查看: 14941|回复: 54
收起左侧

[转帖] 小红伞 VS NOD32--新手评杀软之针尖对麦芒

[复制链接]
whl2012
头像被屏蔽
发表于 2007-11-27 12:52:34 | 显示全部楼层 |阅读模式
2007年10月02日 星期二 00:12
小红伞与NOD32是近期比较热门的两款杀毒软件,它们都拥有启发式杀毒引擎,而且都号称拥有“占用内存及CPU资源少,扫描快,能查杀未知病毒”的优点,下面笔者就这两款不同的杀软测试一下。
此次测试包括“网页监控测试,右键扫描病毒样本测试,加壳木马测试”等等。
首先介 绍一下小红伞,它是德国Avira的安全产品,分免费版、旗舰版、工作站套装版。免费版深 受伞迷的欢迎, 不过此次笔者用的是旗舰版V7.03.01.48进行测试。自己研制的启发式杀毒引擎。


下面我们来看一下小红伞占用的内存:



可以看出小红伞有5个进程,总共占用15.12MB内存。它占用内存极小,丝毫不会卡。不过,杀软毕竟要看杀毒能力。于是笔者就下载了一个7000多个病毒的测试包,专门用小红伞的手动扫描来测试,看能查出几个。结果令人出乎意料,乖乖,竟扫出3789个!这是我见过的扫描出病毒最多的。



这不得不令我佩服,竟然比诺顿、卡巴斯基、BitDenfender还要多,不过扫描时间花的多了一点,16分钟,不免令人遗憾。
我接着下载了灰鸽子病毒样本,才刚下载完解压缩时小红伞文件实时监控就报警了:



因为小红伞默认对压缩包不进行前摄性操作,所以只有在解压缩时才会报警。小红伞的文件监控启发式杀毒引擎可自由设置为高、中、低三种模式,方法是依次是点击“Guard—Configuration”,在打开的页面选择Expert mode ,展开“Guard—scan—Heuristic’’,最后勾选“Win32 file heuristic”,并点击第二个选项即可设置为中等监控。另外还可以对手动扫描设置启发式的等级,这与设置文件监控相似,不再累赘。
小红伞有文件监控、邮件监控、反间谍软件、扫描进程、嵌入式Office组件防护、主动升级等功能,是一款十分不错的安全产品,它勾起了我的使用兴趣。接着打算测试一下小红伞的全面扫描的速度,看是否如其他网友所说的那么快。执行“Scanner---Local Hard Disk”对电脑进行全面扫描:




仅仅花了21分26秒,小红伞就扫描了67714个文件,在扫描到病毒后弹出可操作窗口,依次可执行“修复”、“移动到隔离区”、“删除”、“重写并删除”、“重命名”、“拒绝访问”、“忽略”等操作。功能丰富,非常具有人性化。
  
近期,笔者注意到网页木马非常猖狂,令人防不胜防。因此,本人觉得网页监控能力的强弱也是衡量杀软好与坏的一个标准。于是就抱着试一下的心理随手点击了一个很多广告电影注册网站,没想到马上就中招了:




小红伞报警发现木马。从这可以看出小红伞60多万病毒库可不是开玩笑的,网页监控的敏锐度令人十分满意。
最后,我们再来看一下小红伞对加壳木马 的查杀能力。常用的加壳工具 可分为两大类,一类是压缩加壳工具,如UPX、Aspack等;另一类是加密加壳工具,如ASProtect。现在我们就选Aspack、ASProtect来加壳木马。这里,先用ASPrrotetct来加壳前面小红伞能顺利查杀的灰鸽子木马,并在ASProtect的“Options”设置为“加密保护原文件的入口地址”:



小红伞的静态启发扫描出来了,不过只能隔离,不能删除。这说明加壳起作用了。再看一下用Aspack+ASpack加壳小红伞能否查杀。结果还是能扫描出来:
  


原病毒文件体积是773KB,加两层壳后变为822KB,但不管如何加壳,小红伞都能查得出来,这证明了小红伞的启发式引擎对木马的脱壳能力十分强大。
      



接下来看一下NOD32,NOD32是Eset的安全产品,源自捷克斯洛伐克。总公司现在在美国。它的中文意思是“磁盘边的医院”,不过,我觉得叫它“绿色贝雷帽”更贴切。
   
说起它,真是大名鼎鼎。曾经通过42次VB100%测试,成为微软试验室的御用四年的杀软,与Windows有着很好的兼容性。产品线很长,有2.5单机版、管理员版,2.7单机版、管理员版,3.0安全套装测试版。虽然有了ESS3.0版,但因为是测试版,不稳定,所以下面着重测试NOD32 2.70.32繁体中文正式版。它独有ThreatSense启发式杀毒引擎,采用动态+静态启发式杀毒,比只有静态启发杀毒小红伞要强大不少。



