新老杀毒大练兵 2013杀软半年度横评

    2013年从年初到六月份，我们在杀软业界看到了一些“新面孔”，其实也不能完全说是新面孔，但是在这些产品中，有些是有点“被扶正”的意思，部分则就是彻头彻尾的安全行业内新人。面对这样一个新老杀软交集，万象更新的大行业环境下，杀毒老兵需要继续提升激情，不断创新；而新手们要的就是初生牛犊不怕虎，敢闯敢拼的精神。新老杀软大练兵，谁强谁弱？这只能拿出安全产品来说话。所以在这里，ZOL软件频道将这些新老杀软都找出来比一比。

新老杀毒大练兵 2013杀软半年度横评

■现阶段安全现状分析

　　众所周知，随着中国互联网的快速发展，网络已经渗透到人们生活的方方面面，以网络为核心的数字化工作、生活、娱乐也面临着越来越复杂的安全威胁。普通用户在这个无所不涉及的网络环境中，可以说都有可能存在网络所带来的威胁。

    根据相关安全机构的调查，在过去一年，在中国有估计有超过2.57亿人成为网络犯罪的受害者，所蒙受的直接经济损失达人民币2890亿元人民币，网络安全形势十分严峻。在这个日新月异的网络时代，如何让我们所使用的计算机更加安全，而免去来自各方面威胁的影响，想必是每一个人都关注的问题所在。

　　未来恶意软件攻击数量将呈上升趋势，主要表现为在社交网络上盗取支付凭证或诱使用户提供支付信息，及其他个人信息等具有潜在价值的信息。这可能包括递送虚假礼物的通知以及邮件信息等，以得到受害者的家庭住址及其他个人信息。尽管这些非财务方面的信息看似无害，但网络罪犯会将这些信息连同已有的用户其他信息一起兜售给他人，进而建立起一个有关受害者的“档案”，然后利用这些信息侵害受害者的其他账户。

    如此之多的诉求，加上安全形势的不断变化，作为安全软件的杀软，肩负着怎样的使命，不断更新的产品功能，是否赶得上千变万化的安全形势，我们将通过横评来进一步探讨。

■测试产品与评分标准

    备注：在参测产品中，我们看到源自微软的MSE安全软件。我们知道，在win7中，Windows Defender只有反间谍功能，而MSE包含反病毒和反间谍功能，MSE的反间谍库就是Defender的库，当您装上MSE后会自动关闭Defender；而在Win8中，Defender则是包含了反病毒和反间谍功能，用的也是MSE的病毒库。其中不一样的也只是MSE中的设置略多些，两者基本功能完全相同。因此两者具有深层的渊源。

■测试环境介绍

■测试项目明细

    小贴士：在测试的过程中，我们发现部分杀毒软件在非主动（用户在非手动查杀目标点情况下）模式时，杀软本身启发式激活杀毒引擎，扫描病毒的防毒能力和误报率都并不一致。因此我们将评测标准修了一下，将杀软点误判率和防御能力拆分为主动和被动两种方式来进行测试，保证最后的点评数据更加准确。

■外观及安装包

    对于PC软件来说，UI界面上的设计是比较重要的一个方面。好的软件操作界面设计给用户的亲和力更强，专业术语表达就是界面的“友好”。具体落到杀毒软件上，作为相对专业层次的应用类软件，什么样的设计模式，能够让用户更轻松地去接触并使用，相信是产品UI设计师们首先考虑的问题。

    软件回顾：在今年上半年的时间里，我们看到主流的杀毒软件都纷纷发布了其更新版本。在这些更新版本中，产品的UI界面或多或少都做了调整。在这些变化中，“扁平化”相信在一些产品上已经有比较明显的表现。

百度杀毒UI界面设计

诺顿网络安全特警改版之后的界面

    从参测的产品中，我们列举百度杀毒和诺顿来比较一下就可以发现。这两款产品在UI风格的设计上，其实都涉及到了前文所提到的“扁平化”风格。除此之外，卡巴、腾讯电脑管家、江民等等都拥有这样的特征点。

