七剑出鞘毒魔散!杀软查杀能力全面对垒

　　编者按：为Dr.Web大蜘蛛有缺憾的优秀深感惋惜！ 

　　杀毒软件，可以说是矛与盾的综合体。矛——病毒、木马的“终结者”；盾——系统安全的最后防线！“老一辈”的杀毒软件更突出“利矛”，而忽视“坚盾”，谁的矛利谁就可以“称霸网坛”。但随着网络威胁日趋复杂化、多样化，“盾”的角色开始被重视起来，在“新一代”的杀毒软件中得到了强有效的体现，“利矛”、“坚盾”同向发展的时代已经到来，系统安全防护更加全面、彻底、高效，那么，面对如此多的“安全套装”、“全功能”杀毒软件的来袭，谁才是新一代的“网者之剑”，我们试目以待！

---

　　过去，影响系统安全的大多为病毒，所以，病毒查杀能力也就成为了衡量杀毒软件好坏的最重要指标。但随着网络技术的快速发展，木马、恶意插件、网页挂马、邮件病毒等在网络中开始肆意横行，使得网络环境的安全变得日趋复杂、严峻。为了应对这种复杂严峻的网络环境，各大杀毒软件厂商相继推出了诸如“全功能”、“安全套装”等全方位、立体化防御的杀毒软件来应对这些网络威胁，效果究竟怎样呢？今天，笔者就对目前比较主流的七款杀毒软件进行一次全方位的测试，看看它们是否能够全面“胜任”这项安防大任！

　　参评的杀毒软件包括：

　　1.ESET NOD32 安全套装（ESET Smart Security）简体中文 3.0.669正式版

　　2.Dr.Web大蜘蛛反病毒2008专业版

　　3.江民KV2008下载版

　　4.金山毒霸2008杀毒软件套装

　　5.卡巴斯基全功能安全软件2009 8.0.0.454

　　6.诺顿网络安全特警(NIS2009) 2009 简体中文版

　　7.小红伞Avira Premium Security Suite V8 安全套装

　　评测病毒包说明：

　　病毒样本来源：全部为网友上传到网络中的最新病毒样本包，经笔者全部解压缩后，存放于一个普通的文件夹中（基本上无压缩文件）。

　　病毒样本包大小：818个文件，76.2MB

　　病毒文件类型：应用程序扩展、应用程序、已编译的HTML帮助文件、系统文件、数字标识文件、文本文档、屏幕保护程序、配置设置、层叠样式表文档、安装信息、Windows NT 命令脚本、VBScript Script File、STF文件、Shockware flash Object、PDF文件、NLS文件、MS-DOS批处理文件、JScript Script File、JPEG图像、GIF图像、JMP文件、DAT文件、BMP图像、BIN文件、ASP文件等。

　　同时，病毒包中存在一部分被修改过扩展名的文件，大部分杀毒软件无法对其进行检测，进而忽略之。

图1 测试用病毒样本包信息

　　评测系统环境说明：

相关信息	具体说明
操作系统	Windows  XP SP 2
CPU	Intel P4 3.2GHz
物理内存	1.5GB
网络环境	10MB光纤 公司局域网（总机器数约800台）
其　　它	除了运行一常用应用程序外，未运行其它程序

　　评测项目说明：

　　一、病毒查杀能力的测试

　　1.病毒包扫描及查杀率

　　2.查杀完病毒后，“残留”文件的数量

　　二、全方位测试实时监控能力

　　1.挂马网页的拦截

　　2.带病毒的图片网页拦截

　　3.用下载工具下载带病毒的文件

　　4.IE浏览器直接下载带病毒的文件

　  5.带病毒的邮件拦截

　　1.病毒查杀能力测试

　　病毒查杀能力的强弱，直接关系到它在用户系统中的存在“命运”，作用可见一斑。但每款杀毒软件都有着自己独立的查毒、杀毒引擎，自然扫描病毒和查杀病毒的机制也就不同，所以仅从一个方面对其进行对比衡量，结果应该不具有很强的说服力。因此，需要从不同的角度对其进行一次全面分析，才能发现它们的优势和劣势。 

