【百度杀毒5.0评测】你不知道的百度杀毒是这样的，BAV啊!显露你的真容吧[全文评测 完]

驭龙

郑重声明：

       本评测全部技术内容由卡饭驭龙撰写，未经本人同意（百度安全中心除外），请勿转载和抄袭或者以修改写法、描述方式等重写本评测技术内容，因此引发的一切后果由抄袭者承担。

好了，在正式开工之前，笔者先介绍一下本帖的章节内容，方便各位饭友的阅读和浏览。
第一章：过去未来-遗憾之叹
第一节-遗憾与惋惜
第二节-界面大有不同
第三节-我心目中的V5
第二章：双剑合璧-显露锋芒
第一节-安装的大合并
第二节-双重主防来袭
第三节-深度融合的BSR
第四节-期待双剑合璧
第三章：雪山猛兽-狼王驾临
第一节-雪狼新爪之虚拟
第二节-幼年雪狼渐渐成长
第三节-网络入侵防御起航
第四节-BAV带来弹窗拦截
第四章：深识自我-面对弱点
第一节-网页防护之痛BHO
第二节-网购保镖的遗憾
第三节-注入进程真的好吗
第四节-浏览器保护之余
第五章：缺失利爪-犬牙未全
第一节-勒索加密威胁测试
第二节-可怜的主防效果
第三节-病毒对抗测试
第四节-引擎的优先级问题
第六章：若想称王-前路漫漫
第一节-防御之Exploit
第二节-防御之Ransom
第三节-防御之Unwanted
第四节-防御之APTs
第七章：爪牙已现-追捕猎物
第一节-威胁类型小测
第二节-17日的威胁测试
第三节-18日的威胁测试
第四节-19日的威胁测试
第八章：勇于坚持-希望可见
第一节-不断进步和完善
第二节-勇于坚持！加油
第三节-融合的开始
第四节-百度杀毒再见

前言说明：

     笔者这次的评测使用工作机Windows 8.1 Update系统，来测试百度杀毒5，毕竟官方并没有宣布完全支持Windows 10系统，这次只能是实机Windows 8.1的体验，以及虚拟机的双重体验，为什么双重体验，虚拟机是为测试百度杀毒5主防的体验，虚拟机使用全新安装的Windows 7 SP1系统来测试。
测试环境如下
实机环境：Windows 8.1 Update 32位系统。


Windows 7 32位系统虚拟机环境：


注：笔者是业余爱好者，本帖的评测仅供参考，如有错误，请多多见谅。

测试说明：

①：本次测试大多数以实事求是的方式测评，当然这也是笔者的一贯风格，不会改变，接下来说一下测试的具体环境，笔者的系统是Windows 8.1 Update 32位 实机系统测试。
②：笔者保持一直以来的风格评测，好就是好，不好就是不好，一定会实话实说，追求最接近真相的事实。
③：有一些内容涉及到技术问题，以免不必要的问题发生，有些内容可能不会说或者以后再说，请见谅。
④：本测试中的GIF动画因论坛问题，不能附件播放，将尽量不使用GIF附件。
⑤：本测试的相关建议什么在5楼和6楼，希望官人能看到。
⑥：因测试环境和软件版本以及硬件环境等原因，本测评内容仅供参考。
现在是初稿，本测评大概活动结束前测试完成，今天正式开始测评。

第一节-遗憾与惋惜

      最开始我真的有一点遗憾，也有一点惋惜，很多人明明没有真实的了解百度杀毒，就说百度杀毒是在天天刷版本号，没有实质性更新等等，可真正的事实是这样的吗？让我真真切切的告诉你现在的百度杀毒V5是什么，看完本帖相信大家就会明白谁说的是真的，公道自在人心，不是么？

     说到遗憾，其实我也确实是挺惭愧的，因为自从百度杀毒4.2发布，我已经有半年没有接触百度杀毒了，原因有二，其一是百度杀毒启用BitDefender引擎放弃Kaspersky引擎，这说实话让我很反感，之后的几个新版本都是小变化，我也就没有用。
     其二，就是百度杀毒无论是国内版还是国际版都不支持Windows 10 系统，这让我没有尝试百度杀毒的4.X几个版本的最重要原因。

     其实我也对百度杀毒不支持Windows 10感到不解，不过看到百度杀毒V5的情况，我真的明白了，也不能完全怪开发团队，这真的需要时间才能改变这个状态，为了测试百度杀毒V5，我这次启用我有一段时间没有用的Windows 8.1系统，来体验大有不同的百度杀毒V5，好了，让我们进入百度杀毒的世界，体验一番吧。
     先来个百度杀毒V5自定义皮肤截图，我的这个主题是不是有一点血雨腥风的味道？

第二节-界面大有不同

     我这次不来那些按照步骤什么的，那些人人都会，写了也只不过是浪费帖子的空间，所以直入主题，让我们看看百度杀毒V5的主界面变化吧，还是动态图，如果看不到动态图，请回帖，之后我发外连动态图。

主界面重返大UI，点击盾牌进入保护功能。


主界面下方三大组件功能，弹窗拦截＋网购保镖＋浏览器保护，以及更多（更多中包含其他工具如沙箱）。


主界面正中心的闪电查杀，点击以后进入查杀状态，我暂停录制，扫描完成以后恢复，第一次扫描用时1分44秒，还可以。


更换主界面的皮肤很简单，默认有几个选择，也可以自定义哦。


     这一次百度杀毒把主界面改回PC平台的用户界面，而且还有一些自己的风格，这个不错，还有就是跟国际版也有一点相似，是吧？另外说一下，设置方面没有什么变化，我就不浪费帖子空间发截图了，请见谅。

第三节-我心目中的V5

     大概是在百度杀毒V3的时候，雪狼也刚刚发布，UI也转变为迷你，我曾经做过一个自己设计的UI草稿图，之前一直没有公开，只是跟官方说过，现在官方的V5已经发布，那我就把这没有做特效的草稿图发出来，跟大家分享一下。

     我是一名业余爱好者，本软件界面是我个人的初步想法，因时间关系和技术能力限制，仅做出初步的草稿图，很多细节并不完善，有很大的完善和调整空间。

迷你风格的主界面。


主界面的详细介绍。


安防中心-保护功能。


扫描体系-快速扫描。


防护日志-活动状态。


功能设置-详细设置。


我设计的UI动态图展示：


     请大家不要见笑，我不是做设计的，所以草稿图很差，请见谅。
     不过我设计的这个UI是可以与手机杀毒统一界面的，可惜官方没有采纳，但其中的一些功能却真的出现了，如启发式引擎，那时候还没有慧眼引擎，现在慧眼引擎完全实现了我之前希望出现的启发式引擎。
     还有网络入侵防御，这个功能现在基本上已经初显成效，具体内容请见其他章节的内容，到时候会有具体说明。

附：更新日志

2016年1月9日 14:14 更新，第一章的第一节-遗憾与惋惜
2016年1月9日 15:50 更新，第一章的第二节-界面大有不同
2016年1月9日 17:31 更新，第一章的第三节-我心目中的V5
2016年1月9日 18:30 更新，第二章的第一节-安装的大合并
2016年1月10日 11:14 更新，第二章的第二节-双重主防来袭
2016年1月10日 13:55 更新，第二章的第三节-深度融合的BSR
2016年1月10日 17:31 更新，第二章的第四节-期待双剑合璧
2016年1月10日 20:20 更新，第三章的第一节-雪狼新爪之虚拟
2016年1月11日 12:20 更新，第三章的第二节-幼年雪狼渐渐成长
2016年1月11日 15:38 更新，第三章的第三节-网络入侵防御起航
2016年1月12日 11:15 更新，第三章的第四节-BAV带来弹窗拦截
2016年1月12日 19:30 更新，第四章的第一节-网页防护之痛BHO
2016年1月13日 13:15 更新，第四章的第二节-网购保镖的遗憾
2016年1月13日 19:48 更新，第四章的第三节-注入进程真的好吗
2016年1月14日 11:54 更新，第四章的第四节-浏览器保护之余
2016年1月15日 18:28 更新，第五章的第一节-勒索加密威胁测试
2016年1月16日 19:00 更新，第五章的第二节-可怜的主防效果
2016年1月17日 13:46 更新，第五章的第三节-病毒对抗测试
2016年1月17日 20:18 更新，第五章的第四节-引擎的优先级问题
2016年1月18日 12:00 更新，第六章的第一节-防御之Exploit
2016年1月18日 19:50 更新，第六章的第二节-防御之Ransom
2016年1月19日 13:00 更新，第六章的第三节-防御之Unwanted
2016年1月19日 19:00 更新，第六章的第四节-防御之APTs
2016年1月20日 13:33 更新，第七章的第一节-威胁类型小测
2016年1月20日 18:30 更新，第七章的三节同时发布的测试
2016年1月20日 20:26 更新，第八章的四节同时发布 | 评测结束