各参测产品安装包的大小

    如上图所示，这是我们安装包大小的截图。但同时我也发现很多参测产品多为压缩格式，从个上来说，以压缩包的大小来比较，显然最终的测试结果会有所出入。因此将所有的参测产品解压出来，只取杀软的安装包文件来比较大小。

文件安装包大的杀软，下载过程需要一点时间

    笔者所处的网络环境网络状况较好，我们也看到安装包下载的速度超过了1MB/S。这样的下载速度条件下，我们下载安装包体积最大（参测产品中）的杀软--卡巴斯基，下载过程需要120秒左右。如果网速再慢一点，那么需要的时间就更长了，这些时间相信也是普通用户所不得不考虑的问题之一。

    以上，我们已经将本横评所涉及到的12款产品在UI界面、软件安装包上的特点，都进行了一番比较。最终微软的MSE（Windows Defender）胜出，其实也是结合了MSE两方面的特点综合之后所得到结果。其实这款产品，到了Win8时代，可以说是作为Windows操作系统自带，默认“潜伏”着。Windows 8用户无需下载即可体验，而非Windows 8用户，11.2MB的轻重量级特征，无论是下载还是存储，它的优势都是非常显著的。

　　从用户的反馈中，我们了解到一些软件在安装或者是卸载的时候，都会对用户带来困扰。这些困扰表现为软件在安装过程中的“可选捆绑”和“暗绑”。其中可选捆绑是用户安装软件时，安装向导程序提示询问用户是否愿意安装（可以不选择安装）的动作；而暗绑是在用户不知情情况下或者硬性不可取消的强制绑定，自动地将非目标软件以外的程序也夹带安装到了系统中，相比之下暗绑越发让用户所反感。

    另外，还有一个考核指标--卸载过程，纯粹考察卸载后各个杀软是否还存在残留文件夹。软件凡是涉及到以上情形的，或多或少都会引起用户的厌恶、反感。因此在本项测试中，我们对这样的杀软进行扣分。

AVG 2013带可选捆绑软件

金山毒霸2013可选捆绑

腾讯电脑管家安装过程中带可选捆绑软件

    从测试标准上，我们就可以看出来，捆绑减分机制比较刻薄，可选捆绑扣分机制较小，因为无论是安装过程还是卸载过程，捆绑和残留垃圾文件都会直接地影响到用户电脑本身，因为对于杀毒软件这样专业类型的软件来说，捆绑和残留垃圾这种恶性循环的问题会制约用户体验和品牌的口碑。本项测试中，除其中四款参测产品被扣分以外，其余产品皆满分通过。

    现在的杀毒软件，几乎都建立了本地的病毒库和云端的病毒数据库。这两个库的资源分布情况是不一样的。可以这样来理解，就是本地病毒库是云病毒库的子集。因此本轮测试中，我们将测试细分为联网查杀和无网查杀。两种不同的环境下，杀软在杀毒率上略为有差异。本部分为联网状态下的云查杀能力对比。

　　何为“云查杀”？

    其实就是把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻。另外，通过云端大型服务器端强大的病毒库引擎的加入，在病毒的剿杀上，采用了“集百家之力而击之”的方式，对不断变化中的病毒更高效地进行查杀。因此往往联网云查杀所杀毒的效率会更为有效。联网其实就是云查杀的最基本表现形式，因为现在普通PC有较多数时间是在接入互联网的状态下使用的。符合用户日常的使用经历，各杀软联网查杀在互联网千变万化威胁形势的压力下，应对能力上的对比是非常有必要的。

    测试方式：收集近期病毒包，在病毒包中随机抽取900个病毒文件，制成完全相同的病毒样本包若干个（取名201305月包）。每次仅在系统中安装一款参测杀毒软件对病毒样本进行查杀测试，统计最后测试数据。其他产品依次按照相同的方式进行测试。注：每一款杀软测试完毕重启电脑系统，进入下一款测试。