　　同时，大部分人都存在一个误区，就是：“谁查得多、杀的多，我就用谁！”，经测试后发现，这种观点是错误的！比如ESET NOD32和卡巴斯基，ESET NOD32可以对压缩文件进行扫描，但不能清除压缩文件中的病毒，而卡巴斯基不但可以对压缩文件进行扫描，而且也能清除压缩文件中的病毒，所以在统计结果上就出现了分歧：

　　ESET NOD32把一个压缩文件当一个病毒统计，而卡巴斯基却把压缩文件中包含的病毒数量做为其查杀数量，若仅以数量为依据，那么，卡巴斯基永远查的、杀的病毒比ESET NOD32多，是否就可以说卡巴斯基比ESET NOD32好呢？从实际查杀后的结果中，你就可以惊奇的发现：原来……

　　ESET NOD32对病毒包进行扫描，耗时6分31秒，扫描1359个对象，发现威胁771个，并成功清除了其中的667个文件。

图2 ESET NOD32扫描及查杀病毒情况

　　小提示：

　　因病毒包中包含一些错误的后缀文件，包括ESET NOD32在内的所有杀毒软件在查杀时，无法对其进行深层次的分析、查杀，因这类文件的威胁性较小，杀毒软件只好作罢。这也就是扫描数和查杀数不同的原因之一！

　　DrWeb大蜘蛛对病毒包进行扫描，耗时2分33秒，扫描1317个对象，发现威胁708个，并成功清除了其中的652个文件。

图3 DrWeb大蜘蛛扫描及查杀病毒情况

　　江民2008对病毒包进行扫描，耗时13分29秒，扫描1435个对象，发现威胁664个，并成功清除了其中的664个文件。

图4 江民2008扫描及查杀病毒情况

　　金山毒霸对病毒包进行扫描，耗时1分28秒，扫描1639个对象，发现威胁739个，并成功清除了其中的706个文件。

图5 金山毒霸2008扫描及查杀病毒情况

　　卡巴斯基对病毒包进行扫描，耗时191秒（从扫描日志中获得），扫描2067个对象，发现威胁1073个，但清除数量不详，从扫描日志中无法直接获得。

图6 卡巴斯基2009扫描及查杀病毒情况

　　小提示：

　　点击“详细信息”可以查看卡巴斯基2009的“报告”，但该报告仅提供了病毒、木马的处理结果，如删除、隔离等，但未提供具体的删除或隔离病毒数的信息。显得不够直观！

　　诺顿2009对病毒包进行扫描，耗时不详（笔者测试结果为，扫描后逐个进行查杀，耗时很长），扫描847个对象，发现威胁737个，并成功清除了其中的611个文件。

图7 诺顿2009扫描病毒情况

　　因诺顿2009的扫描过程、查杀过程是独立进行的，而且在扫描结果中无法真实的看出其查杀效果（统计结果显示查杀效果很差，但实际效果却非显示的那样，这或许与诺顿2009的统计方式有关），所以笔者只好以其在每个独立过程中的统计数据为测试结果。

图8 诺顿2009查杀病毒情况

　　小红伞对病毒包进行扫描，耗时3分58秒，扫描888个对象，发现威胁752个，但清除数量不详，无法直接获得隔离或删除的数量。

图9 小红伞扫描及查杀病毒情况

　　因为是网络中的病毒包，所以其中到底存在多少病毒，笔者也不可能轻易得知，只能将所有的压缩文件解压后统计其数量（对于其它类型的1个文件中包含多个病毒的情况，笔者无法予以准确统计，请网友予以谅解）。