本主题未完，下一楼更精彩！

驭龙

第二章：双剑合璧-显露锋芒

     想必大家看第二章的名字就应该已经猜到本章的内容是什么了吧？没错，百度杀毒国内版和百度杀毒国际版确实是已经开始合并，百度杀毒V5就是一个初步融合以后的百度杀毒融合版本，虽然只是简单的初步融合，但效果却有明显变化，众所周知国际版拥有强大的防御功能，国内版拥有强大的云基础和Bav Engine体系，这样的合并，确实是值得让人期待的了。
     本章的内容就是简单说一下百度杀毒国内版和百度杀毒国际版的融合，当然只是简单的说明一下，真正的融合并没有全面展开，说实话我期待的不是现在的百度杀毒，而是进一步融合国际版防御和国内版引擎的百度杀毒未来版本。
     另外特别说明一下，我没有拿到百度杀毒4.2到4.5的安装包，我不确定这几个版本是否也融入国际版的功能，因此本测评可当成百度杀毒4.1以后的更新总介绍。

第一节-安装的大合并

     百度杀毒国内版的安装包我只有4.1的离线包，为什么会这样？是因为之后的版本采用BitDefender引擎，我觉得太臃肿，所以我就没有再体验百度杀毒国内版，因此我只能用百度杀毒国内版4.1的安装包跟百度杀毒5的安装包对比一下，请不要介意哦。

看我安装过百度杀毒4.1之前的绝大部分版本，这是安装包哦，注意百度杀毒4.1的安装包只有26.8MB大小。


而我们现在用的百度杀毒5的安装包大小是39.9MB大小，这其实已经证明百度杀毒的国内版和国际版的初步融合了。


百度杀毒5的安装包数字签名时间戳是2015年的最后一天下午，也就是说元旦节之前就已经完成百度杀毒5了。


百度杀毒5拥有了国际版最熟悉的驱动组件，一个是R3主防驱动和一个流量监控驱动。


     当然我们不能把因为百度杀毒5的安装包变大，就说国际版和国内版的功能开始融合，所以我把百度杀毒5拥有的国际版驱动截图先发出来，下一节我会进一步说明百度杀毒5确实是国内版和国际版的初步融合版本，不过整体架构还是以百度杀毒国内版的架构为主体，然后加入国际版的一些功能。

第二节-双重主防来袭

     前面已经说百度杀毒5是百度杀毒国内版和百度杀毒国际版的融合版本的初步版本，而论坛中有传闻说百度杀毒5只是使用国际版的沙箱和未公布的弹窗拦截，这两个技术，由于我不了解国际版的沙箱技术，我就不讨论百度杀毒5的沙箱问题了，弹窗拦截会在以后的章节说明情况，这里就不多说了。

     那么传闻是不是真的？百度杀毒5是不是真的没有使用多少国际版的东西？好，那我来告诉大家真相，虽然百度杀毒5是国际版和国内版的初步融合版本，很多东西并没有融合，但是国内版和国际版的重头戏还是在百度杀毒5中出现了，大家请接着看本节。

百度杀毒国内版的主防是百度安全组件，这个我在之前已经说过多次，就不重复了，百度杀毒5的百度安全组件还是1.2版本。


     重头戏是在百度杀毒5核心主文件夹里出现的BE开头文件，这些是谁呀，没错就是国际版的VM引擎和HIPS引擎的部分组件，看名字就知道了，是吧？而且描述中并没有改掉Baidu AntiVirus的描述，这足以证明国际版的部分主防融合到百度杀毒5中。


     融合还不仅仅如此，国际版的最强之处是主防核心对吧？那现在的百度杀毒5已经拥有国际版HIPS主防的部分核心组件了，其中还有NetFilter模块呢。


     文件夹中有国际版5.8和5.9的组件，并不代表就是融合，可文件如果被加载，那就真的意味着融合的开始，虽然并不完整，但真的融合了，国际版的主防核心确实是被百度杀毒5主核心服务加载的，至于调用程度，我就不清楚了。


     现在大家是不是能确定百度杀毒5真的是国际版和国内版融合的开始？当然现在只是刚刚开始而已，百度杀毒5也未必能发挥出国际版主防的威力，但我相信未来的百度杀毒应该会进一步融合国内版和国际版的优势，请各位给工程师们一些时间吧。

第三节-深度融合的BSR

     本章的前两节说的是百度杀毒5是国际版和国内版的融合版本，但只是把国际版的模块和引擎简单的加入到百度杀毒5中，主防模块和引擎的描述和公司描述都是国际版的，那么百度杀毒5真的是简简单单的融合吗？答案当然不是了，百度杀毒5有一部分真的是深入的融合了国际版的功能，那是什么功能呢？请往下看本节内容。

     百度杀毒5的官方日志上写着更新了强大的修复引擎能力，但被归纳为雪狼3的引擎功能之中，可事实上并不是这样的，百度杀毒5拥有的强大修复系统能力，并不是源自于更新换代的雪狼引擎，至于雪狼3的更新内容，我会在下一章内容中说明，本章说的是国际版和国内版的融合。

    百度杀毒国际版拥有一套强大的系统修复体系，也就是众所周知的BsrScan引擎体系，全称是Baidu System Repair 引擎，中文名为百度系统修复，这个BSR体系拥有强大的系统修复效果，而且拥有引导清除功能，在系统引导启动的时候干掉顽固威胁。
国际版BSR和百度杀毒5BSR的截图。


    BSR可不单单是引导清除功能，它具备后台运行和修复的功能，似乎还具有一些其他的修复和检测功能，如检测某个类型的PUP功能，更重要的是国际版的BSR是深度融合到百度杀毒5中，不但被核心服务加载，连版本号和公司都统一成为国内版的体系了。


     这或许就是百度杀毒国内版和国际版的融合开始吧，关于BSR的更多细节，我就不多说了，反正一句话，修复系统的能力真的不错，当然现在只是刚刚开始融合，但我真的已经很是期待国内版和国际版完全融合以后的版本了，那一定会是一款强大的安全产品，不过不知大融合需要多久才能完成，我们只能耐心等待了。

第四节-期待双剑合璧

     关于百度杀毒5是国际版和国内版的融合版本，我想大家应该不会否认了吧？因为这已经是事实了，不过我还是觉得非常的遗憾，因为国际版的主防核心并不是百分百融入百度杀毒5，即使是融入的部分，也并不能发挥太大的效果，现在的百度杀毒5主防依然以国内版的百度安全组件1.2为主，国际版的主防是处在待命状态，这真的有一点遗憾呢。

熟悉的危险程序单步云拦截（把我的移动版虚拟机拦截）。


可疑程序的多步询问，询问虚拟机的加驱操作。


     大家会问了，明明国际版的主防已经在百度杀毒5的核心服务BaiduSdSvc中加载，为什么没有发挥其强大的效果？这是为什么呢？这是因为国际版的主防规则并没有在百度杀毒5中出现，因此现在的百度杀毒5才无法发挥国际版主防的效果，但以后就不会了，我们等待即可。

看百度杀毒5现在只有可怜的几个国际版主防规则（下半部分是国际版5.5规则的冰山一角）。


     而百度杀毒5已经准备出BETMData也就是百度杀毒国际版主防规则数据的存储文件夹，只可惜现在里面没有国际版的主防规则，这真的是遗憾啊，可以说现在的百度杀毒5只是缺少国际版主防的规则，这或许就是没有完成的融合部分吧。


     不管怎么说百度杀毒真的已经开始把国际版融合到国内版中，而且现在已经逐步开始 ，相信以后会有更多更完善的融合功能出现，我为什么这么说？这是为什么？我会在下一章说明具体原因，不过我还是有一点遗憾，那就是国际版的主防未能发挥太大的效果，但足以证明融合的开始，我们只能期待着未来版本的百度杀毒了。

本主题未完，下一楼更精彩！

驭龙

第三章：雪山猛兽-狼王降临

     终于到这里了，为什么我会这么说？因为本章说的是百度杀毒5最强大的更新内容，其中包括新一代雪狼引擎，哇，Bav Engine体系又更新了，可官方对此并没有多说什么，反而是把国际版的Baidu System Repair引擎的效果，说成是新一代雪狼引擎的效果，而我们真正的雪狼引擎更新的是什么？官方没有说，那只好我简单的说一下了，当然本章还会说一说百度杀毒5的其他新功能。
     这样说吧，我个人是很喜欢百度杀毒国内版的雪狼引擎和慧眼引擎的，也就是Bav Engine体系，我到不在乎Bav Engine的特征库定义是多少，也不在乎看雪的超级大神反编译BAV Engine结果，我在乎的是Bav Engine查杀效果，虽然无法跟传统引擎一决高下，可还是一款不错的引擎，相信以后还会进步的，毕竟Bav Engine才刚刚起步没多久，需要慢慢成长。

