本帖最后由 星空下的吻 于 2011-9-9 16:25 编辑
360杀毒3岁生日刚刚过去,新一代360杀毒3.0版本也和大家见面了。3岁,3.0,近3亿用户,看似巧合的数字背后,是360杀毒产品根据网络安全形势变化的不断升级,也是信任360杀毒用户的不断增长。
从2.0到3.0,360杀毒的主动防御体系有了本质的变化,360安全中心首创的“Pro3D全面防御体系”被引入360杀毒,全面防御病毒入侵电脑;3.0版本内含360新一代云查杀技术,可在1秒内云鉴定最新病毒;程序安装和运行更是变得极为轻巧,安装包仅有10M,运行时对系统性能的影响微不足道;360独有的多引擎技术已经进化为“刀片式智能5引擎”,带来更强劲凌厉的查杀能力。
以下为您介绍360杀毒3.0的最新功能:
Pro3D全面防御体系
根据360安全中心对网络恶意软件及网络犯罪趋势的分析,360杀毒首创了包含入侵防御、隔离防御、系统防御的 Pro3D 全面防御体系。Pro3D全面防御体系以内核级智能主动防御技术及虚拟隔离防御技术为核心,是电脑真实系统防御与虚拟化沙箱的完美结合:入侵防御让病毒无法进入电脑,系统防御实时拦截程序有害行为,隔离防御可放心使用带毒播放器、电子书、算号器等风险程序。
测试环境: 测试人员:卡饭 星空下的吻 如果需要转载,请表明作者和出处,谢谢合作!
360杀毒主界面
个人认为360杀毒的界面中规中矩,并没有很华丽的UI表现,但是层次还是比较分明,也支持换肤等个性化定制手段,用户体验良好.
实时防护界面详细呈现出6+2+4=12层防御的所有内容,开关设计简明干练,局域网防护一般情况下默认关闭,需要手动开启,重启才能生效,防护报告简明扼要,这样的界面设计使得日常使用高效快捷.
入侵防御 上网安全防护
针对挂马网站
360网盾实时监测网页中所隐含的威胁脚本,及时拦截网页中可能带来的隐患.
针对欺诈网站
360网盾依托360云安全中心庞大的网址数据库,对层出不穷的新型钓鱼网站及时收录,及时拦截保护网民财产安全.
下载安全防护
依托360云安全中心的黑名单机制,360网盾将下载的文件通过云安全中心检测,及时拦截各种威胁.
聊天安全防护
U盘安全防护
隔离防御 隔离看片 支持最新的快播5.0 Beta,兼容性甚佳 相比金山的安全沙箱,360隔离沙箱在兼容性和强度上更胜一筹,有人认为金山的沙箱有日志记录,方便查询未知程序的行为,而笔者则认为360的理念一向是将高端的技术转化为易用的产品,而360沙箱的设计恰好符合这个理念,简单易用,不拖泥带水,最大限度地保证了沙箱的兼容性和抵御未知威胁的能力.
播放旧版的快播时偶尔会出现异常退出,希望对沙箱运行的程序进一步增强兼容性,力求与真实环境运行正常程序无异.
亮点功能:可以记住自动使用沙箱运行的程序
隔离运行风险程序 断网情况下的有一道屏障 缺陷:尚未做到未知程序全部入沙
隔离沙箱的对比测试 1.结束真实系统中的计算器进程
金山和360都做的不错 2.沙箱中安装软件,不能影响真实系统
仍然不分伯仲 3.沙箱中卸载软件,不能影响真实系统
差距在这一方面体现出来了,相比而言360沙箱的兼容性更胜一筹!
系统防御 360安全卫士的云主防概念已经深入人心,360杀毒也同样运用了360安全卫士的该项技术. 本次测试采用了权威实验室matousec的主动防御的测试程序,其中一部分是防火墙的测试程序,忽略不计 因为部分程序已经入库,故贴出一部分的截图来显示360杀毒的主动防御效果,以飨读者.
另外笔者还选取了部分修改过MD5的流行样本进行测试,截图如下:
测试结果显示了360杀毒在主动防御上的强度非常大,几乎没有任何安全死角,各种”旁门左道”的攻击方式仍然无法逃过360强大的系统防御.在加上官方修复漏洞的速度极快,称360云主防为国内主动防御的领先者一点都不为过.当然Pro3D还缺少防火墙核心模块才能组成真正最为强悍的Pro4D,作为最后一道防线,之前360网络防火墙曾经让人眼前一亮,但是之后的搁浅让不少人惋惜,希望360技术团队可以攻克技术难关,早日作出成型的网络防火墙,构筑更加坚实的防御体系!
自我保护测试 测试的对象仍未金山毒霸2012和360杀毒,二者均在断网情况下测试. 测试的工具是相对比较老旧的Advanced Process Termination 4.2,但是它所自带的攻击方式算是比较主流的,测试效果比较可靠. 还有一项是在软件目录任意删除文件和创建文件夹的测试. 这些测试都没有针对性的测试,因为这是真实环境下出现的主流威胁形式,针对性攻击测试不符合客观测试的标准.