图10 病毒查杀总表

　　从大部分杀毒软件的扫描结果看，病毒包内的病毒应该不超过病毒文件的数量（818个）。

　　发现威胁数方面，卡巴斯基可谓是“一枝独秀”，远远高于其它杀毒软件，但为什么其仅向用户提供扫描数量，而杀毒数量“不透明”的做法，值得思考。

　　同样的，诺顿2009“规避了”扫描时间。

　　所以，在发现威胁数和隔离/删除病毒数方面，我们暂时“不考虑”卡巴斯基的数据，讨论其它六款杀毒软件的查、杀病毒能力排行：

　　扫描能力（强→弱）：ESET NOD32、小红伞、金山毒霸、诺顿2009、大蜘蛛、江民2008

　　杀毒能力（强→弱）：金山毒霸、ESET NOD32、江民2008、大蜘蛛、诺顿2009

　　小说明：

　　可以清除压缩文件中病毒的杀毒软件有：卡巴斯基、江民2008、金山毒霸、诺顿2009

　　不能清除压缩文件中病毒的杀毒软件有：ESET NOD32、Dr.Web大蜘蛛、小红伞

　　扫描时间（少→多）：金山毒霸、大蜘蛛、卡巴斯基、小红伞、ESET NOD32、江民2008

　　在以上排名中，笔者在某些排名项目中暂时“忽略”了一些数据不明确的杀毒软件的排名情况，为得是更客观的对这些杀毒软件进行排名。所以，“数量”上无法见分晓后，我们再转向被它们“处理后”的病毒文件包，看它们又给我们留下了多少“遗产”！

　　2.查杀完病毒后，“残留”文件的情况

　　如果说数量仅仅是体现了杀毒软件的“表面功夫”，那么，它们“遗留”下来的东西将足以说明一切：

　　ESET NOD32的“遗物”：151个文件，总计14.6MB

图11 ESET NOD32查杀完病毒后，“残留”的文件信息

　　Dr.Web大蜘蛛的“遗物”：166个文件，总计11.8MB

图12 Dr.Web大蜘蛛查杀完病毒后，“残留”的文件信息

　　江民2008的“遗物”：137个文件，总计25.4MB

图13 江民2008查杀完病毒后，“残留”的文件信息

　　金山毒霸的“遗物”：124个文件，总计11.9MB

图14 金山毒霸查杀完病毒后，“残留”的文件信息

　　卡巴斯基的“遗物”：141个文件，总计21.9MB

图15 卡巴斯基查杀完病毒后，“残留”的文件信息

　　诺顿2009的“遗物”：106个文件，总计10.3MB

图16 诺顿2009查杀完病毒后，“残留”的文件信息

　　小红伞的“遗物”：89个文件，总计12.9MB

图17 小红伞查杀完病毒后，“残留”的文件信息

　　七款杀毒软件“遗物”总表：

图18 查杀完病毒后，“残留”文件情况

　　从图18的图表中，我们不难看出：

　　1.ESET NOD32、Dr.Web大蜘蛛删除的文件数等于隔离/删除的病毒数，说明那些不能清除压缩文件中的病毒的杀毒软件在统计杀毒数量时，基本上以删除的文件数做为杀毒的数量，而不会对“病毒中的病毒”进行逐个统计。同时，文件大小的缩小率方面也与删除文件数基本上一致。因此，ESET NOD32、Dr.Web大蜘蛛、小红伞这三款软件放在一起进行横向评测应该是具备很强的可比性的。

　　2.对于那些可以清除压缩文件中的病毒的杀毒软件来说，理论上，隔离/删除的病毒数量应该大于删除的文件数量，但测试结果却与事实相反，而且在文件大小的缩小率方面也与删除文件数不一致，对其统计方式，笔者也是不得其解（笔者才疏学浅的直接表现），所以仅依靠杀毒软件自身提供的统计数据衡量它们的好坏，还是欠妥的。故笔者将金山毒霸、江民2008、卡巴斯基、诺顿2009放在一次评比，应该是比较正确的。

　　删除文件数方面（多→少）：

　　小红伞、诺顿2009、金山毒霸、江民2008、卡巴斯基、ESET NOD32、Dr.Web大蜘蛛

　　空间缩小率方面（大→小）：

　　诺顿2009、Dr.Web大蜘蛛、金山毒霸、小红伞、ESET NOD32、卡巴斯基、江民2008

　　3.挂马网页拦截测试：

　　挂马网站，通俗的讲就是在网站里挂木马。黑客利用各种漏洞侵入网站后台，上传木马，然后用木马生成器生成一个网马，并上到空间里面，再加上代码使得木马在打开网页时运行，从而危害用户系统的一种方式！

