针对性攻击也会上升，而通过对用户电脑上的数据进行加密直到用户支付金钱后才把数据恢复给用户的敲诈方式也将成为主要的作案手段之一。它表示，微软Office的文档会成为主要的感染目标。

　　报告还表示，垃圾邮件的前景依然暗淡，用户面对的还是没完没了的垃圾邮件。

换个角度 从企业级用户需求看杀毒软件

作者：lvvl　来源：赛迪网安全社

　对于企业网络而言，一旦有网络病毒的威胁，受到攻击的可能不仅仅是一台的计算机，所有在局域网内的电脑都有可能成为牺牲品，在出现了不计其数的企业员工电脑大面积感染病毒瘫痪的事件之后，网络安全终于被充分地重视。

　　除了必备的安全网关、防火墙等大型设备之外，对于企业用户来说，杀毒软件是除硬件防火墙之外最有力的补充，不仅仅因为最易管理而且占用资源比较少，更重要的是它在企业中的作用可以体现在每个终端，可保护局域网内部的安全。

　　不过对于使用个人版杀毒软件的用户来说，个人版杀毒软件可以实现企业版绝大部分的功能，那么为什么企业版无论在价格上要高出那么多呢？这就要从企业版杀毒软件的定义说起。

企业版杀毒软件的定义

　　至于什么是企业版杀毒软件，尚且缺少一个有力的定义，笔者个人认为对于企业版杀毒软件来说，一定要将定义分成两个部分：

　　1、针对中小企业的杀毒软件：适用于单一的中、小型企业网络，工作站点限制在100个计算机节点以内，单级管理，只支持单系统中心--通过唯一的1个系统中心进行统一管理，提供灵活、快捷的网络防病毒支持；

　　2、针对大型企业的杀毒软件：就是适用于复杂、跨平台、跨网段、跨地域的企业级网络，没有工作站点的限制，可以实施多级管理，同时可支持多系统中心--通过主系统中心对各个子系统中心的逐级管理，尤其对跨网段、跨区域的分支机构可全面实现统一、远程、智能化等管理等的杀毒软件。

与个人版杀毒软件的不同

　　抛开杀毒引擎和产品接口不同等技术层面不谈，所谓企业版杀毒软件，其与个人版杀毒软件最本质的区别就在于，企业版杀毒软件照顾到的是局域网内的每一台PC，而个人版杀毒软件只负责管好自己的“一亩三分田”。

　　企业版杀毒软件的构成与价格体系 通常的企业版杀毒软件包括三个部分：系统中心、服务器端和客户端。一般来说根据企业大小的不同，用户可以购买不同数目的客户端。总的来看，在购买不同数目的客户端价格也有所不同，国内厂商的中小企业版系统中心和服务器端的价格大概在2000元左右，一个客户端大概在300元左右，大型企业版基本上价格翻倍。而国外产品价格稍高，不过与国内产品相差不多。

　　我们可以见到不少网友喜欢用企业版杀毒软件，但是我们在电脑上看到的那个只是客户端，真正的管理端是在接入的服务器上，网管们可以进行管理。与各自品牌相应的个人版相比，企业版杀毒软件的客户端资源占用较少，自定义选项较个人版少，但是灵活、快捷，反应迅速，易于操作。

总结

　　平心而论，在企业版杀毒软件方面，国外厂商一直走在国内厂商的前面，而且拉开的距离不止是一两步，像赛门铁克、Mcafee、卡巴斯基等企业版产品无论是在国内还是在国外都拥有大量的“粉丝”。在国外厂商中，赛门铁克旗下的诺顿品牌和Mcafee目前在国内的口碑最好。根据笔者所能接触到的用户反映，诺顿和趋势的企业版杀软在管理方面相当出色，而Mcafee的防护比较强只是在设置上比较复杂，不易于管理。不过企业真正购买的话还需要专门的安全技术人员根据企业的规模和需要制定解决方案以选择最适合的产品。

