【360杀毒3.0评测】病毒无处藏身，解析360杀毒V3.0 Pro3D全面防御体系

leisong

      值此360安全产品5周年同时也是360杀毒3周年的之际，360杀毒升级到了V3.0，跨版本号必有重大更新，让我们看看V3.0版给大家带来了什么重大更新

一、轻巧的体积和资源占用

      Pro3D全面防御体系 、1秒云鉴定、刀片式五引擎，如此全面的功能尽在10M安装包，安装过程在几秒内完成，不过需要指出的是，在安装有360卫士时，360杀毒3.0版可以调用卫士的防御模块，毕竟大多数用户都装了360卫士，所以就节省资源方面来讲，这么做还是有道理的。没有安装卫士的用户需要下载防护模块才能生效。

     此次新版杀毒V3.0的本地引擎默认只安装了QVM，让自主研发的引擎担当主力，这充分显示了360对自有技术的信心，实际评测中，QVM即便一两个月不更新效果也好于天天更新的大牌杀软们，既然V3.0宣传轻巧快速，此次评测也以默认的引擎为主。V3.0运行时资源占用极小，静态资源占用和轻巧的猎豹2012一样，都是10M多，和动辄占用几十M的安软相比，可以说是在所有安软之中的资源占用都属于最轻巧之一




     扫描时，两者在我的一台单核老爷机上都能够流畅、快速不卡机，资源占用不相伯仲，由于360杀毒还带有本地引擎QVM，而金山基本抛弃了本地，所以相对而言，360杀毒还更胜一筹。因为这不是一款安软的核心功能，就不用浪费篇幅比较得太详细了，能够保证连在老爷机都能够轻快流畅，已经做到非常优秀了，更何况现在的主流配置都是双核及2G内存以上。

      轻快、流畅只是一款安软的体验，但如果一款安软大多数技术都用在轻、快、小等表面功夫上，而在病毒防杀功能上没什么给力的技术，那还不如裸奔更轻快。而一款安软的本质是对病毒的防、杀功能，而防、杀功能中最重要的是对未知威胁的实时对抗技术，因为只有实时对抗才是最贴近广大普通用户的使用环境，只有实时对抗才能在第一时间有效制止各种威胁的入侵或发作，才能最有效的保护用户的电脑，因为不是每个用户都有耐心等待未知程序上传后响应或鉴定的结果出来后再来操作的。那么我们来看下360杀毒V3.0带给大家什么样的技术更新。

二、Pro3D全面防御体系

由如下界面我们可以清晰的看到，Pro3D全面防御体系包含了6层入侵防御、2层隔离防御、4层系统防御。


1、入侵防御：

在电脑进入电脑的所有边界点设防，不让病毒木马有机会进入电脑，我们选取几个代表性的防御点：
（1）360网盾实时拦截挂马网站，不让网马通过浏览器入侵电脑



拦截钓鱼网站，避免用户财产被骗，这个360网盾明显做得比金山网盾要人性化一点，在拦截界面直接提供真正的官方网站，一步引导用户直达正确的官方网站



而金山却推荐自家的安全网址大全



（2）360网盾的下载保护，第一时间检测下载的文件是否是病毒，聊天安全保护与此类似，就是第一时间检测通过即时聊天工具传输的文件，防止病毒木马进入用户电脑


（3）U盘安全防护，第一时间拦截U盘等移动存储设备上的病毒



    需要注意的一点是，入侵防御已经融合了QVM1S云鉴定功能，将一个修改过MD5后只能通过云QVM查出来的样本触发下载保护时，360照样报毒，只是报毒弹框没显示云QVM而已。QVM实时云鉴定的速度和鉴定能力直接决定了该功能对入侵防御能力的提升程度，下面会具体解析


     此外还有黑客入侵防护和局域网防御，防御由黑客远程入侵和局域网ARP病毒带来的风险，由此，互联网威胁的所有入侵点全部被360杀毒V3.0新版的入侵防御功能封死，多数病毒木马无法进来。