　　随着人们对互联网的依赖性越来越高，使得这些不法分子也将目光转向了我们日常打开的普通网页，进而对系统进行一定的危害。所以，防御挂马网站的重任也就落在的新一代的杀毒软件身上，那么，他们的表现究竟如何呢？笔者从网上找了10个高危挂马网页的地址，一一进行测试……

　　用于测试的挂马网站列表（10个）：

　　http://www.gzaojia.com/product.asp
　　http://222.213asdas.com/GLWORLD.html
　　http://www.19se18.cn/3wyt.htm
　　http://d.netads002.info/ads.htm
　　http://tj.6wyt.com/mm.htm
　　http://121.213asdas.com/fzl.htm
　　http://www.hukau.cn/kuku008.htm
　　http://222.00kk2.cn/fengzheng.htm
　　http://221.130.189.107/ilink.htm
　　http://www.ew2q.cn/wmpu/9841.htm

　　ESET NOD32有效拦截挂马网页7个。

图19 ESET NOD32拦截挂马网页

　　江民2008在打开这些网页的过程中，虽然系统任务栏图标“扫描”的迹象，但却未拦截到任何挂马网页。

　　金山毒霸有效拦截挂马网页2个。

图20 金山毒霸拦截挂马网页

　　卡巴斯基有效拦截挂马网页1个。

图21 卡巴斯基2009拦截挂马网页

　　诺顿2009有效拦截挂马网页4个。

图22 诺顿2009拦截挂马网页

　　小红伞有效拦截挂马网页6个。

图23 小红伞拦截挂马网页

图24 挂马网站的拦截测试结果

　　从拦截效果上看，七款杀毒软件的表现并不能让我们十分满意，即便是同一个高危挂马网页地址，也没有看到七款软件同时“起效”的结果，让人不得不对杀毒软件对挂马网页的“反应”持怀疑态度。但总得来下，ESET NOD32和小红伞的表现令人较为满意。

　　七款杀毒软件对挂马网站拦截效率排名（高→低）：

　　ESET NOD32、小红伞、诺顿2009、金山毒霸、卡巴斯基2009、江民2008、Dr.Web大蜘蛛

　　（感谢16楼的网友对该页中存在的文字和图片叙述错误的指正！现已修改，谢谢！编辑：朱志伟）

 

　　4.带病毒的图片网页拦截测试： 

　　图片网页中附带病毒，也是新时期病毒源的一种。利用人们好奇、欲望强的心里，乘机侵入用户系统，威胁系统安全。因此，杀毒软件的实时监控能力在这方面也应该会游刃有余？

　　用于测试的带病毒的图片网页列表（3个）：

　　http://1.f6cc5ea9.info/b/update.gif
　　http://w.d5x8.com/logo.gif
　　http://abb.633f94d3.info/abb.gif

　　ESET NOD32有效拦截（3个）。

图25 ESET NOD32拦截带病毒的图片网页

　　Dr.Web大蜘蛛有效拦截（2个）。

图26 Dr.Web大蜘蛛拦截带病毒的图片网页

　　江民2008有效拦截（2个）。

图27 江民2008拦截带病毒的图片网页

　　金山毒霸有效拦截（2个）。

图28 金山毒霸拦截带病毒的图片网页

　　卡巴斯基2009有效拦截（2个）。

图29 卡巴斯基2009拦截带病毒的图片网页

　　诺顿2009有效拦截（2个）。

图30 诺顿2009拦截带病毒的图片网页

　　小红伞有效拦截（1个）。

图31 小红伞拦截带病毒的图片网页

　　七款杀毒软件对带病毒的GIF图片页面拦截结果：

图32 带病毒的GIF图片页面拦截结果

　　测试结果还是令人非常满意的，最起码七款杀毒软件的实时监控功能都得到了一定的“发挥”，虽有一定的漏网，但整体还算说得过去。

　　七款杀毒软件对带病毒的图片页面拦截效率排名（高→低）：

　　1.ESET NOD32

　　2.大蜘蛛、江民2008、卡巴斯基、诺顿2009、金山毒霸

　　3.小红伞

　　5.下载工具下载带病毒的软件拦截测试 

　　文件下载，多数人会选用下载工具，好处就不用笔者多说了。但在下载文件的安全性方面，如果你是将此重任交给了下载工具自带的查杀工具（比如迅雷），系统安全不安全，尝试过的用户最清楚不过了。为了更好的测试杀毒软件的“实时监控”能力，笔者选择了一个十分危险的下载地址进行文件下载拦截测试：