第一节-雪狼新爪之虚拟

     雪狼引擎我一直很喜欢，虽然现在不能独挡一面，但总有一天会成为一款优秀的反病毒引擎，言归正传，我们来说一说百度杀毒5带来的新一代雪狼引擎吧，上一章我说过一句雪狼3，这是为什么呢？雪狼不是才发布两代吗？为什么说是雪狼3？其实吧，上一代的雪狼也就是百度杀毒3发布的雪狼引擎，实际上那新发布的雪狼引擎已经是2.0版本了，而现在百度杀毒5带来了雪狼3.0版本。
雪狼版本对比。


     不要问我雪狼1.0哪里去了，我也不知道，不过我的猜测是当初百度杀毒2.1的时候，未出生的雪狼版本号用的是百度杀毒2.1的版本号，所以我猜测那时候的版本或许就是最初的雪狼1.0吧。


     那么雪狼3究竟更新什么？这个是大家非常好奇的吧？让我慢慢说，首先Bav文件夹里多了BavEmu32和BavScanE模块和VC 12.0的运行时库文件，这就是雪狼3除了代码和功能更新之外最重要的更新，它们是什么呢？


     让人惊讶的是雪狼3的新模块BavEmu32，竟然是虚拟化的虚拟环境引擎，也就是软件虚拟机技术，虽然不是硬件级的虚拟化，但是虚拟机的虚拟化，确实是可以识别一些之前发现不了的威胁，毕竟是虚拟环境技术，虽然不是什么新的技术，即使是基准线Windows Defender都拥有Virtual File System的虚拟化技术，所以不要把雪狼3的虚拟机想象的多么美好，但有了BavEmu32和BavScanE的虚拟机体系，雪狼3真的已经进步了。


因为雪狼3拥有虚拟机技术，因此雪狼数据库也拥有了新的成员vmd0000.vdb，这是虚拟数据库哦，BavEmu32和BavScanE最需要的东西。


     我本以为这就是雪狼3的虚拟机技术模块的全部，可今天下午，雪狼引擎突然更新，在Bav文件夹下更新了BEMUOS.vfile文件，这才是虚拟环境的虚拟环境呀，看来雪狼3的虚拟化正在继续完善呢，期待着它的进一步完善吧。


     值得一提的是雪狼3不单单是添加了虚拟机环境的虚拟化技术，其他功能模块和内部都有变化，进一步提升了能力，不过依然是起步阶段，雪狼毕竟才一岁多一点，但它的成长真的是有目共睹，或许还不能独挡一面，但它真的在一点点的成长，让我们再耐心等待它的长大吧。

第二节-幼年雪狼渐渐成长

     本节我来简单说明一下百度杀毒5带来的雪狼引擎3，有什么特别之处，想必这是大多数网友非常关心和感兴趣的地方，那我就以业余水平的水准，简单的说一下雪狼引擎3的变化以及调整吧，当然这仅供参考，毕竟我不是官方人士也不是软件方面的专业人士，请多多包涵。

     先来看雪狼引擎2和雪狼引擎3的文件对比，你发现了吧，我上一节并没有说完整，因为雪狼引擎3没有了BavScanV模块，而是出现了BavScanS模块，再加上新模块BavEmu32和BavScanE，这才是雪狼引擎3新增加的引擎功能模块，不仅如此Bav Engine体系的大小几乎翻倍了。


BavScanS模块，具体内容后面会说明。


     Bav Engine体系的特征库也变得更大了，其中VDF文件也发生了变化，雪狼引擎3没有了sm0008和sv0000两个VDF文件，却有了新的sf0000和ss0000两个VDF文件，以及新加的vmd000的VDB文件。
两个版本雪狼引擎特征库对比。


特征库变化对比，蓝色是消失的VDF，红色是新文件。


     雪狼引擎3不单单是添加了BavEmu32虚拟机引擎模块，其他模块也都有变化，下面的内容是我个人初步分析，如有错误请多多包涵，毕竟我不是专业人士。
BavArchive：能够对HTML、安装包、JavaScript等等压缩文件的检测内部内容。
BavCommon：创建动态内存缓冲池，分析各种文件，包括各种文档和脚本，类型太多数不过来，应该是绝大部分的常见格式，同时调用SSV开头的VDF特征库核心文件，以及数据连通和服务器通信等。
BavEngine：重写了，分配雪狼引擎的特征库筛选内容，以及对非可执行文件的各种格式分类，同时调用E开头的VDF特征库文件。
BavFrame：应该是调用和协同各个组件的各种工作，各个组件都需要它，同时读取cf开头的VDF特征库配置文件。
BavHeur：虚拟化类型的新型启发式架构核心，调用sh开头的VDF启发特征库，也就是本次慧眼引擎，内部统一报毒名Win32.Trojan.WisdomEyes.150615（15年6月15日架构库）已经应用一段时间了。
BavOLE：嵌入式分析文件，比如说Office办公软件等等，现在包括各种VB类型的脚本分析，以及COM即组件对象模型等内容分析。
BavScanH：调用sha开头的VDF特征库核心文件。
BavScanM：特征分类和引擎文件数据库配置类型（例如：Test、Boot、Virus、Trojan、Backdoor、Trojan-Downloader、Trojan-GameThief、Trojan-Dropper、Trojan-Clicker、Trojan-Banker、Trojan-Proxy、Trojan-PSW、Trojan-Spy、Worm、Worm-Email、Worm-Net、Worm-P2P、Worm-IM、Exploit、Adware、HackTool、Joke、Rootkit、Packed），调用sm开头的VDF特征库扫描的核心文件。
BavUnpack：对未知包的拆解或者打开包文件，也就是脱壳模块，采用的应该是C和C＋＋语言方式。
BavUpdate：不单单是更新VDF的组件，更是分析和上传共享数据信息的组件。
BavScanS：调用ss开头的VDF特征库扫描的核心文件，新文件，与运行时数据分析有关？
BavScanE：与BavEmu32一起完成虚拟机环境，辅助虚拟机模块的引擎模块。
BavEmu32：新一代雪狼引擎最重要的新功能之一，虚拟机环境，模拟系统环境让危险程序执行，进而识别未知威胁，不过不是硬件级的虚拟化技术。
     本节内容是初步分析结果，以后如果发现其他内容或者错误，会进行修改个调整，现在仅仅是初步内容和结果。

     关于雪狼引擎3的变化，我们可以对比一下当初百度杀毒4发布的时候，雪狼引擎2的分析内容，就可以看出雪狼引擎3的变化了。


     我现在更正一下，当初我以为WisdomEyes引擎的那种模拟各种模块，我以为是虚拟化，不过现在雪狼引擎有了纯粹的虚拟环境，那慧眼的那种调用各个系统模块的技术，就不应该是正统的虚拟化，这个我当初也说那种虚拟化很特别，看来真的是没有错了。

     尽管雪狼引擎越来越强了，可它还是有不足之处，这个只能等待它的慢慢完善了，而我个人真的是很期待雪狼引擎的进一步成长，相信以后一定会是一款优秀的反病毒引擎。

第三节-网络入侵防御起航

     上面两节已经简单说明了雪狼引擎的变化，但百度杀毒5不单单是有雪狼引擎的更新换代，还有其他新功能和鲜为人知却即将出现的新功能，本节说的就是百度杀毒5尚未完成的新功能，现在却已经存在于百度杀毒5中，那它是什么功能？其实本节的名字已经说清楚了，没错是网络防御功能，这其实也是意料之中，毕竟国际版主防的NetFilter模块，已经存在于百度杀毒5了。

     可以这样说吧，百度杀毒5现在正在不断融入国际版的技术，网络防御功能也是源自于国际版的技术，但与国际版主防模块截然不同的是，网络防御组件是用国际版的技术，以国内版的架构写入百度杀毒5，也就是深度融合到百度杀毒5中，虽然现在可能没有启用，不过这个功能真的是让我十分期待。
bnProtect就是网络防御功能的模块，版本号是1.0，但技术还是国际版的呢。


     现在的百度杀毒5不单单已经有了bnProtect网络防御模块，还有相关的bnProtectsys流量防护驱动，再加上Bnmon未完全融合的国际版流量过滤驱动，看上去百度杀毒5或者以后的百度杀毒在防御方面会有很大的提升。


bnProtect模块是支持64位系统的，这实在是不错呢。


     不过这个bnProtect功能，不支持Windows 10系统，这或许就是百度杀毒5不支持Windows 10的原因之一吧，期待着以后的百度杀毒和网络防御功能都快一点支持Windows 10系统吧，毕竟Windows 10的势头很猛，未来必然会有很高的占有率，如果百度杀毒不支持Windows 10的话，真的是一大遗憾呢。

第四节-BAV带来弹窗拦截

     据传说百度杀毒国际版的内部测试版有新功能-弹窗拦截，只是并没有公开发布这个功能，而百度杀毒5却带来了弹窗拦截功能，因为什么？还不是国内版和国际版的初步合并，之前就传闻百度杀毒5的弹窗拦截是国际版的，那究竟是不是这个样子？