     我们知道，传统的特征码引擎靠特征码入库后才能查找病毒已经越来越滞后于病毒的疯狂增长，如今也很少有安软只停留在过去的特征码扫描技术阶段，针对未知病毒的实时对抗技术在所有的安软防护体系中占据越来越重要及关键的作用，否则即便是一个已经入库的病毒免杀一下就又成为“未知”秒杀掉特征码引擎，纯特征码比对技术在免杀和新病毒面前已经不做大哥好多年。所以防御未知威胁的技术决定了一个安软整个防御体系的质量甚至成败，尤其是实时对抗技术。下面就重点解析一下360杀毒V3.0有怎样的防御未知威胁的实时对抗技术。

2、隔离防御

     但是，光能够阻止威胁的入侵，并不能满足如今网民的所有需求，有时候网民急于使用一些播放器、电子书、算号器等而顾不得带不带毒，甚至有人会关闭安全软件去运行这些被报毒的程序，那么现在隔离防御能够满足用户的这个需求，可以将这些风险程序隔离在沙箱内运行，如果有病毒的话，病毒会被隔离在沙箱内而不会影响到真实的系统且沙箱并不妨碍播放器、电子书、算号器的正常功能，既隔离了病毒又不影响用使用软件，一举两得。

     如图，注册机被自动隔离运行且不影响算号，播放器和电子书等也是同样的道理，隔离运行且不影响播放效果，被隔离的病毒困死在了沙箱内无法发作，随着沙箱的清空烟消云散，就像没发生过一样。





3、系统防御

     即360木马防火墙，全世界首创的云安全技术的主动防御，简称云主防，主要用来拦截在互联网上疯狂增长的未知病毒，由于360强大的技术力量以及单项拦截架构的正确再加上大牛们曾经不分昼夜的勤奋更新，如今的360云主防已成为智能主防新标杆


QVM1S云鉴定——已经融入了360系统防御，成为系统防御中很重要的不可分割的一部分

     除了沙箱的隔离防御外，360杀毒3.0的另一个重大技术创新就是QVM1S云鉴定，目前在网上流传的病毒一半以上都是旧病毒免杀各杀软引擎后成了各杀软认不出的“新”病毒，但是这个在人工智能引擎的QVM面前再也不是新病毒，云端的QVM1S云鉴定可以实时鉴定出多数病毒的变形、免杀以及那些最新制造的各杀软都未来得及入库的新病毒。


     先看下金山的鉴定器
     10号样本包，金山在响应完毕后查杀本来只剩余2个，结果修改下MD5后，竟有几个突破了金山的微特征以及鉴定器，鉴定为安全，从而诱导用户“放心"使用导致病毒轻易绕过金山的整个防御线。


同一批样本在之前的测试中还会鉴定失败



     下面看下360云QVM实时鉴定的精彩表现，8个样本实时鉴定出7个，基本在样本区，已经很少找到能过云QVM的病毒了。扫描进度条一划而过，不了解的人还以为是本地或普通的云扫描。



     微特征作为HASH值比对的进化版，自然没有什么抗免杀能力，而QVM的源于特殊人工智能技术，可以用机器模型提取几千个特征点，这是人工提取特征永远无法达到的水平，常规的免杀方法通常对QVM无效，另各免杀论坛的小黑们头疼。而常规的特征引擎早就被庞大的免杀及新病毒远远甩在身后且距离越拉越远，所以借助人工智能技术的引擎提取难以免杀的数千特征点对抗爆发式增长的免杀及新型威胁必是大势所趋，这是360在整个安软界除了云主防外树立的另一个标杆。

金山的鉴定流程分为3步
第一步：查询文件特征-------这一步还未走完或刚刚走完，360的QVM1S云鉴定定结果就已经出来了(这个下面会详细解析），且是双击实时拦截的，这一点很重要，因为这种拦截最贴近用户的实际使用环境，不是每次用户都有那么大的耐心等待鉴定流程跑完，更何况还有转人工和鉴定失败或黑判白的时候


第二步：上传文件


第三步：99S鉴定过程，多数能够准确的鉴定出病毒，确实大大提高了金山的新病毒入库能力，但有时会鉴定失败或黑判白，少部分无法判断的必须得转人工（这个360也是一样的）