不废话了,来检验一下它的威力吧!接着用前面测试的7000病毒包。执行NOD32手动扫描:


仅仅花了33秒,就轻松扫描出其中的3460个。哇噻,官网上说40000多KB/S的扫描速度真就不是吹的 。扫描病毒包的时间与全球排名第一的BitDefender差不多。就扫描速度来说,小红伞绝对不及NOD32。不过,NOD32扫描出的病毒要少于小红伞扫描出的病毒。这可能与NOD32的病毒库小有关。
不过,这也不能说明什么,因为糯米们都知道,NOD32在周末升级病毒库的同时,会删除一些古董级的病毒。这就是为什么NOD32 在很多病毒样本测试中成绩不理想的原因。不过靠着ThreatSense启发式杀毒引擎还是牢牢稳住世界第五的位置。对于ThreatSense的工作原理,官网是这样说的:当NOD32在检测一个可疑文件时,会先利用传统的病毒库扫描技术以及新一代的”病毒共性特征库”技术来快速侦测已知的病毒家族和他们的可能变种,从而有效查杀已知病毒及它的变种。而当已知病毒库中没有与可疑文件相对应的病毒特征时,ThreatSense引擎就会使用最先进的高级智能侦测技术来对其进行检测,该功能可以在一个安全的环境中对可疑文件进行前摄性操作,预先分析和辨别可疑文件在执行后的动作和执行代码中是否包含病毒特征和病毒行为,这种方法就可以使可疑文件立即现出原形,从而辨别出它是否是病毒文件 。
现在,你知道为什么NOD32能占据世界第五的位置了吧!
对于NOD32占用的内存,我想各位糯米们都应该很清楚,NOD32总共有两个进程,一个是nodkui,就是NOD32的主程序进程,占用1.35MB内存,另一个是nodkrn,这个是NOD32的实时监控进程,占用21.9MB 内存。因此总共占用23.25MB内存,比小红伞的稍高。



最近的灰鸽子有点令其它杀软吃不消,NOD32是不是也对灰鸽子感冒呢?灰鸽子算是国产病毒中比较有水准的,看一下在NOD32的面前是否会软脚。在前一轮的灰鸽子测试中,小红伞表现出色。NOD32的AMON(文件实时监控)表现也令人满意:



因为ThreatSense让NOD32变得犀利,所以我们一定要打开实时监控以及启发式引擎。具体打开方法如下:打开NOD32控制中心,展开NOD32系统工具,依次点击NOD32系统设定—设定—ThreatSense.net,勾选“启动ThreatSense预警系统”即可。另外,还可设置可疑文件上传的方式。AMON的打开就不介绍了,因为连偶这个新手第一次使用时也会打开。美中不足的是NOD32的启发式杀毒引擎并不能像小红伞那样进行高中低的等级设置。略感安慰的是,在ESS3.0中有自由设置打开启发和高启发的功能。
NOD32拥有AMON、EMON、DMON、IMON四个独立模块,它们分别是“文件实时监控”、“电子邮件监控”、“MS Office文件嵌入式监控”、“网页监控”,ESS3.0版还自带病毒防火墙,反LJ邮件防火墙。功能十分强大,也十分完善。总体与小红伞平分秋色。
看一下NOD32的全盘扫描速度。执行“深入分析”,让NOD32全面扫描系统。这一过程大概花了24分56秒:



虽然全面扫描比小红伞稍慢,不过NOD32扫描了72147个文件,而小红伞只扫描了67714个文件。所以速度方面NOD32略胜。你知道,NOD32的快速扫描只要7分23秒(笔者电脑配置是赛扬1.8GHz,640MB DDR内存,40GBPATA硬盘),这一点小红伞就是开飞机也追不上的。
NOD32扫描出病毒会弹出可操作窗口,分别可进行“复制到隔离区”、“清除”、“删除” 、“重命名”以及“退出”等操作,这与小红伞差不多,简直是一个模子刻出来的。
到了NOD32最强的方面了—网页监控。这里我必须着说一下,NOD32对于网页监控方面的设置有“高效能”、“高兼容度”两种迥然不同的工作模式。设置为“高兼容度”时,NOD32侦测到网页木马时,会弹出窗口。这时即便是点击“停止下载”选项,对病毒也无济于事。因为在该模式下,NOD32默认的是让病毒下载到缓存文件夹再报警,这样不能有效阻止网页木马。这就是为什么有些网友反映NOD32的网页监控差的原因。而在“高效能”模式下,在弹出窗口前就会自动拒绝下载木马文件,此时无论操作与否都不会有木马被下载到缓存文件夹中。
不过,在高效能模式下打开网页会变慢,而且对某些浏览器存在些小兼容性问题。不管怎样,反正笔者设置在高效能模式下没出现过问题。而在网页监控这一点上,小红伞没有这么详细的设置,也没有那么人性化。
在高效能模式下打开刚才的那个挂马毒网页,NOD32二话不说就发现并阻止了木马的下载,笔者觉得IMON的警告窗口的红色煞是漂亮:




最后,看一下NOD32的脱壳能力,先检验一下ASProtect加壳的木马。可惜了,即便打开了启发式,NOD32还是对ASProtect加壳的灰鸽子无动于衷:




最后,测试结果出来了,以每项5分满分来计算:在手动扫描病毒包方面,小红伞得到4分,NOD32得到5分。在文件实时监控方面,NOD32、小红伞都以完美的表现赢得5分。对于全面扫描,NOD32以扫描的文件多于小红伞并且扫描时间与小红伞相差无几的绝对优势胜出,得到5分,小红伞得到4分。网页监控方面,NOD32以详细的设置,完备的功能超越小红伞,得到满分5分,小红伞也不错,网页监控也比较犀利,不过功能不够强大,因此得到3.5分。在ASProtect加壳测试方面,ESET NOD32不是很理想,只能得到3.5分,小红伞以其脱壳能力强大和超大病毒库完美胜出,得到5分。而在双层脱壳方面,小红伞还是以绝对优势胜出,5分;NOD32依然只能得3.5分。最后,在启发式引擎的比较,NOD32以扫描准确的动态+静态启发式引擎胜出,得到满分。小红伞的静态启发式引擎也不错,不过笔者在实际使用中觉得它的误报率稍高,甚至连360安全卫士也被误报为木马,所以能得到4分。
        最后NOD32以完美均衡的综合性能,得到总分32分而胜出;小红伞虽败犹荣,得到30.5分。
        所以事实证明,NOD32真的很强大,不过在对付国产灰鸽子最新变种时稍弱,希望能在以后的ESS3.0正式版中加强对灰鸽子的清除能力。而最近笔者发现NOD32对流氓软件的清除能力似乎不强,甚至连大名鼎鼎的Yayad广告、雅虎助手、百度搜霸也不能清除,只能扫描出来,关闭了系统还原功能也不能清除,也无法删除。这对NOD32的能力来说是一种削弱。小红伞就没出现过这种问题,基本上对灰鸽子、流氓软件一杀而光。因此小红伞也不是如网友说的“与NOD32不是一个等级的”,不过在使用中笔者发现它杀毒不如NOD32彻底以及启发式误报率稍高。



[ 本帖最后由 东海林将司 于 2007-11-27 23:25 编辑 ]
sunrqing
发表于 2007-11-27 13:02:30 | 显示全部楼层
个人感觉这个测试还是比较实际的。
winark
发表于 2007-11-27 13:18:58 | 显示全部楼层
如果把这个测试帖转到红伞区,看看结果怎么样
sylx521
发表于 2007-11-27 13:27:33 | 显示全部楼层
nod32不错,以前用的时候占内存才8M,最近更新启发后23M,不过配我的老爷机还行
testhawk
发表于 2007-11-27 13:30:18 | 显示全部楼层
仔细看的话红伞又用了独门的报壳大法,跟脱壳能力无关吧
billy_xx
发表于 2007-11-27 13:36:07 | 显示全部楼层
好像见过这篇文章的,实际测试并不怎么准确的。

就我用NOD32和小红伞来说,红伞更占虚拟内存,桌面完全加载的速度比NOD32要稍稍慢点。

其次是小红伞的全盘扫描默认是不扫描压缩包的,而NOD则是要扫描的,所花的时间当然比NOD少了。

关于那个7000的病毒包有很多都是老病毒了,从最近的新病毒驱势来看NOD的反应速度不如红伞快,处理上报很慢的,

自已用下来的感觉还是觉得小红伞要更安全点。至少NOD无法查杀recycled病毒害得我中了毒。
1985215
发表于 2007-11-27 13:49:26 | 显示全部楼层
都是很不错的杀软
fpwei
发表于 2007-11-27 13:52:20 | 显示全部楼层
只可惜的是小红伞是E文,而NOD32是中文~~~~
hisenko
发表于 2007-11-27 13:56:24 | 显示全部楼层
小红伞是不错的,ESET也不错,现在卡巴太卡了
笛儿多
发表于 2007-11-27 14:09:05 | 显示全部楼层
原帖由 fpwei 于 2007-11-27 13:52 发表
只可惜的是小红伞是E文,而NOD32是中文~~~~

也还好啦,红伞的英文算比较简单的,就记住那几个关键词就够了,其他别管
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:53 , Processed in 0.131283 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表