标准测试包详情

经百度杀毒查杀之后样本包剩余病毒文件数量信息

百度杀毒查杀病毒过程

金山毒霸2013查杀病毒结果

    分析：经过了上半年时间中，杀软在进行了一个甚至多个版本的更新变换，外在的美化修整，其实对杀软内在的杀毒核心几乎不存在任何影响。小红伞可以说是“其貌不扬”，但是它的杀毒引擎却依然领先于其他参测产品。另外卡巴、诺顿以及MSE这些都紧密相随，杀毒引擎上的差距已经越来越小。

    前文我们已经对杀软的联网云查杀进行了相关项目测试。那么，作为主动查杀测试的另一方式，无网查杀能力的鉴定就更多地落到了杀软本身病毒库能力上。因为在无法连接到云端的情况下，如果进行病毒的话，杀软效果的好与坏，则只能是靠杀毒软件自身病毒库能力。

    网络上的病毒几乎无时无刻都存在变化的可能，云端病毒数据库的建立了，就是为了来应对这些变化的。那么本地病毒库只能是在计算机联网之后，才会得到更新。杀软服务器方面对本地病毒库更新的频率以及本地库的集成度高低，都会直接体现到杀毒效果上。

测试电脑断网或者无网络连接状态

断网状态下腾讯电脑管家扫描结果

    备注：为了与联网状态下的查杀进行对比，我们的病毒包选取与联网查杀时使用的病毒包相同。另外，需要注意的是，在每一款杀毒软件进行病毒查杀前，均将其病毒库更新到最新状态，并且确保开启杀毒软件所有防御功能。

    测试小结：在无网络环境的状态下，参测的绝大多数杀软杀毒率均下降了2-5个百分点。参测产品中诺顿上升到首位，卡巴斯基安全部队2013以不到1%的差距落后于诺顿处第二位置上。同时我们分析出来，12款杀软中，正好三分之二的产品超过90%的杀毒率，而所有参测的杀软杀毒率均在87%以上。根据此次的无网杀毒比较，我们看到杀毒厂商在对本地病毒库不断地挖掘，相信经过努力，本地病毒库对病毒的查杀能力与联网查杀之间的差异会越来越小。 

    杀毒软件对电脑系统的保护能力应该体现在方方面面的，其中也包括了普通用户所最需要的上网冲浪过程的完全防护。因为广大的用户只希望知道哪些网址可以去，哪些可能带有威胁。如果真的碰到了钓鱼挂马网址，杀毒软件又是怎样帮助用户去处理的等等这些。

    网上交易、上传下载等操作的过程中，来自网页端的伪装地址，钓鱼挂马网页的危害，都是非常需要注意的问题。因此，在日常用电脑时，除了应对可能遭到的病毒入侵以外，来自网页Web端的钓鱼、挂马网站的袭击也是应该建立相关的防护机制。可以说来自网络的威胁是危害用户安全的其中一个最直接的方式。杀毒软件对挂马网站拦截能力成为安全防御中不可或缺的重要部分。

■挂马网站测试评分标准

    备注：钓鱼、挂马网址通常都只能从专门的站点去收集，这些钓鱼挂马网址都具备一个相同特征就是它们都是频繁性变化的，也就是说，用户今天发现某个网址被挂马了，可能在短短的几个小时之后，网址被迅速的恢复过来了，因此有可能我们所找到的网址会在很短的时间之内就被修复或者取消。因此我们在收集到这些网址之后，应尽快地进行测试。

图片说明

最新钓鱼挂马网站网址测试样本

    值得一提的是，在诺顿网络安全特警2013中，在快捷按钮中提供了一项“网址安全性验证”的功能，也就是当用户对某个网址产生怀疑，或者说不能确认网址安全性的时候，都可以使用这项功能来验证网址。这是一个很好的网址判断通道，利用这样的通道，我们轻松地将20个参测的目标网址一一地验证了出来。另外，卡巴斯基安全部队2013，以其彪悍的杀毒引擎底子，也获得本轮测试的满分。

