瑞星杀毒软件2012公测版小测

zuo

今年的2012来得格外晚，就在2012即将到来之际，瑞星2012才姗姗来迟，那么这款孕育了这么久的软件究竟怎么样了呢？让我们来看一看吧 。

测试环境简介：
VM8.0  + win xp sp3  （未打补丁）

一，安装

安装包：


安装过程：
怎么说呢，太“经典”了，经典到我都无力吐槽了 ，10,11，12都是这个界面，瑞星的工程师就不会改进一下吗？



介于界面太过“经典”了，所以我这里不做介绍了。

不过，安装后不需重启还是不错的，不过我推荐还是重启一下，因为驱动，服务，组件这些东西都最好重启没所以我习惯安装杀软后重启。

二，升级

安装完后首先升级，让我们来看一下。

升级界面还是很经典。。。




不过速度还是不错的

关于重启的问题同上

三，界面

这个还可以，至于那个大圆，我认为还可以，个人喜好吧



关键是圣诞节早过了，皮肤该换了吧

感觉有点像金山2011早期的界面

安全资讯还有，不过已经好多了，比2011好，至少不点那个看不到

皮肤有点少，还好可以自定义，这个不错

四，设置界面

设置还是比较简洁的

可惜，木马防御的级别不能调节，这个不好

用户可以自己选择的。何必统一都用默认级别呢？

办公软件防护的设置也太少了

这个网络测试还是很实用的

统一用一个白名单了，这个也不能说好不好，有利也有弊

不过还是可以节省一点不必要的麻烦的

五，查杀率

作为杀软查杀是很重要的，也是基本的技能之一，瑞星2012加入了云查杀，不知道有何效果

让我们看一下

先用精锐的毒包看看

毒包情况：

提示查出21个，可是只隔离了19个，实际清掉14个,剩下36个，奇怪





查杀率：28%

比较悲剧

不过，有人说跟后缀名有关，那么我们来试验一下吧

用工具将所有样本的文件名改为.exe



还以为真的杀掉了2个，原来是原来没有杀掉而上报的2个，这个就不算了


可见与后缀名没多大关系

六，防护

开启所有防护

将刚才查杀留下来的病毒样本依次双击，用XT检查防御效果

九个不能运行，六个不能防御，二十个运行后没有动作或出错退出（不全截图了，太多了，全截下来会累死，其中可能有fack av或受瑞星自保影响的，这里就不细看了）



















其余的，杀掉1个

关于精锐的毒包,虽然不排除有瑞星自保的影响，以及还有些fack av或者有点微不足道的小动作，ark查不出来的，但这类病毒只应有一两个，数量太多只能说明病毒包的质量问题了 ，建议大家不要用精锐的毒包测瑞星的查杀

故此测试并不能说明瑞星2012的查杀水平，以后我会重新测试一次

不过也可以看得出来2012的查杀比2011弱了，我认为主要原因有两个

1，木马防御没有级别设置，现在的木马防御只相当于原来默认级别的防御水平

2，没有了系统内核加固

七，资源占用及扫描速度测试

变频杀毒是这次的一个亮点，那么让我们来看看资源占用情况吧


静态占用




正常情况下打开其他软件

动态占用（扫描时）




查杀时开其他软件



可以看出瑞星2012的资源占用还是有不少提升的，至少我这里只是查杀时略卡，其他还好


扫描速度呢

我们扫描windows目录看看

第一次扫描

第二次扫描

第一次用了4分钟，第二次只用了44秒！ 可见云的速度还是很可观的

八，内核层面

让我们用XT看看瑞星2012的内核层面的东西吧

瑞星2012只有四个驱动，可能是为了改善资源占用吧

挂了六个系统回调

过滤驱动

还是挂了不少ssdt , shadow ssdt hook 金山和360都不怎么用这个hook了。瑞星是不是也应该改一下了？




两个服务


瑞星在这方面还需要改进，改用更稳定，有效的钩子，避免出现问题

九，自保

关闭其他监控，只留自保

我不用ark，因为我觉得这毫无意义

用ATP来试试

提示被kill了 、


但是再次查看时，进程又再生了，这点不错

再试试其他的

popwndexe.exe第一个就被干掉了，可能不是重要进程吧

rstray.exe没能逃过内核kill 2的攻击，托盘图标挂了



rsmgrsvc.exe同样被kill5干掉 （如果rstray.exe没被干掉rsmgrsvc.exe还能再生，可是如果rstray.exe被干掉，那么rsmgrsvc.exe就只好再见了）

只有ravmond.exe坚持到底，没被干掉，不过其实只要主要进程没被干掉，就还算过得去了。瑞星的自保还行，但说实话，还需要改进，连界面进程都被干掉了。。。

总结：

总的来说，瑞星2012还是有进步的，但主防还需加强，系统内核加固和木马防御等级设置要回归

瑞星还有一段路要走

汗。终于写完了，评测真麻烦，大家给点鼓励吧

8191

不错

fleaff

嗯啊，，LZ辛苦了。。支持一下
设置方面可能走大众路线了。。

MagicFuzzX

1.瑞星的自保只保护了ravmond
2.驱动级测试自保没有意义
3.360和金山本质还是SSDT和shadow SSDT hook
4.没有哪家正规的杀毒软件靠后缀名识别文件格式，个人写的除外

zuo

MagicFuzzX 发表于 2012-1-3 21:15
1.瑞星的自保只保护了ravmond
2.驱动级测试自保没有意义
3.360和金山本质还是SSDT和shadow SSDT hook

只保护ravmond？了解了，其实瑞星自保还是不错的

有三个是在用户态下被干掉的、

本质还是ssdt，MJ没这么说，不过这个恐怕也说不清吧

我只是更正某人的说法而已，我已经说了，和后缀名没啥关系

billgates1996

样本无动作或出错可能和运行环境有关

wchj001

支持一下

MagicFuzzX

zuo 发表于 2012-1-3 21:23
只保护ravmond？了解了，其实瑞星自保还是不错的

有三个是在用户态下被干掉的、

360的hook KiFastCallEntry：只不过一个INLINE HOOK 就可以覆盖整个SSDT和SHADOW表。而且避免了和其他杀软冲突的可能，而且在其他杀软前获得处理。所以效果比较好。但处理机制还是一样的。

by 大肉鸡

tomochan

在卡饭的半年包测试里（去除了白文件和误报文件）
瑞星的检出率只有70%左右，而参加测试的杀软基本都在90%以上，数字和金山更是一个97%一个96%
而且都比瑞星测试的时间要早，说明瑞星现在查杀率低并不是随便说说而已

星空下的吻

zuo 发表于 2012-1-3 21:23
只保护ravmond？了解了，其实瑞星自保还是不错的

有三个是在用户态下被干掉的、

内部维护一张表而已,稳定