【AVG 2012卡饭独家测评】AVG2012评测

dopod2009

     每年的10月，Apple公司都会在其Cupertino总部举行盛大的发布会，在这一刻是一款新产品的诞生，也是粉丝们疯狂的一天。有什么新功能？新UI怎么样？IOS什么时候越狱？什么时候上市？......面对未知，我们充满期盼；面对惊喜，我们充满渴望。正是这份炽热的心，让每年苹果专卖店出现了彻夜不眠的队伍。
     同样是粉丝，杀软的粉丝同样有着一颗炽热的心。对于每一个新版本，猜测、评测总是不绝于耳。对一款杀软品头论足是大家津津乐道，被称为X粉更是有着一份自豪感，诺粉、伞饭、卡饭......各种称号出现，粉丝们聚在一起“煮酒论杀软”，犹如三国曹操与刘备煮酒论英雄场景再现。
     10月AVG的发布季，新版本的界面、性能、技术更新都将成为大家关注的焦点。那么新版本将带给我们什么惊喜呢？
     本次评测将用以下几个视角谈谈AVG2012
     目录
     1楼：软件安装、界面、设置详解
     2楼：性能测试
     3楼：防护测试
     4楼：使用体会、评测小结、网友常见问题答疑
     5楼：番外篇----IDP的故事


                                                                                                                     测试人员：dopod2009
                                                                                                                     转载请注明作者和出处

dopod2009

软件安装、界面、设置详解

一、软件安装
AVG2012新版本的安装包改变了以往下载完整安装包安装的模式，此次新版本采用在线下载安装。

点击“接受安装协议”

由于是在线安装包，需要用户自行选择需要下载安装类型“免费版”和“全功能版”

AVG的安装模式一如既往的简单，提供了两种安装模式：快速安装和自定义安装（自定义安装可以DIY需要的组件）。

下载等待中


二、软件主界面
新版本的界面延续了一贯作风，AVG2012界面以白色为主基调，看上去朴素简单，给人一种自然的感觉，界面的侧栏和工具栏以灰色调搭配，整体协调简洁大方。


三、功能设置直观化
与点击”工具“--”高级设置“相比，直接对组件进行设置更方便也更直观。

除了设置直观化，新版本对用户安装的AVG程序也进行了归类，让主界面保持清爽


【下一楼还有】

dopod2009

性能测试

     选择一款电脑安全软件往往优先考虑杀软的资源占用，这个话题在粉丝论杀软里面经常可以见到：XXX杀软资源占用最小；电脑配置不高，可以跑XXX杀软吗？电脑用户对于杀软的要求已经不仅是安全，而且还要求尽可能工作时不卡机、占用小、稳定。那么AVG资源占用怎么样呢？下面测试Windows7自带的资源监视器调用数据，如有错误请指出。

测试环境：

测试内容：
1、扫描速度
2、静、动态资源占用
3、磁盘读写

一、扫描速度
1、防Rootkit扫描

2、扫描整个计算机

二、静、动态资源占用（主要测试CPU和内存）
1、静态资源占用

2、动态资源占用（防Rootkit扫描）

三、磁盘读写
1、静态磁盘读写

2、动态磁盘读写（防Rootkit扫描）

测试小结：
从截图中可以看到，AVG的进程比较多，静态工作时占用资源较少，但是一旦开始动态操作，资源占用较大。
PS：Windows7资源监视器记录的是一组动态数据，数据时刻在变化，截图只能捕捉到某个时刻的数值。所以测试数据截图只作为一个参考。有兴趣测试的粉丝可以自行测试。