这个就是金山云鉴定器黑判白的典型例子，http://bbs.kafan.cn/thread-1050771-1-1.html



主动鉴定还是白


     测试金山K+，全部放行，没有一个弹框，看来K+毕竟处于起步阶段，当然360主防的起步阶段也是同样有很多拦不住的，中毒情况如下，病毒检测项目金山也不如360全面


     为了进一步明晰360的Pro3D全面防御体系以及实时拦截的防御效率，修改下该样本的MD5，假设该样本没入库的情况下360会怎么防御呢？双击，被QVM1S云鉴定即时拦截，多数样本的QVM实时云鉴定时间都少于1S，甚至少于0.5S，一般双击就弹框拦截，普通用户很少会知道已经经过了云端的鉴定流程，还以为是已经入库的病毒。


      实测中，QVM的实时鉴定率平均能够保持在90%以上，详见本人的测试帖http://bbs.kafan.cn/thread-1042672-1-1.html ，由于卡饭样本总是带一些灰样本，实际上网上的流行病毒QVM的实时鉴定率更高，但是总会有少部分病毒签定不到，为了再进一步明晰360的防御未知威胁的实力，关闭自保护后删除360QVM.DLL这个模块文件（这个是360实时云鉴定中云地合一的关键文件），以假设用户遇到了连云QVM都鉴定不到的那百分之几的病毒的情况下360的实时防御能力

双击后，360云主防发威





      关于云主防的测试，本人已经坚持测试了一年多，亲身经历了360主防由弱到强的历程，也见识了360工作人员对工作的敬业和对产品的精益求精，是如何不分昼夜的更新着产品，如今云主防也更新到了2.0，这是本人最近的纯主防测试帖http://bbs.kafan.cn/thread-1044576-1-1.html ，经过长期测试，360云主防对未知威胁的即时拦截能力已毋庸置疑，成为整个360防护体系中最为强悍的一层，即便是近期讨论的那种以分割再合并的手段过云QVM的手段，云主防照样拦截，因为代码再怎么修改免杀再怎么成功，恶意动作仍是万变不离其宗，所以主防才是拦截未知威胁的最有效手段，也是主防相对于特征码的先天优势所在。

      由于任何病毒鉴定手段都无法做到100%鉴定病毒，不管是1S内即时云鉴定的，还是上传后由云端若干鉴定器鉴定的，在鉴定率达到90%以上时，越接近100%提升鉴定率就越难，往往鉴定率每上升1个百分点，误报率也会相应的上升，这个无论360和金山都无法避免，因此绝不应该要求鉴定器能够100%的自动鉴定出黑白，事实上任何自动鉴定方法永远都无法做到。相对于白判黑，黑判白无疑对用户造成更大的困扰和危险，实际上，金山也明白这个道理，实测中发现，相对于猎豹2012BETA1对黑判白样本的直接放行， BETA2的K+已经可以拦截黑判白样本的部分动作了，如下图这个误判白的样本被金山K+拦截，这个进步值得肯定



下面这个样本的动作金山的K+时拦时不拦，不知是金山主防BUG还是冲突导致


     这虽是金山防御体系一个不小的进步，但用户仍然会陷于判白的怎么还拦截的困扰之中，往往会因为“被安全”而放行K+的拦截，也希望金山能够再改进下整体防御逻辑，发展出真正的能够互相弥补和加强的立体防御。而360的3D立体防御，则是将QVM无法判断的未知程序交给3D立体防御中最强悍的一层——云主防，即使达到如此高的鉴定率也完全没必要将剩下的百分之几自动判白而对用户造成不必要的困扰。360和金山对未知威胁的鉴定能力无疑走在全世界的前列，但相比金山的鉴定流程，360的即时鉴定无疑更胜一筹。即时拦截未知威胁——不管是QVM1S实时云鉴定还是云主防实时拦截，才是最贴近普通用户使用环境最有效的防御方式。