360能够阻止所有的攻击方式,但是在驱动拦截上做的不够完美,不关闭APT的情况下频频弹出错误提示.希望可以改进!
金山毒霸2012的表现同样抢眼,能够完美拦截所有攻击方式. 面对主流的攻击方式,金山毒霸和360都表现得比较完美,断网情况下仍然可以防御成功.
对于基础的目录防御,360和金山毒霸都做得比较完美,没有什么可以挑剔的. 极速云鉴定技术
360安全中心已建成全球最大的云安全网络,服务近4亿用户,更依托深厚的搜索引擎技术积累,以精湛的海量数据处理技术及大规模并发处理技术,实现用户文件云鉴定1秒级响应。采用独有的文件指纹提取技术,甚至无需用户上传文件,就可在不到1秒的时间获知文件的安全属性,实时查杀最新病毒。
免杀测试 使用金山毒霸2012 Beta2和360杀毒进行比对 原始样本二者均可以查杀,然后就是用各种常见的工具免杀手段来测试它们抗免杀的能力 其中金山毒霸联网,360杀毒断网使用QVM测试; 所有的免杀样本都详细测试过,保证可以正常运行
免杀QVM作者的无奈
QVM的表现
仅仅漏掉了PESpin一款加密壳,抗免杀能力不可谓不强 测试过程中发现,在免杀过程中部分加花加区段的病毒已经损坏,无法正常运行了,但是QVM仍能查杀,说明在检验PE可运行方面还存在缺陷,希望日后可以改进!
金山抗免杀 联网情况下微特征仍然无法对抗多种多样的免杀方式
使用云鉴定来测试免杀样本
全部鉴定完毕大概花了7-8分钟,测试结果是成功检测所有剩余的免杀方式,但是相对360的极速鉴定,上传服务端的检测免杀方式从技术层面上就输了一截,而且将造成防御的真空期.
流行样本测试 笔者自行收集的流行木马样本,笔者亲自测试有效性保证95%上的样本均为活样本. 只测试360杀毒的云引擎,意在测试360云安全中心对流行木马的收集反馈速度 对比金山毒霸云引擎
流行样本
360杀毒
扫描过程中无法解开双重压缩的网购木马,查杀率 143/150=95.3% 测试成绩令人满意
金山毒霸2012
扫描过程中同样无法解开双重压缩的网购木马,查杀率 143/150=95.3% 测试成绩令人满意
可以看见二者在云响应上都下足了功夫,不愧是国内两个一流的云安全厂商,这点是毋庸置疑
断网的防御测试 很多人说断网是比较少见的情况,但事实上断网存在于任何时刻,对于网络的不稳定,我想很多人有深刻体会,即便这种情况不是常态,但是对于断网的防御是不允许马虎的.鉴于断网情况下,来自互联网的威胁已经不存在,主要是来自其他媒介,最主要就是U盘病毒. 所以这次测试选择了时间跨度比较的流行U盘病毒样本测试本地的防御能力,测试还是比较具有说服力. 测试样本:精选46个样本,全部亲自测试,有效感染率高达95%以上. 测试对象:360杀毒QVM引擎和金山毒霸2012 均为断网测试
U盘病毒样本
金山毒霸的测试情况可见与官方宣传的本地有U盘病毒高启发不同,断网后的毒霸威力大减,只扫描出了5个威胁,表现实在不让人满意,即便开启U盘全面查杀,仍然没有丝毫增强.
360杀毒的测试情况 在仅仅开启QVM情况下,就查杀出50个威胁,QVM不是神器是什么?
可见单单人工智能引擎QVM就可以很好的保护断网情况下的电脑安全.
断网测试流行病毒 这个测试算是附加的,因为断网情况下遭遇这些威胁可能性较少,权且当作360杀毒多引擎的一个展示. 360杀毒刀片式引擎包括主动防御引擎,云安全引擎,QVM引擎,红伞引擎,BD引擎.后两者可以在安装以后主动下载,很好的减少了安装包大小,而且又可以自己个性化选择.当然对于很多人或许希望两者一起用. 所以还是建议之后的版本能够五引擎全部开启
单开QVM
检测率 93/150=62% 表现中规中矩,考虑到QVM是基于人工智能学习的算法引擎,没有病毒库,成绩算是相当不错. QVM+红伞 126/150=84% 测试结果有较大提升,本地的红伞引起发挥了功效. QVM+BD
121/150=80.67%,和红伞引擎一样,搭配BD同样使得断网查杀率大大上升 QVM+红伞+BD 128/150=85.3% 可见断网多引擎这个方向是没有错的,测试说明BD+红伞可以很好弥补QVM防御本地威胁的不足. 既然QVM具有如此强大的查杀能力,会不会同时伴有高误报呢?误报测试还是有一定意义的. 笔者选取了Windows XP X86下的记事本程序经过加壳等处理,测试QVM 正常程序不大可能使用加花处理,但是却很有可能进行加壳处理避免被反编译,所以加花不在测试范围内. 所有样本均可以正常运行.测试与金山毒霸2012对比
看看QVM表示仍然不负众望,依靠强大的学习引擎,仅仅将nspack这款比较冷门的壳列为危险对象,完全可以理解.