     首先我们知道百度杀毒5的新进程popupwndsvc（32或者64），这个进程就是弹窗拦截服务，版本号为2.0，但是它却依靠国际版HIPS引擎模块以及BavR3Base驱动作为基础，加上popupwndsvc本身是国际版深度融合到百度杀毒5的，所以可以确定百度杀毒5的弹窗拦截，确实是国际版的技术。


     百度杀毒5的弹窗拦截会把一个PopupWndBlocker（32或者64）动态链接库，注入到由用户启动的用户层应用进程中，从而达到防止用户进程弹出窗口的效果。


     百度杀毒5会把PopupWndBlocker模块放到System32系统核心文件夹位置，同时也会被百度安全组件加载，这真的是融合的不错，虽然是国际版技术却深入到融合到百度杀毒5，这真的是不错呢？


     弹窗拦截功能是支持64位系统的，所以模块的名称会区分32位模块和64位模块，除了百度杀毒5主文件夹内的弹窗拦截功能模块，就是在系统的System32文件夹下有一个PopupWndBlocker模块，是它注入到用户进程中的，也是负责深度拦截用户层弹窗的模块。


     由于我的Win 8.1系统是办公用的，没有安装多少软件，没有遇到弹出窗口的情况，所以我就不测试百度杀毒5弹窗拦截功能的效果了，不过它确实是十分实用的新功能，因此我才会特意来介绍一下它的存在，如果以后有机会，我会把它弹窗拦截的截图补上的，但不一定是本次评测。


本主题未完，下一楼更精彩！

驭龙

第四章：深识自我-面对弱点

     前三章已经把百度杀毒5的新变化说的差不多了，称赞的内容也不少，不过从现在开始，我开始说一些百度杀毒5的不足之处，以及一些急需改进的地方，还有需要继续完善的功能，这就是本章的内容，当然本章只是说一下急需改进的地方，并不是全部的不足之处。
     我一直是实话实说的，所以百度杀毒5的不足之处依然要说，正如本章的名字一样深度的认识自己，勇敢面对自身的弱点，才能一点点克服弱点，真正的成长起来，所以面对批评并不是一件坏事，如果连自己都不敢面对，那如何让用户接受？我说的是心里话。

第一节-网页防护之痛BHO

     说到百度杀毒最需要改进的地方，我真的不止一次的提到这个浏览器帮助对象问题，由于百度杀毒的网页防护对IE浏览器的支持依赖于WebMonBHO模块，可这个模块始终不支持IE的增强保护模式，导致开启EPM的IE，没有百度杀毒Baidu Safe Browsing的URL防御效果，这个我真的说了好几次了，不过现在的百度杀毒5还是没能彻底解决。


     不过让人高兴的是百度杀毒下载防护等功能，不需要WebMonBHO也可以完成工作，现在只是需要WebMonBHO才能发挥百度杀毒的BSB平台URL防御效果，这是在没有WebMonBHO支持的情况下，百度杀毒注入启用增强保护模式IE的模块。


     在关闭IE 增强保护模式以后，WebMonBHO和BDMNet模块发挥效果，注入到IE中，发挥百度安全浏览平台的URL防御效果，这效果真的是不错，毕竟是利用了百度搜索引擎的效果呢。


     我找了一个失效的欺诈网站作为测试，IE关闭增强保护模式以后，百度杀毒WebMonBHO模块起效，轻松拦截了欺诈网站的访问，可我开启IE增强保护模式以后，访问相同的一个欺诈网站，百度杀毒并没有拦截，如果不是网站失效，就已经进入欺诈网站了。

关闭IE增强保护模式，启用WebMonBHO模块，拦截欺诈网站成功。


启用IE增强保护模式，WebMonBHO模块失效，无法拦截欺诈网站。（为防止大家误进欺诈网站，所以我选择失效的网站）


     虽然这个问题可能跟微软也有一点关系，可这不能作为理由，毕竟很多安全软件都不需要BHO，也就是浏览器帮助程序对象就可以实现URL的防御，而且微软现在已经停止支持老版本的IE浏览器支持，这就更应该进一步加强对IE的防护，毕竟中国的IE用户很多，大多数还是老版本的，百度杀毒应该进一步加强对IE的防护，不能让强大的BSB平台受到一个BHO的限制，这确实是百度杀毒现在应该解决的一个问题呢。

第二节-网购保镖的遗憾

     这里又不得不继续抱怨WebMonBHO了，因为网购保镖也需要WebMonBHO模块，加上网购保镖现在支持的浏览器不多，所以在失去WebMonBHO的情况下，网购保镖的效果基本上已经废了，这个问题真的是让人头疼，为什么这么久还没有改？我每次都说这个问题，真的是让我自己都觉得烦了，但我还是要说一下，毕竟这个功能很重要的。

网购保镖全开的时候，因WebMonBHO模块失效，访问财付通，没有支付扫描和支付模式。


访问京东商城也一样没有网购保护。


     然而在把IE的增强保护模式关闭以后，WebMonBHO恢复正常，访问京东，百度杀毒的网购保镖模式恢复正常，且有网购保镖已开启，百度杀毒托盘图标也出现网购保镖模式。


再次访问财付通，支付环境扫描迅速开启。


     一旦开启IE增强保护模式，网购保镖再次失效，可增强保护模式是IE的一个很强的保护功能，若是能与增强保护模式兼容，百度杀毒的网购保镖会更加可靠安全，最重要的是百度真的应该摆脱这个兼容性很差的WebMonBHO模块，就是它让网页防护和网购保镖都与IE增强保护模式冲突，由不能让其他浏览器支持这些功能，我强烈建议砍掉WebMonBHO模块。
没有WebMonBHO支持，支付环境扫描再次失效。


     BHO的限制实在是太多了，这真的不适合再用下去，想想Windows 10上微软全力推广的Edge Browser，它可是不允许注入和BHO的，虽然以后会有扩展插件，但那必然受到限制，因此再继续在WebMonBHO上费功夫，真的是没有意义，应该选择更有效的方式，也就是我常说的Windows Filtering Platform方式的流量过滤，没有任何浏览器支持上的限制，能让BSB和网购保镖支持绝大部分浏览器，这才是值得去做的功能。

     值得高兴的是，百度杀毒5已经开始有流量过滤的功能，如尚未完成的网络防御功能，如果完善的话，以后必然会有BSB和网购保镖的流量过滤支持，所以我还是很高兴的，因为百度杀毒真的在进步。

第三节-注入进程真的好吗？

     虽然百度杀毒5的新功能-弹窗拦截很好很强大，可我真的不喜欢这个东西，大家或许会说我是吹毛求疵，可我有我的看法，大家不妨看看我的看法，然后在决定我说的对不对，当然这或许是我个人观点，并不代表什么。

     首先，大家都知道弹窗拦截功能是依靠注入用户进程的PopupwndBlocker（32或者64）模块，实现弹出窗口的拦截，这是依靠BavR3Base驱动的效果，可正因为如此，凡是用户层的进程都会被注入PopupwndBlocker模块，这真的好吗？


     即使是阿里旺旺的进程也会被PopupwndBlocker模块注入，虽然是为了拦截弹窗，可这还是会对被注入的进程有一定程度的性能影响的，毕竟是注入到其他厂商的产品中，无论是性能还是稳定性，都会给被注入的进程带来影响，所以我才不是很喜欢这个功能。


     当然其他安全软件也有注入用户进程的模块，不过那些模块是为了主防效果，不得已才注入用户进程中来检测威胁的，这与一个弹窗拦截是截然不同的，毕竟其他安全软件的用户层注入是为了提高威胁检测率，而百度杀毒5的PopupwndBlocker只是一个弹窗拦截，这样给第三方应用程序带来的不稳定和性能影响真的好吗？

阿里旺旺没有用户界面的进程也不放过，还是注入其中。


     我对弹窗拦截功能还有一个问题，百度杀毒5并没有提供弹窗拦截的关闭功能，无法禁止PopupwndBlocker模块注入用户进程，这个也太不人性化了。


     我玩电脑已经快十年了，几乎没见过几个应用程序有弹出窗口的情况，当然QQ和迅雷等应用程序的新闻窗还是有的，其他就少之又少了，所以我个人觉得弹窗拦截功能带来的弊大于利，当然这是我个人看法，而且现在也没有发现哪个应用程序因为百度杀毒5的这个PopupwndBlocker模块而崩溃，只是或多或少的影响一点点应用程序响应速度，但是我依然希望改进弹窗拦截的方式，毕竟我们无法避免第三方应用程序更新以后的稳定性，注入还是会带来不稳定因素的。

第四节-浏览器保护之余

     在百度杀毒5安装以后会默认安装百度浏览器保护功能，也就是在百度杀毒主文件夹外的BrowserProtect文件夹，它会带来浏览器保护基础功能服务BPService，这个浏览器保护组件是负责浏览器主页地址、默认浏览器、浏览器搜索引擎等设置的防篡改功能，本身很有用，这并没有问题，可我认为它的不足之处也是有的，应该改进一下。