     性能作为一款杀软的评判指标，对于用户选择有着参考意义。AVG在性能方面的改进，大家是有目共睹的。浏览器作为电脑日常使用必不可少的工具，此次AVG从用户体验角度出发，新增了一个组件“AVG Advice”，这是一次人性化的体现。该组件可以监视Internet浏览器占用内存量的情况，当超过预设值，可以提示用户对浏览器进行重启，以便获得更快、更好的体验。
摘取资料（AVG2012免费版英文使用手册）：
Display AVG Advice performance notifications (on, by default) - AVG Advice watches the supported Internet browsers (Internet Explorer, Chrome, Firefox, Opera, and Safari) performance, and will inform you in case your browser overuses the recommended amount of memory. In such a situation your computer performance may be slowed down significantly, and it is advised to restart your Internet browser to speed the processes up. Leave the Display AVG Advice performance notifications item on to be informed.
翻译资料（AVG2012全功能简中使用手册）：
显 示 AVG Advice 运 行 状 况 通 知 （默认情况下已启用）- AVG Advice 会监视受支持的 Internet 浏览器（Internet Explorer、Chrome、Firefox、Opera 和 Safari）的运行状况，如果浏览器所占用的内存量超过推荐量，还会发出通知。这种情况下，计算机速度可能会大幅减慢，建议重新启动 Internet 浏览器加快其进程的速度。保持显示 AVG Advice 运 行 状 况 通 知 选项的已启用状态，即可得到通知。
功能展示：



【下一楼还有】

dopod2009

防护测试

     资源占用、安全性、兼容性、查杀率、防护强度作为一款杀软的评判标准，AVG作为国际安全厂商，面对考验自然是勇往直前。下面会对AVG的安全防护进行一个小小的测试。

测试环境：

测试内容：
1、网页挂马
2、钓鱼网站
3、本地磁盘病毒威胁

一、网页挂马
    随着互联网的普及，来自网络的安全威胁越来越多。一场安全软件与黑客的较量正悄然展开，到底是魔高一尺还是道高一丈呢？让我们拭目以待！
测试网站:

网站分析结果：

AVG2012免费版需要点击下载运行，此时网页防护才开始工作

同是一个网站，AVG2012全功能版可以在没运行之前就扼杀

通过对比，Free版在网页拦截方面要稍稍滞后于全功能版
二、钓鱼网站
    越来越多的安全软件对于网页挂马都有一定的手段，对于一些别有用心的人来说可不是一件好事。为了获取更多利益，潜藏在互联网的黑手开始剑走偏锋。钓鱼网站就应运而生了。各种的钓鱼网站无论是内容还是网址都非常接近正规网站，如果不仔细辨别就有可能跌入陷阱。
测试网站：hxxp://aq.qq.tecnnect.com/

真假QQ安全中心大比拼

真QQ安全中心

AVG验证

伪冒QQ安全中心

从真假QQ安全中心截图来看，如果不注意网址上的细微区别，两个网站的相似性达到90%，非常容易让人跌入陷阱。从截图看，AVG对这个伪冒网站还没入库，本土化仍需加强

三、本地磁盘病毒威胁
测试样本：Kafan VirList [2011.10.28]
测试方式：扫描+双击

样本包下载中......

样本包下载完毕，让我们来看看今天的“敌人”

认识一下敌人，下面就是真正较量的时候
解压完毕，马上就可以看见AVG响应，而且不断响起提示音。感觉这提示音就是那敌人的催命钟声，这一刻，你可以想象到敌人在挣扎，惨叫声不绝于耳。