　　杀毒软件的杀毒性能是杀软最重要的一个特征点，但对于杀毒软件来说，杀毒率固然重要，但是杀软的防毒能力其实也是不可或缺的。

    在绝大部分时间里，我们所使用的杀毒软件都会默默地在系统中运行，在电脑系统比较稳定安全的情况下，杀软一般也不会出来“骚扰”用户。然而，在这个时候，其实杀软的防御功能显得更为重要，因为杀软在发现系统中的不安全因素之后，能及时地弹出对话框，提示用户去处理，其实就是杀软的防御系统起了作用。这就是杀软本身的防御自启动程序，我们下面将要来测试的，正是这项防御系统的被动防毒能力。

卡巴斯基安全部队2013自启检测到病毒

　　测试说明：通过使用外置的移动存储设备，诱发杀软的自启防御系统，进而进行病毒的扫描与查杀。不过在进行测试之前，我们需要将被动防毒的测试样本包准备好。

    重新收集含1200个病毒的样本包，将这个样本包拷贝到U盘中（U盘为空，不放任何病毒以外的文件）。将参测杀软所有防御能力开启（包括移动存储设备扫描设置为开启），处于待命状态。U盘插入电脑USB接口，等待参测杀软防御过程的完成，最后统计数据。

诺顿网络安全特警2013处理检测到的威胁

    本轮测试中，诺顿网络安全特警2013在自启动防御系统比较灵敏，而且会自动启动处理威胁的操作。不过有一点不得不提的是，诺顿在自动处理自己捕抓到的这些威胁时，速度比较缓慢。

　　测试小结：

    测试结果看到，诺顿网络安全特警2013被动防毒性能表现超过了小红伞，跃居第一位。如此看来，杀毒软件处理病毒威胁的速度的快慢，不能反映出杀软对病毒查杀的性能。本项测试其实与主动查杀正好形成来病毒防御正反两方面的相互补充。杀毒软件在大多数的情况下所启动的安全防护，都是源自于自发式防御体系，也就是说当杀软发现电脑存在安全威胁时，便激活查毒系统进行安全扫描。而主动查杀的方式，通常都是当用户对某些文件或者程序行径存在怀疑时，方才启动的扫描。所以说被动防御方面是必不可少的。

　　在很多时候，杀毒软件会将部分插件、修改器以及一些本身是安全的程序误认为是威胁程序。如果您是一位游戏发烧友，需要经常使用一些软件修改器或者插件来修改游戏的话，那么，很可能您在使用杀软的过程中，遇到这种令人头疼的问题。杀毒软件具有强悍的杀毒能力，这个对于用户来说，这是一个必备的条件。但是杀毒软件的杀毒能力是不是越强就越好？其实不是这样的，杀软本身存在着一个平衡的杀毒状态，我们接下来就来探究这种“平衡”问题。

卡巴斯基安全部队2013自定义主动扫描

■测试评分标准

测试标准

测试所选用的含800个安全文件的样本包

    测试说明：主动扫描误杀率，其实是跟主动扫描的杀毒率是正好相反，方法基本一样，就是让杀毒软件主动扫描含有大量非病毒文件的测试样本包。

    正如前面所指出的，在这些文件中，我们将收集800个各类插件程序、普通的文档、执行程序以及系统文件等等。统计最后误杀非病毒文件的数量。

    大家知道，小红伞的杀毒核心颇为彪悍，以至于国内不少安全厂商都选用小红伞的杀毒核心技术。然而在强大的杀毒内核背后的却是面临着误杀率的困扰。从测试结果的表现来看，小红伞和AVG 2013误报率垫底。AVG的误杀率垫底，这点难免令人感到意外。杀毒能力之彪悍有目共睹。但是恰恰让大家所担心的事情还是出现了。杀毒能力并非越高越好，杀毒率和误报率需要在一个统一的环境中达到一个合理的平衡点才能使得杀毒软件潜力发挥。

　　我们日常使用电脑的时候，有时一些非病毒的文件，却硬生生地被杀软误认为是病毒，而无法保存在电脑中。例如，在使用一些单机游戏修改器的时候，如果杀软没有处于免打扰模式，那么可能您过一会就能发现，这个软件消失得无影无踪了。