     浏览器保护会把多个模块注入到IE进程，按理说这也没问题，毕竟是为保护浏览器的设置，可这些模块是不是跟百度杀毒内置的WebSafe模块重复？为什么不把功能合并到百度杀毒？反而是要独立化？


     浏览器保护的驱动BDIC，支持把BrowserDefense以SSDT Hook方式强行注入QQ浏览器、猎豹浏览器、360极速浏览器、360安全浏览器、Internet Explorer浏览器和系统Explorer资源管理器进程，进而达到防止浏览器设置被改的效果。

     接下来以QQ浏览器为例，浏览器保护确实是通过BDIC驱动把BrowserDefense模块注入到QQ浏览器进程中，而且百度杀毒的WebSafe多个模块也注入了QQ浏览器中，可QQ浏览器并没有因为百度杀毒网页安全模块的注入，获得URL的拦截功能。


     说到这里我就必须吐槽一下，既然能把BrowserDefense浏览器保护模块注入到QQ浏览器中，那为什么不能把WebMonBHO模块改为注入方式插入支持的浏览器中？这样百度杀毒的URL防御不就摆脱BHO了吗？而且也不需要WFP驱动的支持，这在技术层面应该不难完成才对啊。

     还有一个让我好奇的地方，百度浏览器保护为何不支持火狐浏览器的设置防护？在BDIC中并没有对火狐浏览器的支持，BrowserDefense也不会注入到火狐浏览器进程中，百度浏览器保护只是支持保护火狐浏览器作为默认浏览器的防篡改，其他功能不支持，这个很奇怪，毕竟国内用火狐的用户也不少啊。

     百度杀毒的WebSafe模块和下载保护模块，都是支持火狐浏览器的，就是浏览器保护和URL防御功能，不支持火狐浏览器，所以浏览器保护是不是有一点支持不到位？


     为什么不把百度杀毒自身的WebSafe组件与百度浏览器保护组件合并一下？模块化功能虽然好，可这样的资源占用确实是有一点得不偿失，我个人觉得二者合并会更好一些，而且把BHO模块改为注入模块，这样URL防御就可以在没有WFP驱动的情况下，也能支持更多的浏览器了。

     我有一个怪癖，不喜欢的东西就禁用掉，由于百度浏览器保护不是URL防御功能的支持，还有BPService进程，所以我在BrowserProtect文件夹下双击百度浏览器保护组件的卸载程序uninst，把浏览器防护卸载了。


卸载百度浏览器保护以后，BDIC和BDPaHlp两个驱动也会被卸载。


百度浏览器保护被卸载以后，百度杀毒的主界面工具中会提示浏览器保护破损，不要点击它，要不然会重新安装。


     不过我不建议卸载百度浏览器保护组件，毕竟是一个不错的功能组件，我只是希望它能进一步整合功能，获得URL防御的效果，进而支持各大浏览器，这样就不会让百度杀毒BSB平台浪费了。

本主题未完，下一楼更精彩！

驭龙

第五章：缺失利爪-犬牙未全

     本章的本质内容是说出百度杀毒现在的不足，不是简单的说弱点，而是真真切切关于安全方面的弱点和不足，因为其他功能再好，安全功能不完整也是没有太大意义的，毕竟百度杀毒再怎么说也是一款安全软件，这方面做不好，何谈占据更大的市场份额？所以本章我会毫不留情的说一说百度杀毒的安全功能不足，以及抗病毒测试内容。
     但是我测试的只不过是几个病毒而已，并不是海量病毒的测试，因此本测试仅供参考，也未必是百度杀毒5的真实水平，所以大家不要把本测试视为正确的，也不代表百度杀毒仅此而已。

第一节-勒索加密威胁测试

     勒索加密威胁是现在极具挑战性的计算机病毒之一，因此本节测试的病毒就是它，本次测试的时间是2016年1月10日下午和晚上，其中几个新鲜样本取自样本区墨家小子发的样本，我太懒所以并没有去自己抓最新型的加密勒索威胁。

     断网的情况下，我双击一个之前我自己抓的加密勒索威胁，雪狼引擎阻止威胁运行，之后我再解压更多的自己抓的加密勒索威胁，其中有一个是在一开始联网的时候解压，所以有一个是云CAV引擎报毒，其余全部是断网测试，触发了雪狼引擎BAV报法。
断网雪狼引擎，BAV报法监控拦截加密勒索威胁。


测试日志，标记框内第一个是联网云杀，其余是断网的WisdomEyes报法和BAV报法杀。


     拿一个2016年1月10日样本区，墨家小子发的最新一个加密勒索威胁，联网状态下双击，结果是百度杀毒5的云引擎、雪狼引擎、慧眼引擎，没能识别这个威胁，样本提示文件已经被加密，开始勒索我了。


     测试之前，我在虚拟机系统中放了doc和docx这两个文档文件，为测试百度杀毒是否能够阻止加密勒索威胁，加密个人文档内容，遗憾的是在10日晚上的测试中，两个文件被加密，百度杀毒5功能全开的情况下无拦截，不过没有开BitDefender OEM引擎。


     上面的测试可以看出，百度杀毒5的雪狼引擎和慧眼引擎，是能够识别一定数量的加密勒索威胁的，但遗憾的是需要威胁特征才能识别加密勒索威胁，如果是最新版本的加密勒索威胁，百度杀毒5的防御并不理想，而且云主防也完全没有识别勒索样本的加密行为，这确实是比较遗憾，所以希望百度杀毒以后能进一步提升对该类型威胁的特征提取和识别！

第二节-可怜的主防效果

     接下来，我们继续接下来的内容，可以这样说吧，在上一节的内容中百度杀毒5的表现并不理想，虽然能依靠雪狼和慧眼杀一些加密勒索威胁，可对于特征不匹配的加密勒索威胁，基本上没有什么太好的防御，文件被加密勒索威胁加密了，这一点云主防的效果真的不是很理想，为了测试主防，当晚（2016年1月10日）我还做了测试主防的测试，大家来看看当时的情况吧。

     当晚的十三个样本是取自墨家小子样本区发的样本，其中包含上一节被加密的加密勒索威胁，按顺序是这些样本一起双击的，只是这部分被我改为第二部分的内容发出，所以时间上这里的双击时间早一些。

十三个样本压缩包，扫描确认没有威胁。


解压以后云杀一个，实际上剩余十二个样本测试。


     测试过程中，是全程联网的，功能全开，而且网络正常，监控也开了扫描全部文件，以及慧眼引擎的实时监控，在这个状态下快速双击解压以后的全部样本，其中有的已经自动退出并且母体自我删除。


其中一个样本的运行过程中触发云主防的询问，选择拦截。


一个样本的衍生物添加启动项被云主防提示，选择拦截。（其他样本的衍生物启动项没有被提示）


     通过PC Hunter工具查看，那些样本的衍生物都添加启动项了，包括第一节内容里的加密勒索威胁的启动项，一大批的启动项没有被百度杀毒5主防识别，当然也不必惊讶，这种KBXXXXXX样本的启动项过了好几个主防的防御呢。


     饭友vm001发现一个问题，一条命令行就把系统的密码和用户名更改了，我随便测试了一下，百度杀毒5的主防果然无法防御，虽然这个需要获得UAC权限，可很多人是关闭UAC的，所以百度杀毒的主防确实是应该防御一下这类调用命令行。

饭友vm001提供的命令：
[mw_shl_code=css,true]net user %username% 123456 /fullname:"<要密码联系QQ百度杀毒>"[/mw_shl_code]

百度杀毒5 功能全开，联网状态下，命令执行成功。


重启需要登陆密码，密码设置成功，也就是123456。


不过CMD执行这个命令的时候需要提权，必须获得UAC许可，才能成功执行命令。


     通过简单的几个小小的测试，百度杀毒5的主防，现在真的是有一点不够强大，真心的希望百度杀毒在提升Bav Engine 体系查杀效果的同时，也能提升百度杀毒云主防的效果，当然如果能把百度杀毒国际版的主防彻底融入到百度杀毒未来版本，那一定可以缓解百度杀毒主防的问题，所以我真心期待百度杀毒未来的版本能在主防和智能本地主防方面有所突破。

第三节-病毒对抗测试

     本节的测试还是有一点刺激性的，因为我用三大当前流行的威胁，来测试百度杀毒5的修复和对抗病毒的能力，三大病毒分别是最难搞的Zbot样本和感染型Parite病毒，以及PWS盗号的Fareit病毒，这些样本都是我自己在测试之前抓的样本，测试时间是2016年1月11日下午，其中Fareit和Parite样本被雪狼引擎识别，这个还是赞一个的。