战绩公布：
启发+特征码（Resident Shield）Kill32个，剩余：8个

外壳扩展扫描（Shell Extension Scan）Kill1个，剩余：7个

双击触发（Identity Protection）Kill1个，剩余6个

双击触发生成衍生物2个样本，AVGKill衍生物，源文件保留
部分截图就不发了，打包在一个文件，有兴趣的同学下载查看

查杀率：33/40=82.5%


【下一楼还有】

dopod2009

使用体会和评测小结

1、AVG2012以更简洁的界面展现给用户。主界面组件彰显人性化，通过“我的应用程序”分类。
2、AVG事件日志记录的事件比较简略，不够细致化、希望日志可以增加导出功能
3、从动态资源占用数据中看，理论上会觉得卡，但在实际使用中并没有发现出现卡顿现象，还算比较流畅。
4、AVG的LinkScanner虽然可以很好标识出页面的安全，但对钓鱼网站数据收集还是有点不足，加强本土化任重而道远。
5、Free版对网马拦截稍稍滞后于全功能版。
6、AVG浏览器工具栏在加载时有点卡IE，希望完善一下
7、AVG Security Toolbar所有搜索框使用有细微差别，详细可查看48楼。AVG Security Toolbar有些功能感觉应该与地区使用习惯相适应，最好可以自定义一下AVG Security Toolbar可用选项。自定义也是用户体验人性化的表现。
8、在官网全功能版使用文档是简中，建议官方对Free版的使用文档也提供简体中文下载。

AVG展望：
1、加强本土化
2、Resident shield算法改进，启发灵敏度高一点（当然误杀小点）
3、Free版如果可能的话在网马拦截上尽量与全功能版靠拢
4、一如既往免费化、大众。贯彻AVG的一贯宗旨，我们相信：每个人都有权利得到免费的高质量的网络安全防护。


网友常见对AVG疑问解答（FAQ）
1、AVG有如此多的进程，那么到底会不会卡机？
  这个是困扰很多想尝试AVG但担心的占用太多资源的人的问题。其实从评测性能测试里面可以看到，AVG静态情况下占用资源也并不多，1G内存运行起来还是很流畅的。
2、为什么AVG需要如此多的进程？
  AVG为了更好掌控电脑，保驾护航。更多进程、更多分工。细致化的工作流程保证高效率工作。
3、启发与特征码查杀
  在防护测试里面，可以看到压缩文件解压就被Kill，在Resident Shield查杀日志，大家可以见到**heur或者**gen命名的病毒名称，那么哪些是启发查杀，哪些是特征码命中呢？**heur为启发，而**gen为特征码
4、为什么扫描不出来的可疑样本，双击运行之后Resident Shield报毒？
  这个和前面讲到的启发式分析有关，启发式分析--在虚拟的计算机环境中对已扫描对象的指令进行动态模拟。当可疑样本运行，启发式分析同时开始运行，检测到可疑指令行为，会对其进行拦截。
5、为什么IDP工作次序排在Anti-Virus和Link Scanner后面？
  现在的杀软工作都考虑到性能稳定和用户的使用体验，在杀软发展历史过程中，特征码库一直都是一款杀软的基石，正是因为这个基石，才有了后来新技术的加入。考虑到性能的影响，特征码查杀有着配对速度更快，消耗资源相对主防更少的优势，所以在处理可疑样本的时候次序就出来的，这样只是为了更有效率工作。
6、AVG支持可移动设备吗？（截图采用PS合并，查看可能不清楚，建议下载查看）
  AVG对可移动设备是支持的，大家可以在AVG高级设置里面找到扫描--可移动设备扫描--根据自己设置进行设置，然后当你插上移动设备的时候，AVG会对可移动设备进行扫描处理。