    当然，以上所举的例子只是说杀软可能出现的误杀问题。想必经常玩游戏的发烧友可能会深有体会，因为很多游戏的修改器或者插件工具都会被杀软误认为是带有不良行径的恶意程序，但是这些程序未必真的是恶意程序，或者说带有威胁行为。

卡巴斯基安全部队2013所检测到的威胁程序

    测试过程：类似于主动误杀率的方法，不过本次测试除了收集与“主动扫描误杀率”测试时同种类型的测试包（测试包重新收集），所使用的方法是将被动防毒的测试方法融入进来。因此，本部分的测试可以说是“被动防御测试”与“主动扫描误杀率”的测试方式相结合。

    从测试的结果来看的话，与主动误杀率相比较，被动扫描的误报率明显要低一点点。现在绝大部分的杀毒软件都采用了云病毒数据库模式，将本地的病毒库云端库联系到了一起，在联网状态实现实时的联网病毒库更新等。而这里面，根据产品的不同，彼此之间的被动误报率所存在的变化，也就恰恰说明了，不同的云病毒数据库之间的差异性，而这里面表现得比较好的就是腾讯电脑管家的管家云系统。

　　大家都比较清楚的是，杀毒软件或多或少对一些硬件配置较低的电脑产生了影响。那么，这些影响究竟是哪些方面？这个问题其实是值得去探讨的。在本项测试中，我们来找出各款杀毒软件对电脑本地硬盘影响的强弱情况。

    测试方法：验证当各杀毒软件在运行扫描时，计算机硬盘的读取速度表现。通过专门的软件CrystalDiskMark来逐个对参测的12款产品进行测试。

    测试原理分析：其实这种读写速度的快慢不但会影响到用户扫描运作，同时也影响了杀软进行的其他操作。因为杀软在查杀病毒时，会对硬盘资源进行不同程度的占用，所以影响着电脑的读、写速度。而电脑再去进行其他操作，就会变得非常的慢，这正是其中一个非常关键点所在。

Windows系统空载状态下的读写速度

金山毒霸2013扫描状态下读写速度

　　CrystalDiskMark：是一个测试电脑硬盘检测工具，体积小，用户界面直观简单，易于操作的界面让你随时可以测试你的存储设备，测试存储设备大小和测试数字都可以选择，还可测试可读和可写的速度。CrystalDiskMark能够检测硬盘的随机读取/写入速度，连续读取/写入速度;测试随机512KB，2KB，4KB读取/写入速度(队列深度=32)等，以此来辨别磁盘的性能及质量的优劣程度。

    为了能让各参测软件的最终测试结果更为明显，易于比较。我们求取读写速度平均值的方法来获得一个最终的结果。如上面列表所示，ESET NOD32最终的平均值结果是87.85MB/s，这个结果是所有参测软件中的最大值，而测试最小值为48.35MB/s，大小差距还是比较明显的。

    由于各款杀毒软件对病毒分析的过程方式不一样，因此不同的杀软在对病毒查杀上的速度也并不一致。另外，高的防御和查杀能力并不代表杀软本身对病毒的扫描、查杀速度就一定快。两者间没有必然的因果关系。所以，我们如果想去弄清楚本横评中参测杀软在病毒查杀速度上的异同，只能通过测试来探究。

百度杀毒查杀完毕后 各项测试参数统计

AVG 2013测试结果记录

    测试说明：我们在联网云查杀和无网本地查杀中所使用到的病毒包，前文中也已作说明，分为若干个备用。我们同样采用这样的病毒样本包来进行测试，因为只有在真正带有病毒威胁的样本包中进行速度测试，才是得到一个比较实际的效果。另外，在规定相同的测试环境中，完成整个查杀过程所需要的时间越少，说明参测杀软的扫描速度越快，扫描效率越高。

    测试小结：在查杀速度测试的结果统计表中，我们所看到的扫描对象似乎与所选用的病毒样本包的病毒文件数量并不一致(大于病毒文件数量)。其实这是由各参测产品对病毒文件分析的模式所决定的。也就是说同一个病毒，在不同杀软之间的分析方式可能并不相同，也有可能一个病毒文件中，存在着多个威胁程序。因此扫描对象数都出现了比样本包文件数多的情况。