事实证明,金山毒霸在对抗加壳程序中存在着比较严重的误报,撇去fsg和nspack,金山毒霸仍然误报了多数的常见壳,即便是上传云鉴定也无济于事.这恰恰说明了金山毒霸在误报这一方面存在着缺陷. 但是我们必须同时注意到如果开启本地引擎的话,360杀毒的误报同样很严重 红伞
BD
可见在误报和查杀率中想要寻找一个平衡点,还是很有难度的.从病毒名称来看,有一部分是直接报壳,但是也有一部分是真正意义上的误报,比如"FakeAlert". 对比发现,QVM引擎作为新一代的自学习引擎,优势还是非常明显的! 轻量安装,轻巧运行
3.0版本的安装包仅有10M,下载、安装几乎只是一眨眼功夫,你甚至会怀疑自己产生了错觉。运行起来更是非常轻巧,无论在防护还是扫描时,对系统性能的影响都几乎难以察觉。现在,即便老爷机上运行360杀毒也毫无压力。
静态运行360杀毒没有明显迟钝,动态扫描的时候,偶尔出现迟滞感,但是不影响使用,相比当今PC动辄4G的内存,这一点占用确实可以忽略不计相比之下金山毒霸在静态占用下凭借进程数目少的优势略微胜出而动态占用毒霸在CPU使用上略高于360杀毒,扫描过程运行其他程序同样也没有明显迟滞感综上所述:360杀毒和金山毒霸2012在控制资源方面都很出色,难分伯仲. 新增“网购保镖”,保护网购网银安全
3.0版本新增了“网购保镖”功能,为您的网络购物、网络支付、网银交易提供安全保护。360“网购保镖”在您进行网购、网上支付、网银交易时会提高安全防护级别,防止支付网页被篡改,并可自动帮您下载安装网银安全控件。“网购保镖”还为您提供了常用购物、网银网站列表,您可从这里直接进入安全放心的网站。
360杀毒3.0最新加入了支付网页防篡改技术,可以有效的抵御网购木马在支付过程中篡改支付页面的恶意行为,并且启用只允许白名单内程序运行的严格规则,彻底杜绝层出不穷的网购木马的威胁. 图中右边栏目给出了安全的购物导航,个人认为这意在使网民有更好的网购入口,与其拦截如雨后春笋般涌现的钓鱼网站,倒不如引导网民使用安全的入口进行网购,彻底杜绝网购受骗的局面.
新增“病毒免疫”,防止系统敏感区域被病毒利用
360安全中心跟踪分析病毒入侵系统的链路,锁定病毒最常利用的目录、文件、注册表位置,阻止病毒利用,免疫流行病毒。目前已经可实现对动态链接库劫持的免疫,以及对流行木马的免疫。免疫点还会根据流行病毒的发展变化而及时增加。
先看一下发挥作用的dll文件有哪些? 可以看出dll并不大,配合dat文件起到免疫作用
再详细看看每个文件的具体内容
这里清楚地看见暂时只能防御图中显示的dll劫持,不过细心的会发现这些几乎就是dll劫持的主要样本,360杀毒加上这个方面的防御可以说是大大加强了对dll劫持的防御,大幅度削弱了dll劫持的危害.
流行木马的防疫相对来说就薄弱许多,图中显示的病毒名称应为名噪一时的"AV终结者",360杀毒仅对该木马进行防御,可见还不够完善,希望今后的版本慢慢更新!
最后自然是CAD病毒的免疫,对多处受感染集中的文件区域进行针对性防御,效果应该比较显著! 综上所述,360病毒免疫模块并不是多数人之前认为的噱头,而是确有实际的内容,当然希望360杀毒官方能够重视该模块,同步更新,毕竟360产品的理念就是防御大于查杀!
360杀毒还自带了可实时更新的360系统急救箱,包括系统设置修复,网络修复,系统文件修复,MBR修复等实用的深度修复工具,配合非黑即白的严格规则,对遭到恶意软件感染的系统有极好的修复能力.
360杀毒设置中的细节也很好的体现了设计者的用心
还有一点不得不提的是,360杀毒只有配合360安全卫士使用才能发挥最大的功效,特别是360杀毒主动防御模块的更新不及360安全卫士来的快,这样就可以保证360产品在你的电脑中发挥最大的功效.
总而言之,本次360杀毒的深度评测从各个方面对360杀毒进行了一次测试,测试结果笔者认为已经是非常客观了,测试最忌讳的就是有立场偏离,笔者保证是站在中立方来对360杀毒进行测试,如果大家有什么异议,完全可以直接留言告知,笔者自然会第一时间接受好建议并更正,再次感谢大家的捧场!!
| 
[复制链接]
发表于 2011-8-18 10:15:15
楼主