关闭百度杀毒5的实时监控，也就是文件监控以后，双击Zbot威胁，Zbot的母体进程还在。


全过程百度杀毒5毫无反应，云主防没有拦截行为。

PC Hunter工具查询，经典的Zbot启动项风格成功添加。


     接下来的双击了其他两个威胁，进行快速扫描，在等待快速扫描的过程中，Parite威胁篡改系统内存被百度杀毒5询问，我选择阻止，之后没有什么弹框了。


     等待快速扫描完成的时候，我再次双击Parite威胁，不可思议的是主防拦截了，同时快速扫描中说发现Parite威胁，当我选择阻止Parite运行的时候，快速扫描中出现的Parite就消失了。


     快速扫描也就是闪电查杀完成以后，并没有发现威胁，这个有一点遗憾，更遗憾的是我忘记截图了，不过有一点不错的是Parite没能感染系统文件，这是让我满意的地方，可惜Fareit病毒的行为并没有被主防识别，这是比较遗憾的地方了。

     简单的测试，让我们看到百度杀毒并没有被激活的Zbot干掉，也没有被Parite感染，可却无法依靠主防防御这些威胁，尤其是Parite样本，为什么在第二次双击的时候才被主防识别？我也没有弄清楚为何这样。

     这次的测试有一点粗糙，因为我没想到百度杀毒5的主防没能拦截这几个样本的行为，所以本测试仅供参考，今后的章节可能会有补充的测试，不过说心里话百度杀毒的主防确实是应该更新一下了，国际版的主防快一点融入吧，要不然只是依靠雪狼引擎，还是略显不足。

第四节-引擎的优先级问题

     我本来是想测试一下百度杀毒有没有之前的一个毛病，那就是第一次扫描以后，第二次扫描还能发现威胁，不过这个问题已经没有了，这个不错，可我却发现了新的问题，扫描测试用的是精睿包十一月份的5个包，250个样本，之后的测试是这样的。

联网状态下，扫描发现166个威胁。


杀166样本，剩余是115，修复的样本是31个。


166样本中有98个CAV云杀。


68个雪狼引擎的Bav杀。


17个WisdomEyes引擎杀。


     这看上去没有问题，重复扫描两次也没有再发现威胁，可问题是接下来的继续测试，接下来是先断网仅使用雪狼和慧眼引擎的扫描，然后是联网扫描剩余的样本，这样就会出现问题了。

还是刚才的250个样本，断网扫描发现137个样本，剩余是144，修复的样本依然是31个。


联网以后，扫描刚刚剩余的144个样本，云引擎CAV报法杀38个。


     问题出现了，之前的联网扫描发现166个威胁，可之后的断网扫描发现137个威胁和联网发现的38个威胁，加一起是137+38=175个威胁，这样是比直接联网扫描多发现九个威胁啊。


在断网扫描的137个威胁中，WisdomEyes大爆发，发现49个威胁，这是问题关键。


     百度杀毒的杀毒引擎优先级是CAV＞BAV＞WisdomEyes，一定是云引擎的优先级导致了第一次的联网扫描限制了WisdomEyes引擎，也就是慧眼引擎的效果，虽然说联网以后可以控制慧眼引擎的误报，可这不应该降低慧眼引擎识别威胁的效果啊，所以这个问题也是急需改进的问题。

第一次的联网扫描日志，之后两次补扫描没有发现威胁。


断网重新扫描样本的扫描日志。


联网以后对断网查杀样本的补杀日志。


三次扫描的日志文件压缩包。


     真心的希望百度杀毒以后能让慧眼引擎在联网状态下，也有断网状态下的扫描识别率，这样的话，百度杀毒的查杀效果一定会更强大，希望慧眼引擎的报法架构快一点更新，毕竟现在还是2015年6月15日的报法架构，已经半年多了，但效果真的还是不错的，期待更新！

本主题未完，下一楼更精彩！

驭龙

第六章：若想称王-前路漫漫

     前几章的内容中我已经说了百度杀毒5很多的不足和缺点，本章我给百度杀毒提几个功能建议，现在的百度杀毒5发展方向是查杀方面，却忽略了防御功能，可是防大于杀，正所谓防患于未然，才是反病毒软件的极致体验，所以百度杀毒5在防御方面还是有一些需要添加的功能，当然不仅是防御功能，我还会说一些其他的功能建议，希望百度杀毒能有更好的表现。
     首先我需要赞扬一下百度杀毒5的进步，在我个人设计的百度杀毒5中有的网络入侵防御，在真正的百度杀毒5中也真的有初步体现，不仅如此我说的防感染保护功能，也在百度杀毒5中有初步体现也就是国际版的Baidu System Repair 技术就是防御和修复的技术，所以百度杀毒的进步还是值得肯定的了。

第一节-防御之Exploit

     现在的计算机中毒除了自己下载程序可能是病毒之外，就是挂马网站的漏洞攻击，而大多数的挂马威胁是JavaScript威胁和篡改网页植入木马以及利用各种漏洞发起攻击，例如很多漏洞利用攻击是利用Flash播放器的漏洞，把威胁植入到访问挂马网站的计算机上，众所周知的是Flash播放器漏洞层出不穷，加上浏览器本身的漏洞以及系统漏洞，所以Exploit入侵是PC用户面临的主要威胁之一。

     因此百度杀毒在这方面的防御还是很薄弱的，也就是说除了依靠BSB平台的URL过滤之外，百度杀毒并没有专门针对Exploit的防御，所以我希望百度杀毒在这方面加以改进，尤其是对付0DAY威胁，不能依靠简单的入库和URL拉黑，而是从Exploit行为上进行深度防御。

     现在国外的安全软件厂商都已经注意到这个方面的防御，如赛门铁克的Intrusion Prevention System 入侵预防系统，就可以抵御很多Exploit入侵，卡巴斯基也在多年前加入了自动漏洞入侵防护功能，今年的趋势科技个人版产品和英特尔安全企业产品以及DrWeb都在产品中加入了Exploit Prevention功能，都是用来防御漏洞入侵的功能，可见这方面的重要性，因此我希望百度杀毒也能够增强这方面的防御功能。

     当然国内的环境可能不会有太多的0DAY级别Exploit攻击，但这不意味着这方面的功能没有用，国内的环境是很多人用XP系统和老版本IE力量，这些软件不需要强大的0DAY，只需要已知的Exploit就能攻击成功，因此在国内环境下更应该提升Exploit防御效果。
     虽然现在百度安全组件 1.2中有一定的Exploit防御效果，可还是需要进一步提升，而且在最新版本的Windows 系统上无法发挥效果，这也是急需改进的，希望百度杀毒今后有完整的Exploit防御体系。

第二节-防御之Ransomware

     现在的计算机威胁，除了之前说的Exploit，还有就是Ransomware了，也就是加密勒索威胁，而Ransomware常常是利用Exploit进入系统的，所以这类Ransomware可以说是防不胜防，Ransomware还通过垃圾邮件等手段入侵，因此中Ransomware的概率还是有的，也是当前最危险的一类威胁，百度杀毒也应该对此Ransomware威胁加以重视。

     百度杀毒现在只能通过雪狼引擎和慧眼引擎才能识别一些Ransomware，但无法从根本上阻止Ransomware威胁，前几章的测试中百度杀毒就没有防御Ransomware的加密文件，因此对付Ransomware不能单单依靠查杀引擎的查杀，而是需要使用其他手段防御这类威胁。

     防御Ransomware才是关键，否则文件一旦被加密就无药可解了，现在国外的防御手段有趋势科技的行为分析＋自动备份被加密文件，大蜘蛛的数据备份加密保护＋大蜘蛛进程启发分析，BitDefender那种仅允许办公软件访问文档和文件位置＋进程行为识别，这些都对Ransomware有不错的效果，另外还有专门的防御软件HitmanPro.Alert，所以百度杀毒也应该对Ransomware的防御提供更多手段，毕竟Ransomware针对的是个人数据，是极其危险的计算机威胁。

     我的看法是百度杀毒应该以备份文件为主，行为识别和主防控制为辅，来防御Ransomware威胁，毕竟百度的产品线中有极其强大的百度云盘，只需要把百度杀毒添加云盘模块，让百度杀毒备份用户文件到百度云，万事大吉了，Ransomware即使是中招也不怕，操作系统重新安装，恢复百度杀毒备份到百度云的文件，完美解决Ransomware威胁了。
     还有就是通过主动防御的行为来防御Ransomware威胁，这种技术就比之前说的备份方式复杂很多，但这也是必须要有的功能，这方面是一点一滴慢慢积累的，可以先用百度杀毒主防规则限制未知应用程序访问各种格式的个人数据，例如图片格式、文档格式、音乐格式等，这样也可以解决一部分Ransomware威胁，当然如果能真正的行为识别Ransomware威胁，那就再好不过了。