针对Vista赛门铁克指出其内核存在问题

作者：hackmaster　来源：赛迪网安全社区

赛门铁克对微软Windows Vista安全特性——尤其是64位内核保护技术PatchGuard——的态度是众所周知的，连续多份Vista安全报告也是毫不留情地持续分析Vista的弱点。今天，赛门铁克又在其官网上公布了一份Vista安全白皮书，在其中令人震惊地给出了独立研究人员对Vista Beta中PatchGuard技术的破解演示的链接地址，还有相关源代码。

2005年12月，Uniformed.org发表了题为“绕过Windows x64的PatchGuard”的PDF白皮书发，但一直没有受到太多关注，而在一份16页的Vista安全技术分析报告中，赛门铁克以脚注的形式给出了上述白皮书的链接地址。第9页的相关语句为：“一如Windows Vista开发和发布过程中演示的那样，黑客可以而且会破解PatchGurad。”

破解白皮书的作者之一Ken Johnson(Skywing)是一位专业开发人员，也是微软MVP。他并不是专业黑客，只是业余爱好研究合法的逆向工程，而其工作是开发Windows虚拟专用网络软件。出于发现问题、给出解决方案的思路，Ken Johnson及合作者还在白皮书中给出了对付每一个破解方案的所需技术，而这些技术都可能会被微软用来增强Vista。

赛门铁克在自己的报告中提到了Ken Johnson的工作，并继续“嘲讽”PatchGuard等安全技术，声称“这些技术也许会放慢黑客的脚步，但终究不是长久之计”。赛门铁克称：“结果显示，经过一人一星期的适当努力，PatchGuard和代码签名检查、底层驱动认证三种技术可以被永久性屏蔽，并从Vista中移除。即使(Vista)用户可能只是犯了一个小错误，也可能成为类似安全威胁的受害者。”

这么说还不够，赛门铁克随后就演示了如何关闭Vista的一些安全特性，比如帐户控制UAC等。



安全知识 探讨主动防御型杀毒软件技术

作者：hackmaster　来源：赛迪网安全社区

间谍程序、游戏木马、黑客程序等网络病毒的频频爆发，使国内外反病毒领域开始意识到，单纯依靠“特征码技术”已经不能适应反病毒需求。 那么什么是“主动防御”，它的实现技术又是怎样的呢?

所谓“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数的人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者罪犯都有这些先兆。因此“主动防御”并不能100%发现病毒，它的成功率大概在60%-80%之间。如果再加上传统的“特征码技术”，几乎可以发现100%的恶意程序了。在国外，诺顿，Kaspersky，McAfee等等杀毒巨头，都已经向“主动防御”+“特征码技术”过渡了，这是杀毒软件的必然发展趋势。

防火墙是一个运用“主动防御”技术的典型例子，大家都用过防火墙了，对于防火墙经常询问用户是否放行一个进程访问网络，或者有不明连接进入本机而发出警告是否印象深刻呢?其实防火墙就是在全程监视进程的网络行为，一但发现违反规则的行为就发出警告，或者直接根据用户设定拒绝进程访问网络。当然，现在的防火墙一般都把系统网络进程(比如services.exe，svchost.exe，lsass.exe等)记在“受信名单”里，这些进程是默认允许访问网络的，如果禁止的话，操作系统就不正常了，这也是现在很多病毒和木马都喜欢远程注入这些系统进程以突破防火墙而访问网络的原因。

下面重点说一下“主动防御”的实现技术。大家都写过程序，知道在一个程序里如果要实现自己的功能就必须要通过接口调用操作系统提供的功能函数，在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在WINDOWS里一般是通过DLL里的API提供，也有少数通过INT2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API(尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过)，就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星杀毒，大家可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。

最后让我们设想一下一个“主动防御”型杀毒软件的一般流程:通过挂接系统建立进程的API，杀毒软件就在一个进程建立前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令(一般正常软件不会有这些指令)，就提示，如果用户放行，就让进程继续运行;接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告;如果收发数据违反了规则，发出提示;如果进程调用了CreateRemoteThread()，则发出警告(因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒木马用得最多)。...。可以想象，未来我们运行程序可能要被提示多次，访问网络也被提示多次，各种各样的提示将大多数人搞的昏头转向。想安全就要管严，放松就不安全了!