    最后测试的结果中，金山毒霸2013以41秒的最快速度，在本身测试中胜出。从扫描的对象数量情况来看，金山毒霸2013反而不是最少的，但在扫描消耗时间上却是最少的，因此相比而言国产软件金山毒霸在病毒扫描上效率要更为突出一些。

　　当今的电脑硬件更新换代已经进入全新的年代，诸位所使用的计算机，设想一下跟三年前的配置相比较看看，你肯定会有所感触的。电脑硬件配置进一步提升，这其实并不意味着，普通用户就完全愿意去花费这些硬件成本去运行具有更高需求的软件应用。当用户的系统变缓慢的时候，很多人都会认为是安装在计算机中的软件所导致的。杀软作为计算机系统内最重要的应用之一，对系统资源是有一定需求的。这些需求也是我们所不得不考虑的方面。

瑞星杀毒软件扫描时对系统资源的占用情况

腾讯电脑管家对电脑资源的占用

金山毒霸2013

ESET NOD32

    以上，是参测的12款产品的其中四款，在测试过程中对系统资源占用的表现。

    杀软被安装到系统当中，占用来系统资源这个毋庸置疑。但杀毒软件本身对系统的占用情况根据状态而定，不同的状态下占用高和低是截然不同的。这就涉及到杀软的静默状态和动态防御两种情况下具体来分析。本部分将内存占用的检查，明确地细分为动态和静态两种模式下来进行，以最终检测出杀软在不同的状态下的详细表现。

    小结：根据前面指出的，考虑到杀软对系统资源的占用是呈现动、静态两种模式的，因此我们将测试的过程分为四个方面进行，统计内存、CPU在动、静态两种情况下的测试表现，最终四个测试小项的总分就是对应产品的占用总得分。

    最终测试，我们并没有得到能达到满分的产品，MSE以9.8的得分在测试产品中占据了第一。其实对于这个测试结果，也是在意料之中的，MSE与Windows之间的关系，决定了它在测试过程中的天时地利条件。

■横评总结

    经过前文7个大类、11个详细测试项目的测试，我们已经收集到足够的测试数据。我们在最后部分需要做的，就是来总结一下本文所有测试项目的测试数据，最终就可以统计出参测12款杀软的得分总排行情况。根据前文所做的测试计算出最终得分情况如下：

    测试结果分析：根据得分分布分析，从得分总体来看，所有产品最终得分都在80分以上。其中超过90分的有两款，分别是诺顿和卡巴斯基。其余10款均集中在82到89分范围内；从产品角度上分析，入围前三名的杀软产品中居一、二位置上的诺顿、卡巴都是付费杀软，而MSE则是免费杀毒软件，且它的特殊性质，使它在Windows 8中如鱼得水，优越的兼容性能，轻重量级的体积等等。

    ■星级产品

    诺顿网络安全特警2013：

    卡巴斯基安全部队2013：

    MSE（Windows Defender）：

    付费杀软继续领跑行业。本文测试的最终结果，卡巴斯基和诺顿分获一、二名。可见作为专业级别的付费杀软，依旧维持着其在行业中的位置，继续领跑着行业向前发展。

    随着微软Windows操作系统的不断更新换代，功能越来越被强化，系统越来越安全，特别是在Windows 7之后的操作系统中，系统内部就植入了微软自家的安全产品如Windows Defender，而MSE则是由微软开发，独立出来的第三方安全产品。到了现在的Windows 8时代，Windows Defender与MSE几乎融合为一体，而被直接地植入到了系统中。那么大家可想而知，这样一款产品无需再行下载、安装，良好的兼容性，在优越的平台作为支持的情况下，敏锐的防查杀能力，可谓是一款值得用户尝试的产品。

杀毒软件被安装到我们的电脑中之后，大部分时间存在感都很低，因为它们都是在后台默默地保护着我们的电脑安全。通常情况下，我们建议大家至少要安装一款杀毒软件，以免在上网过程中遇到不必要的麻烦。

刘菲菲