7、AVG对火狐中国版的支持问题
  火狐浏览器默认的中文百度搜索框第一次搜索时，avg不能检测搜索结果的安全性，换成谷歌，bing则没有问题。
  最佳解决办法是：将默认的百度搜索删除，在管理搜索引擎里面重新添加百度，现在使用百度搜索框，可以正常显示检测结果。
8、有网友会问Link Scanner单独使用效果是不是很差？
  一款杀软由众多组件组合起来工作，单独剥离某个组件谈效果不合适。杀软是一个立体防护体系，各个组件承担这个体系中一个环节。当某个环节有遗漏，另一个环节就会去填补空缺。
9、AVG的网页信誉评定和诺顿网页信誉评定很相似，二者之间有什么联系？
  很多以前用过诺顿的网友初次接触AVG都会发现二者网页防护上有着相似性。但是通过对诺顿和AVG进行网页测试，可以发现网页信誉评定还是有不同，所谓的差距应该就是数据库的收集和算法、规则上的差距。
10、什么是IDP？
  可以理解为一种行为侦测技术，通过双击触发运行样本，把样本行为与行为数据库进行匹配，对于匹配成功的行为进行拦截并回滚操作。
11、为什么IDP拦截的样本有的报病毒名，而有的却是未知？
  IDP是一种行为侦测技术，但并不是独立于整个防御体系。整合版的IDP对行为有一个匹配的过程，这个过程是一个协同工作的过程，可以调用其他组件资源，所以出现了报病毒名的情况。
12、AVG钓鱼网站数据库怎么如此少？
  钓鱼网站是一种黑客用来欺诈型手段，相对于传统挂马网站来说隐密性更好。钓鱼网站通过相似的域名拼写和相似的页面来达到迷惑用户上当。这个就需要数据库的积累。点滴汇成大海，相信AVG凭借自身已有网站信誉评定优势，对钓鱼网站进行收集和积累库会越来越大。
13、对于钓鱼网站如何防范？
  为了方便用户浏览经常去的网站，浏览器都内置了收藏夹功能，大家可以在收藏夹添加常用网站，需要的时候从收藏夹点击，这样可以减低被钓鱼的风险。
14、为什么官网首页提供下载的是在线下载安装包，没有离线完整包么？
  官网首页提供的的确是在线下载安装包，但是也是有离线完整包，只不过藏得比较隐秘。登录：http://www.avg.com/cn-zh/china-homepage 可以在“服务与支持”--“更多下载”找到离线安装包
  这里提供一下离线安装包方便大家下载：http://www.avg.com/cn-zh/download.prd-afh
15、AVG使用中出现了状况，这种情况下怎么办？
  卡饭寻求资深A粉的帮助（AVG资源帖）：http://bbs.kafan.cn/thread-938825-1-1.html
  AVG官方网站寻求更专业化的帮助：
1.常见问题（FAQ）：http://www.avg.com/cn-zh/faq
2.联系AVG客服：http://www.avg.com/cn-zh/customer-support
  软件主界面上方工具栏。点击“帮助”--“获取在线帮助”
  为了方便网友求助和A粉交流，AVG也人性化地开办了一个论坛，大家有什么不懂的也可以到论坛求助。论坛地址：http://forums.avg.com/cn-zh/avg-forums
16、怎么样才能成为一名资深A粉？
  玩软件是很多粉丝津津乐道的，怎么玩？这就是一个问题，可以通过身边朋友的言传身教，也可以在论坛看帖子找资料。但是这些是最好的方法吗？不是的。其实AVG为了广大用户更好使用自己的产品，不仅内置了帮助文档，而且还人性化地在官网提供文档下载。文档就是一款产品说明书。看透这个，你也可以很好玩转AVG。
文档下载地址：http://www.avg.com/cn-zh/downloads-documentation
17、卸载AVG
  AVG卸载工具：http://download.avg.com/filedir/ ... f_x86_2012_1796.exe
              http://download.avg.com/filedir/ ... f_x64_2012_1796.exe





文章开头讲了粉丝的一些疯狂史，这就需要一个粉丝来最后结尾。本文邀请了AVG，大家口中大A忠实的粉丝maomao110，我们的猫猫来倾诉一个粉丝对自己心仪软件的心声。没有激情跌宕的演说，有的只是那真挚而平凡的一句：祝AVG越来越好！（原话在帖子152楼，火速围观吧）这是猫猫的心声，也是广大A粉们的心声。平凡最真、平凡最美。