　　软件很小，仅51KB大，七款杀毒软件反应得过来吗？

　　下载地址：http://www.5640ghib.com/max1.exe

　　ESET NOD32：有效拦截

图33 ESET NOD32实时监控整个下载过程（链接中断）

　　Dr.Web大蜘蛛：有效拦截

图34 Dr.Web大蜘蛛实时监控整个下载过程（链接中断）

　　江民2008：有效拦截

图35 江民2008实时监控整个下载过程（链接中断）

　　金山毒霸：有效拦截

图36 江民2008实时监控整个下载过程（链接中断）

　　卡巴斯基：有效拦截

图37 卡巴斯基2009实时监控整个下载过程（链接中断）

　　诺顿2009：有效拦截

图38 诺顿2009实时监控整个下载过程（链接中断）

　　小红伞：有效拦截

图39 小红伞实时监控整个下载过程（链接中断）

　　测试结果：

　　七款杀毒软件实时监控能力基本可以有效拦截那些带病毒的文件的下载。而且即便是笔者重新下载或暂停后继续下载，都无一例外的失败（直接删除文件或链接强制断开），可见杀毒软件对下载过程的监控尤为严格。

　　6.用IE直接下载带病毒的文件拦截测试 

　　按理说，杀毒软件既然能够实时监控下载工具的下载过程，那么肯定会监控其它下载方式及过程，而不会根据下载方式的改变而改变。但目前也有许多用户一贯延用IE进行文件下载的方式，仅测试下载工具的拦截能力比较片面，所以为了照顾这部分用户，笔者还是测试了一下用IE直接下载带病毒的文件时杀毒软件的拦截效果。

　　下载地址：http://www.5640ghib.com/max1.exe

　　ESET NOD32：有效拦截

图40 ESET NOD32实时监控整个下载过程（链接中断）

　　Dr.Web大蜘蛛：有效拦截

图41 Dr.Web大蜘蛛实时监控整个下载过程（链接中断）

　　江民2008：有效拦截

图42 江民2008实时监控整个下载过程（链接中断）

　　金山毒霸：有效拦截

图43 金山毒霸实时监控整个下载过程（链接中断）

　　卡巴斯基：有效拦截

图44 卡巴斯基2009实时监控整个下载过程（链接中断）

　　诺顿2009：有效拦截

图45 诺顿2009实时监控整个下载过程（链接中断）

　　小红伞：有效拦截

图46 小红伞实时监控整个下载过程（链接中断）

　　测试结果是显而易见的，七款杀毒软件基本没有让一个带病毒的文件进入用户系统。直接删除文件或链接强制断开成了它们的首选，可见杀毒软件对下载过程的监控异常严格。

　　7.邮件病毒测试  

　　邮件病毒，和普通的病毒在程序上是一样的，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为“邮件病毒”。这些邮件一般都会自称是某某公司、银行、证券、以及一些知名或不知名的服务商的管理员，说你在某某地方注册了什么帐户，现在需要安装一个插件，或者使用软件，或者一个什么软件的。或者直接告诉你安装过程请看附件。总之就是一种以高级用户的身份欺骗刚刚入行，或者刚刚注册过什么帐户的人。

　　对于这类病毒，杀毒软件的防火墙能够有效检测并拦截吗？

　　笔者向某一邮箱地址发送一封带有病毒的邮件，用来检测防火墙的实时监控能力。

　　ESET NOD32：具有对带病毒的邮件实行过滤、查毒的功能。

图47 ESET NOD32拦截带病毒的邮件

　　Dr.Web大蜘蛛：具有对带病毒的邮件实行过滤、查毒的功能。

图48 Dr.Web大蜘蛛拦截带病毒的邮件

　　江民2008：具有对带病毒的邮件实行过滤、查毒的功能

图49 江民2008拦截拦截带病毒的邮件

　　金山毒霸测试结果：实时监控未发现邮件中带有病毒

　　卡巴斯基2009：具有对带病毒的邮件实行过滤、查毒的功能

图50 卡巴斯基2009拦截带病毒的邮件

　　诺顿2009：具有对带病毒的邮件实行过滤、查毒的功能

图51 诺顿2009拦截带病毒的邮件

　　小红伞测试结果：实时监控未发现邮件中带有病毒

　　测试结果：

　　除了金山毒霸、小红伞外，其余五款杀毒软件均有效拦截下了带病毒的邮件。可见，杀毒软件在邮件的收、发过程进行很严格的过滤、监测，将这些远道而来的天赐良机的“谎言”拒之门外！