第三节-防御之Unwanted

     除了各种计算机威胁之外，一直处在灰色地带的软件，也是越来越多安软防御的对象，例如国内环境的流氓软件、捆绑软件、推广软件、广告软件、玩笑软件，都是十分活跃却令用户非常反感的，这些东西被统称为Potentially Unwanted Application即潜在不需要的应用程序，这也是百度杀毒应该注意的一个方向，它们虽然不是病毒却比病毒更让用户讨厌，也是当今互联网用户面临的一种威胁。

     百度杀毒5现在融入Baidu System Repair技术以后，虽然能检测告别PUA威胁，可效果依然十分有限，而百度杀毒的云引擎更是只能识别近似于威胁的PUA，大部分PUA根本不杀，这也是现在百度杀毒查杀成绩始终上不去的原因之一，虽然杀PUA会带来误报，可这真的是必须应该杀的东西，可以提供独立的杀PUA功能，用户选择是否开启，选择开启就需要接受误报的可能，让用户选择杀与不杀PUA是不错的选择。

     国外名列前茅的杀软大多数都是杀PUA的，其中Avira和ESET杀PUA一直很猛，它们的查杀成绩也一直不错，其他家也都有杀PUA，即使是最不希望出现误报的Microsoft，也开始杀捆绑软件和广告软件以及浏览器监视等等的Unwanted Software了，只是需要用户手动开启，而一些高危的Unwanted Software也是杀之而后快，因此Unwanted威胁已经是杀毒软件的必修课了。

     百度杀毒一直在努力的提升查杀效果，其中雪狼引擎和慧眼引擎都有不错的表现，虽然不能说是相当不错，但也已经是不错的查杀引擎，可百度杀毒的实际查杀效果并不是十分理想，其中一个原因就是针对PUA的查杀不利，如果能提升查杀PUA威胁，百度杀毒的查杀效果一定会更进一步，当然我更希望的是雪狼引擎和慧眼引擎进一步完善，查杀更多类型的计算机威胁，这才是重中之重，杀PUA只是辅助而已。

     如果百度杀毒有针对查杀PUA的Bav Engine 模块，让用户选择是否开启，那么一定会很受欢迎的，毕竟现在国内的环境就是这样，除了各种盗号和远程控制威胁，以及之前说的Exploit和Ransomware之外，就是PUA威胁了，所以百度杀毒如果增强这方面的防御，离用户心目中满意的杀毒软件就更进一步了，我很期待百度杀毒可以杀PUA呢。

第四节-防御之APTs

     上几节说的Exploit和Ransomware以及PUA都是有应对手段的，而本节说的是Advanced Persistent Threats 也就是高级可持续性威胁，这也是极其危险的计算机威胁，同时也是最难对付的威胁，这类威胁往往是混合型的采用先进技术隐藏自我，又有RAT等多项功能的威胁，其中最著名的有Stuxnet和Flame，窃取计算机信息也是APT的可怕之处，所以防范APT真的很重要。

     百度杀毒现在对付APT真的是没有什么好办法，即使是白加黑的远控威胁，百度杀毒也没有太好的防御手段，只有国际版有一些网络防御以及主防技术，才能防一些这类威胁，毕竟国际版的ND（Network Defender）还是不错的。

     国际上对付APT也没有什么统一的方法，其中赛门铁克的主动防御SONAR技术和IPS入侵防御系统以及防火墙信誉控制，才能防御一些APT，而其他的防御手段也有不少，TrendMicro的云大数据分析响应也就是Smart Protection Network智能保护网络，McAfee的Global Threat Intelligence 网络连接信誉，以及ESET的Botnet Protection，这些都对APT有一定的效果，但没有统一的防御方式。

     百度杀毒现在应该做的是快一点把国际版的主防和Network Defender加入到软件中，同时进一步加强应用程序联网控制功能，然后利用机器学习机制来解决APT，现在机器学习是一种对付APT不错的方法，而百度杀毒的WisdomEyes，也就是慧眼引擎可就是深度学习的启发引擎，这也是对付APT比较好的手段之一，希望百度杀毒的慧眼引擎再接再厉，能针对APT多下一点工夫。

     APT毕竟是针对性的威胁，虽然每个人受到攻击的可能性不一定非常高，但是这类威胁真的是不能忽视的，要知道用户最重要的就是各种密码和信息，而APT窃取的就是这些，所以对于用户来说真的很有伤害，希望百度杀毒能推出防御APT的功能。

本主题未完，下一楼更精彩！

驭龙

第七章：爪牙已现-追捕猎物

     作为评测帖，自然说不了关于病毒识别和查杀的测试，本章就是为此准备的，本章的查杀测试与以往的病毒包测试截然不同，病毒包的病毒不代表用户一定会遇到，因此我随机选择挂马网站和威胁下载链接，来测试百度杀毒的实际防毒效果，但由于个人原因抓毒时候没有逐一鉴证，所以某些链接没能打开，虽然完全可以替换别的链接，可那就代表是人为的选择，这有失公正，所以我没有补上失效的测试。
     当然本测试仅供参考，由于测试样本很少，所以不能代表百度杀毒的真实水平，第一节的测试是在2016年1月11日，使用我本地存放的病毒进行的小测试，其他三节的测试时间分别是17日、18日、19日，每次五个测试地址，这些地址确实是全部都是威胁，只要能打开就存在威胁，浏览器是IE 11，没有开启增强保护模式。

第一节-威胁类型小测

     在本次评测第三章的第二节时，我发现BavScanM模块能归类和特征区分多种威胁，例如：Test、Boot、Virus、Trojan、Backdoor、Trojan-Downloader、Trojan-GameThief、Trojan-Dropper、Trojan-Clicker、Trojan-Banker、Trojan-Proxy、Trojan-PSW、Trojan-Spy、Worm、Worm-Email、Worm-Net、Worm-P2P、Worm-IM、Exploit、Adware、HackTool、Joke、Rootkit、Packed，这些类型的威胁，事实上是什么情况？我们还是实际体验一下吧。

     我简单的选择几个类型的威胁进行测试，只是几种常见威胁，其实也可以测试更多类型，不过为了帖子的空间，我只是测试几个类型，我们简单看一下就可以了，不需要逐个类型都测试一下。

首先测一个宏病毒的Exploit，雪狼不负众望，连漏洞编号都识别很准确。


接下来这个Exploit被CAV识别，但准确性依然不错，让人满意。


Backdoor威胁也是重点威胁，慧眼引擎表现不错，WisdomEyes杀一片Backdoor威胁。


有的Backdoor被雪狼引擎报为注入威胁。


Bot威胁，百度杀毒只是杀一个，效果一般吧。


Inject威胁的话，雪狼引擎把其中的样本识别为Kryptik了，这个混淆统一识别家族，不算偏差。


WisdomEyes识别Inject的话，就还是清一色的通用检测名了。


扫描一下PSW威胁，慧眼效果不错，但慧眼无法将威胁分类。


Rootkits中大名鼎鼎的ZeroAccess威胁，只是被WisdomEyes识别，这确实是有一点可惜。


     简单的病毒类型识别测试，可以看出雪狼引擎是能够识别一些病毒类型的，而慧眼引擎是统一的通用名报法，在这次的测试过程中，虽然百度杀毒5对测试的这几个类型都有识别，可每个类型的样本还是有漏掉的，所以百度杀毒的雪狼慧眼仍然需要进一步提升效果，不过按照Bav Engine体系的特征库来算，小于10MB的特征库，能有这样的查杀水平，真的是值得大赞的了，希望百度杀毒再接再厉。

第二节-17日的威胁测试

     现在开始，连续三天的百度杀毒5对抗威胁测试开始，虽然耗时是三天的测试，一天五个威胁，但是我会一次性的全部更新上来，首先试一下，Windows 7 SP1系统没有任何补丁，浏览器是IE 11默认模式，百度杀毒功能全开，只是没有BitDefender 引擎。
WebMonBHO开启正常。


第一个是直接下载EXE威胁，下载保护的云引擎杀。


第二个是网页挂马，IE的SmartScreen拦截。


绕过SS警报继续访问第二个挂马网站，百度杀毒毫无反应。


第三个地址的域名与第二个相同，SmartScreen拦截，我们忽略以后，百度杀毒无响应。


第四个也是挂马网站，SmartScreen依然拦截。


绕过SS以后，百度杀毒又再一次没有响应。


第五个是压缩包格式的下载威胁，百度杀毒终于奇迹般的报告挂马网站，难得一见啊。


     五个威胁中，三个挂马网页，而且是国内的，百度杀毒并没有拦截成功，这个我个人还是觉得有一点遗憾的，另外我附上我实机系统上的卡巴斯基拦截情况，除了第一个EXE没有拦截，其他四个威胁，卡巴斯基全部拦截的，能够确认威胁链接没有问题。


     总结一下本节，百度杀毒5拦截了2/5的威胁，效果真的有一点一般，毕竟挂马的网站还是中文网站，这样的威胁识别率真的有一点危险，不过还好威胁没有突破IE 11的防御，要不然系统就不会没事了。