守护是一种责任
相伴是一种坚持
谨以此句送给A粉和AVG默默工作在安全前线的全体人员


【下一楼还有】精彩不停歇

dopod2009

番外篇

     通过这几天A粉的交流和strawman0719兄弟的建议，番外篇就这样诞生了。在番外篇没开始之前，先向A粉和strawman0719表达谢意，没有你们，就没有这个番外篇。
     为什么要写这个番外篇呢？相信看过前面的几个评测模块，对于AVG2012的防御体系和性能都有了一定的了解。有的A粉谈及在防护测试中为什么Identity Protection几乎无用武之地？为什么作为AVG的拳头产品，风头被Anti-Virus、Link Scanner盖过了？
     对于上面这个问题，我认为一个立体防护体系，Link Scanner、Anti-Virus、Identity Protection等等一些组件，大家各司其职。Link Scanner就好比军队里面的空军，主要防御是来自空中（互联网）的威胁；Anti-Virus好比海军，主要负责海上防御（磁盘）的威胁；Identity Protection好比陆军，也是守卫疆土的最后一道防线，主要负责清理漏网之鱼。也许有人会问，为什么不一开始就把Identity Protection派上场，直接歼敌不是更好吗？这个问题就关乎到电脑资源占用的问题，由于Identity Protection是通过行为侦测，势必在处理可疑样本的时候会调用更多的资源，为了节省资源和充分利用自身优势，Anti-Virus和Link Scanner走在了前列，通过已有的数据库，只需要比对就可以轻松歼敌而无需耗费大量资源。
    下面将通过一些截图和诙谐的语言，重点介绍一下番外篇的主角Identity Protection。没有高深的技术难点，有的只是诙谐和阅读的乐趣。希望通过这个番外篇，让大家对AVG的防御体系更进一步了解。
     X年X月，在X国上空笼罩着一片阴霾，这一天是这个国家最难忘、最痛苦的一天。因为在这一天，敌人开始对这个国家展开疯狂的进攻，侵略...侵略...还是侵略。国家兴亡，匹夫有责。在战云笼罩之下，三军总司令AVG元帅下达了全力奋战的指令。指令下达之后，三军将士浴血奋战，势要把敌人阻挡在国门之外。
     画面一转，来到了X国领海之内，只见敌军率领整个舰群正向陆地进发。领海之内无敌军，面对挑衅，蓝海之狮Anti-Virus岂能无动于衷？首先是驱逐舰队Resident Shield出击，通过先进的武器配备，敌人的舰群在混战中损兵折将。敌军此时已成溃败之势，Shell Extension Scan护卫舰负责打扫战场工作，清理残敌。

     海上战事如火如荼，领空也没有闲着。敌军企图通过占领领空，达到先发权。海上战事捷报，空军将士意志高昂，在对空作战，敌人拥有第五代隐形战机（网马和邮件病毒），一开始空军打得异常艰辛，可是狭路相逢勇者胜。凭借着Link Scanner王牌作战前锋Search-Shield和Surf-Shield出色表现，后勤防御E-mail Scanner坚固防守。让敌人完全无缝可钻。一场持久战下来，敌人完全没有占到优势，虽无大败，但是却无功而返。

     面对海、空战的失利，敌军元帅震怒了，拥有先进的技术和强大的武器却无法大获全胜。此乃羞辱。于是，敌军元帅决定出杀手锏，派出特务混进X国，伺机搞破坏。这个可不好对付，那么X国该怎么办呢？
     前面的战斗，海军和空军都可以知道敌人的特征（命名、数字签名）

     特务不像军队有明显特征，其隐密性很好。但是X国内有此大患，不除之，必大患。于是陆军Identity Protection临危受命，负责找出这些特务并清理出国门。
     Identity Protection作为尖刀部队，平时有自己一套训练方法，在失去数据支援情况下，可以根据敌人一些行为，对敌人进行辨别，然后清除。
     特务进入X国，首先是渗透到一些重要部门（Windows关键目录），在这些部门安插间谍（写入xxx程序、驱动、文件、创建文件夹、修改权限）。下一步就是渗透到X国上层决策层（注册表），通过策反、诱惑（修改注册表键值、删除键值）。最后的一步就是最终侵略。
     魔高一丈，道高一尺。Identity Protection岂能不知道这一点，根据敌人的战略步骤，Identity Protection先侦测，然后掌握确凿证据，最后将特务都抓了起来。