三、刀片式智能5引擎架构。

     “刀片式”在服务器上是支持热插拔的意思，360杀毒以此来形容其5引擎，说明这些引擎可以随意开关和组合，老爷机选用360杀毒3.0默认安装的QVM即可，轻巧流畅不输于任何一个以轻巧著称的安软。
在主界面上的右下角部位，我们清楚的看到5引擎的开启和关闭的情况，并可以直达引擎设置部分，相对于杀毒2.0需要点击“设置”，再点击“多引擎设置”才能设置来说，直观和方便了许多，唯一的不足是没有设置的部分是不是可以设置成灰色，如常规引擎未开，就将红伞和BD引擎图标设为灰色，选择了其中的一个引擎就将那个引擎图标设置为亮色，这样是不是更加一目了然，当然在“产品升级”一栏也可以直接看到引擎，这也是相对于杀毒2.0的一个体验上的小进步。



     由360完全自主技术构成的3D立体防御体系已经让病毒无处藏身，再加上在国际权威测试中总是名列前茅的国外著名引擎小红伞和BD更是锦上添花，更加强大。

四、加强的额外保护——网购保镖和病毒免疫


    进入网银或网购页面，网购保镖会自动启动，提示用户关闭一切未知的可疑程序以确保网购的干净环境，更有强大的支付网页防篡改功能可以有效防止目前流行的网购木马篡改支付页面的动作。不足之处是，至今都不支持360CHROME，希望能够支持更多的浏览器满足更多的用户需求。




    病毒免疫，是针对病毒常用的DLL劫持手段以及流行病毒的入侵点提供额外的加强型保护。尽管3D立体防御已经绝杀99%以上的已知未知病毒，但针对性免疫犹如人体接种的疫苗防范性能更佳。

五、测试总结：

      轻快、流畅不卡机成为杀毒3.0新版留给用户的体验，而安软的本质是对各种已知未知威胁的即时防杀能力，杀毒V3.0新版的Pro3D全面防御体系，让病毒即使被用户主动放行进来在360隔离防御和系统防御面前也无法发作，QVM1S云鉴定和云主防的实时拦截技术绝杀各类未知威胁。通过以上测试，我们看到360的整个防御流程，从入侵防御——隔离防御——QVM1S云鉴定即时拦截大多数未知威胁——云主防对付绕过特征码及QVM的未知病毒，防御能力一层更比一层强，每一层防御都能弥补前一层防御的漏洞，且各个防御层都能够互相交融，云主防和云端黑白特征库以及QVM实时云鉴定融合为一体，互相加强及弥补，QVM实时云鉴定的速度和90%以上的未知威胁鉴定率直接大大提升了第一层的入侵防御的能力，同时也直接提升了云主防的效率，这就是Pro3D立体防御的精髓。

leisong

引入金山对比，只是为了更清晰的解析360的亮点功能以及实时对抗未知的重要性，至于金山的弱项——断网，只字未提，以强胜弱也胜之不武。。。。。。。。。。。。。评测基本客观，不到之处可以指出。

金山的进步神速，鉴定器、云主防从无到有是个很大的进步，K+BETA2进步也很明显，充分值得肯定

可能因为强弱对比的事实太过清晰，少数粉丝还是受不了，口水还是无视事实的来了，期望能客观看待安软在发展过程的缺点，当初360主防的起步阶段也是漏洞无数的，但360官方和360粉丝都能够客观看待。

leisong

基本完成，敬请参观

心碎乌托邦

支持一下。一个现象，图片大小不均，看起来相当的吃力，建议学一下黑羽的，将图片缩小一点。。。

leisong

心碎乌托邦 发表于 2011-8-19 11:59
支持一下。一个现象，图片大小不均，看起来相当的吃力，建议学一下黑羽的，将图片缩小一点。。。

我倒没有刻意调整，不过黑羽的图片有的太小都看不清了

cyk553312

绝对会被喷的，说是对比测试，结果基本只是对360杀毒3.0的介绍。

Threatfire奴

围观……

zxzzit

哈哈，我还记得LZ刚来卡饭的日子，现在啥都变喽。

雨之神

支持下BBT的

PS：你拿了个MAC还嫌不够啊，真贪心

风亡

支持一下