第三节-18日的威胁测试

     2016年1月18日的测试，依然是相同的系统环境，甚至是没有快照还原系统，这次依然是随机选择的五个威胁，由于前一天的百度杀毒表现，我真的有一点担心今天（18日）的表现，因为我是实事求是的评测，对此我还是有一点好奇百度杀毒这次的表现。

第一个是挂马网站，IE 11的SmartScreen没有拦截，百度杀毒网页保护没有拦截。


就在我以为第一个挂马网站拦截失败的时候，哇，雪狼引擎爆发，杀了下载到本地的网页挂马威胁。


第二个是EXE格式的挂马网站，很特别，SmartScreen拦截。


继续访问，浏览器不停的跳动，头晕眼花啊，雪狼引擎再次发威，还报是Ramnit挂马。


第三个挂马网站，SmartScreen没有杀，百度杀毒网页保护没有拦截，不过雪狼引擎又爆发，JS类的挂马。


第四个挂马网站，SS和百度杀毒网页保护都没有拦截，可是雪狼引擎再度弹框，说是网页的Ramnit挂马。


第五个是压缩包威胁，虽然SS拦截，可已经是失效的地址。


     18日的雪狼引擎这是咋了，17日的时候没有发挥效果，可这一次却拥有很强大的杀挂马网页缓存文件的效果，这真的是让当时的我惊呆了，难以置信的效果，附上隔离区截图。


实机系统的卡巴斯基全部拦截威胁，可以确认威胁链接正常。


     总结一下本节，百度杀毒的雪狼引擎真的是让我惊叹，它的表现完全让我出乎意料，没想到雪狼引擎会识别挂马网站的浏览器缓存文件，这确实是让我看到了惊喜，因为17日的测试让我有阴影了，完全没想到雪狼引擎会有这样的效果。

第四节-19日的威胁测试

     经历了17日的平庸，18日的惊艳，这样跌宕起伏的测试，我对这19日的测试充满期待，真的很希望见识到这一次会不会有雪狼引擎的大爆发？测试开始之前，我真的是很期待呢。

第一个是EXE格式的下载威胁，直接点击运行，SS和百度下载保护都没有反应。


这货成功安装到系统，弹框了，后台安装的流氓一个。


第二个是挂马网站，SS拦截。


继续访问，还是没有见到雪狼引擎的现身，IE进程占用CPU居高不下，百度杀毒无反应。


第三个是挂马网站，SS和百度全部失败，其实我的路由却拦截了（就不截图了）


第四个是挂马网站，是我的疏忽，这个在我们国内环境无法访问，唉，我的疏忽啊，抱歉。


第五个还是挂马网站，SmartScreen拦截。


继续访问这个挂马网站，百度杀毒毫无反应，没有拦截和查杀。


     连续三天的测试真的是大起大落，情节跌宕起伏，快赶上网络小说的风格了，不过我是实事求是的写，并没有针对百度杀毒而故意挑选地址，在测试之前，我真的是不知道百度杀毒的结果是什么。

     实机系统的卡巴斯基只是没有拦截第一个EXE小流氓，以及那个不能在国内访问的挂马，其余三个挂马全部拦截，因此测试地址是没有问题的，看来百度杀毒真的是喜欢跌宕起伏的表现啊。
卡巴斯基的测试是百度杀毒的测试开始之前。


     我已经把测试的15个地址打包放在附件中，切记这是病毒，不是正常地址，千万不要实机访问，这些威胁都是测试当天的抓取地址，我不知道现在是否还存在威胁，但我当时测的时候确实是威胁，因为卡巴斯基都报了。
测试的威胁地址：
解压密码：infected
请千万不要实机访问，否则后果自负。

     百度杀毒的表现真的是可圈可点，成绩也真的是太跌宕起伏了吧，与我使用的鉴证挂马网站是否有效的卡巴斯基相比，还真的是有一点略显不足，当然我没有开启BitDefender OEM引擎，这也是事实，不过我还是怀念以前使用卡巴斯基引擎的百度杀毒啊，跑题了，最后还是希望百度杀毒对付这些威胁的时候能有更好的表现，如果雪狼引擎能一直有18日的测试水平，那真的是太棒了，期待着雪狼引擎的进一步完善！

本主题未完，下一楼更精彩！

驭龙

第八章：勇于坚持-希望可见

     好了，到了该结束的时候，本次评测并不华丽也并不惊艳，只为朴实，现在在这最后一章里，我真的是应该称赞一下百度安全中心，因为现在国内安软界的环境，已经很少有一直在更新版本和完善安全软件本质更新的厂商，百度能坚持到现在，我真的是很高兴，希望百度杀毒能继续坚持，把百度杀毒做的更强大。
     百度安全中心真的是值得一赞，为什么我会这么说？那我们就来看看本章的具体内容吧，之后你就会明白我为什么会这么说，为什么会称赞百度安全中心了。

第一节-不断进步和完善

     一年前，我在百度杀毒V4的测试中提过几大建议，一年（十个月）过去了，百度杀毒V5出现了，那么我之前的建议都怎么样了？其中原文在这里，我就不复制内容过来了，原文地址。

     变化一，之前百度杀毒V4慧眼刚刚发布，没有融入到实时监控，而百度杀毒之后的V4.X系列，就把慧眼引擎融入到监控中，这是我之前建议的内容，也确实是实现了，还有就是InMemory的监控，虽然没有封杀威胁，但主防确实是能识别威胁在内存中的一些行为。


     变化二，虽然还是BHO方式的URL过滤，但流量监控已经在逐步完成，相信以后的百度杀毒一定不会再需要BHO来支持URL过滤，百度杀毒真的开始准备使用Windows Filtering Platform驱动方式的过滤，现在已经初步开始。


     变化三，脱离小UI了，回归大屏UI，终于不再是小不点，大屏PC终于是舒服了，之前的UI迷你为什么出现，我也不清楚，虽然我说应该统一风格，可大屏还是用大界面比较好。


      百度杀毒V5实实在在的接受了用户的建议，这也确实是值得称赞的，我希望百度杀毒继续坚持，能把更好的安全软件带给用户，到时候我也不会再去玩国外的安全软件了，百度杀毒我看好你哟！

第二节-勇于坚持！加油

     在国内杀毒软件市场格局基本稳定的情况下，各大厂商都是在完善产品的稳定性和日常维护，而百度杀毒却一直在坚持研发新技术和完善新功能，这真的是难得可贵的地方，真的是不容易啊，加油。

     要知道百度杀毒的版本更新，现在应该是比较快的了，虽然有人说更新只是刷版本号，可我真的不这样认为，就如同现在的百度杀毒5，它的变化确实是已经很大了，所以百度杀毒的坚持更新也确实是做的很好。

     我发现现在的百度杀毒雪狼引擎更新也很快，这也是一个好兆头，毕竟雪狼引擎的效果真的不错，希望继续坚持雪狼引擎特征库的更新频率，让百度杀毒的雪狼引擎继续保持不错的效果。

第三节-融合的开始

     百度杀毒V5已经开始国际版和国内版的融合，这意味着拥有国际版防御和国内版引擎的合体安全软件，很快就有可能在未来出现，说实话我个人真的是非常非常的期待，百度杀毒国际版和国内版进一步整合的版本，这也是我期待已久的事情。

     虽然说国际版的研发人员有流失，可毕竟还是有留下的，更重要的是百度杀毒国际版的源代码，应该是不会因为研发团队的部分离开而发生变化，不说未来的国际版情况，就是说把国际版5.X版本的功能源码插入到未来的百度杀毒中，那百度杀毒也一样值得期待，更何况还有一部分国际版的研发人员在，所以我并不担心百度杀毒未来版本不能获得国际版的功能，我相信会有合体版本出现的。

     百度杀毒之后一段时间，必然会有百度杀毒V5.1或者5.X的版本更新，看着吧，那时候的百度杀毒我个人猜测会完善主防和改变URL过滤，而未来的大版本，一定会是真正的融合版本，也会完整的支持Windows 10操作系统，这虽然是我的猜测，可我真的相信会有这样的百度杀毒出现。

第四节-百度杀毒再见

     到这里，我们该说再见了，但是再见不代表着结束，而是代表着下次的开始，我相信以后的百度杀毒与我们再见的时候，一定会又有新的面貌，我期待着与你的下次相见，百度杀毒！我们不见不散哟。

     感谢大家对本次评测的支持，谢谢各位饭友，你们的支持才是我写帖子最大的动力，如果我以后有时间，一定会带来更多的帖子跟大家分享，只希望大家不要烦我哦，感谢大家对我和本次评测的支持，谢谢！

     最后，快过年了，我驭龙在这里提前祝饭友和百度安全中心全体人员，新年快乐，在新的一年里，开开心心，心想事成，也祝百度杀毒越来越好，期待着你更大的进步，我看好你，百度杀毒！加油吧！

本主题完，感谢大家的支持，我们下次见！

wit守护

第一个。。。

白露为霜

前排支持