     特务被抓的消息，迅速传回敌军总部，敌军元帅听到消息，不觉大叹：此次无功而返，X国实在太难瓦解了。


番外篇的故事讲完了，下面开始介绍一下IDP功能细节和工作

Identity Protection
文献摘取来源：AVG2012全功能版简中文档
可为您的计算机实时防范新威胁甚至不明威胁。Identity Protection 会监视所有进程（包括隐藏进程） 以及超过 285 种不同的行为模式，并能够确定您的系统中是否已出现恶意行为。因此，Identity Protection 甚至可以发现尚未在病毒数据库中描述的威胁。有不明代码进入您的计算机时，Identity Protection 会立即监视其是否有恶意行为并对其进行跟踪。如果发现是恶意文件，则 Identity Protection 会将此代码移入病毒库，并撤消对系统所作的任何更改（注入代码、更改注册表、打开端口等）。无须启动扫描即可得到保护。该技术具有很强的前瞻性，很少需要更新，并且始终处于警戒状态。
测试样本来源：卡饭样本区
样本行为分析：
样本名1
2011/11/7 18:41:38    访问网络    允许
进程: c:\users\stephy\desktop\upx.exe
目标: TCP [本机 : 49363] ->  [75.194.59.43 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011/11/7 18:42:22    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\Windows\system32\NOTEPAD.EXE" C:\Users\stephy\Desktop\upx.txt
规则: [应用程序]*
2011/11/7 18:42:39    创建文件    允许
进程: c:\program files\winrar\winrar.exe
目标: C:\Users\stephy\Desktop\1.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe
2011/11/7 18:42:41    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\stephy\desktop\1.exe
命令行: "C:\Users\stephy\Desktop\1.exe"
规则: [应用程序]*
2011/11/7 18:42:42    结束其他进程    允许
进程: c:\users\stephy\desktop\1.exe
目标: c:\users\stephy\desktop\upx.exe
规则: [应用程序]*
2011/11/7 18:42:43    删除文件    允许
进程: c:\users\stephy\desktop\1.exe
目标: C:\Users\stephy\Desktop\upx.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe
2011/11/7 18:42:43    修改注册表值    允许
进程: c:\users\stephy\desktop\1.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MozillaAgent
值: C:\Users\stephy\Desktop\1.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
2011/11/7 18:42:43    访问网络    允许
进程: c:\users\stephy\desktop\1.exe
目标: TCP [本机 : 49383] ->  [127.0.0.1 : 49382]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011/11/7 18:42:44    访问网络    允许
进程: c:\users\stephy\desktop\1.exe
目标: TCP [本机 : 49384] ->  [62.163.15.2 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
IDP拦截：

回滚操作：


样本名privacy
2011-11-7 19:53:32    底层磁盘写操作    阻止
进程: c:\users\stephy\desktop\privacy.exe
目标: \Device\Ide\IdePort0
规则: [应用程序]*
2011-11-7 19:53:35    底层磁盘写操作    阻止
进程: c:\users\stephy\desktop\privacy.exe
目标: \Device\Ide\IdePort1
规则: [应用程序]*
IDP拦截：

回滚操作：

残留：

分析：从样本分析和截图，可以看出IDP属于多步行为分析侦测，侦测后通过行为匹配最终确定是否有害。从日志看，IDP对于可疑样本给出了威胁分类和回滚操作实施方案，这个对于用户检查收尾比较好。IDP的回滚操作基本符合行为分析。但是对于可以样本创建的快捷方式和文本衍生物就无法全部回滚。这个有待改善。

番外篇到此全部写完，很多刚加入到AVG的准粉丝可能会对自己正在使用的软件有点不知所措，我在这里教大家一招，把官网上提供的AVG版本文档看一遍，你也可以成为一个资深粉丝，你也可以在任何场合向你的朋友、家人、同学展示你玩软件的程度。记住：文档是一款软件使用最好的说明书！

【End】谢谢大家/Thanks you very much

喜气2010洋洋

辛苦，支持评测

dopod2009

喜气2010洋洋 发表于 2011-10-28 21:37
辛苦，支持评测

谢谢支持

hanxiaohui2

很不错的评测！

dopod2009

hanxiaohui2 发表于 2011-10-28 22:35
很不错的评测！

谢谢支持