　　评测过程及数据完全透明化： 

　　为了让网友更直观的看到各评测项，我们根据各评测结果给大家列出评测数据表：

图52 病毒查杀总表

图53 查杀完病毒后，“残留”的文件信息

图54 挂马网站的拦截结果

图55 带病毒的GIF图片拦截结果

　　评测结束了总该有个综合排名吧，可是这却难住了笔者。因为在此次参与测试的七款杀毒软件中，各个杀毒软件在杀毒引擎以及结果的统计方式上存在着一定的差异，使得在某些项目上无法对其进行非常客观、准确的打分，因此某些杀毒软件在个别项目上的得分难免存在一定的误差。为了尽量减小这方面的误差，笔者先以能否处理压缩文件中的病毒的标准将七款杀毒软件一分为二，进行一次综合打分。

　　打分说明： 

　　1.关于扫描能力、杀毒能力、删除文件、文件压缩率的项目打分，以参与打分的软件数量为基数，即第一名的得分最高（基数分）；最后一名的得分最低（1分）。例如：扫描能力（3），表示有三款软件参与评分，最高分为3分，最低分为1分。

　　2.关于拦截挂马网站、图片病毒的项目打分：得分以拦截的数量为准

　　3.关于下载过程监控、病毒邮件监控的项目打分：拦截：得2分  未拦截：得1分

图56 不能清除压缩文件中病毒的杀毒软件综合得分

图57 可以清除压缩文件中病毒的杀毒软件综合得分

　　如果网友对分类打分不满意的话，可以从后文的综合打分中查看这七款杀毒软件的综合排名情况。打分标准、使用的数据均是按照分类打分的标准和数据进行，绝对做到公平性、客观性、统一性、透明性。

　　那么，既然是横评，就应该将所有的参评对象拿出来横向对比，得分、排名上见分晓。 

图58 七款杀毒软件综合得分（点击看大图）

　　根据各个方面的得分情况，笔者对这七款杀毒软件进行了一次排名。

图59 七款杀毒软件综合排名

　　编辑点评：

　　从此次评测的过程来看，给笔者印象最深的就是：不能仅仅依靠杀毒软件在扫描、查杀方面提供的统计结果来决定杀毒软件的好坏，还得看查杀后“遗留”的产物，在笔者认为这方面是杀毒软件厂商无法人为控制的，想要提高“产量”，要么强杀，要么误杀，厂商一般是不会冒这样的风险的。同时也验证了不同的杀毒软件，不但有着不同的查杀病毒引擎（或机制），从而也有着不同的结果统计方式。

　　所以，评测数据仅仅代表了杀毒软件的在某些方面的表现，在一定程度上为用户的选择提供了指导性的建议或意见，至于哪款杀毒软件最好，用起来最舒心、放心，很大程度上还是在于用户本身。况且，目前大多数杀毒软件都为用户提供了1个月（卡巴斯基），3个月（ESET NOD32、Dr.Web大蜘蛛）的免费试用期，下载下来试用一段时间，好不好，自有分辨！

　　编后话：

　　在此次评测过程中，大部分杀毒软件的评测结果可以进行数字量化，但有些杀毒软件，如卡巴斯基、小红伞不提供删除的病毒量、诺顿2009不显示扫描时间，特别是Dr.WEB大蜘蛛，它的各项评测都非常优秀，但由于它在网页监控方面的缺憾，使得它整体得分受到严重影响。虽然笔者对在某些方面的数据不是非常透明（或隐藏），加大了此次评分的误差及评分难度，这其中也包括笔者一定的“感情分”在里面。希望这些厂商在以后的版本中，尽量能够强化这方面的功能细节。