360安全卫士6.1beta & 360杀毒软件1.0.0.1069体验测评

白羊座

本来想和360工作人员沟通的，但是怕人家一吹牛我也受到影响，还是按自己的意思发文章吧

测试环境：win7 RTM x86（实机） win xp sp3 MSDN（Vm虚拟机）
Notebook:DELL 1420
CPU：Intel Core2 T7100
RAM:4G kingstone DDR2 667
HDD:TOSHIBA MK1237GSX
测试对象：360安全卫士6.1beta & 360杀毒软件1.0.0.1069
测试方式：体验测试，故主观内容较多

360，一个号称有2.5亿用户群的软件厂商，一个喜欢曝光自己把自己放到风口浪尖接受口诛笔伐的厂商，一个拥有着号称国内最优质的网络安全人才却被造出被人鄙视为没有技术的软件的厂商……关于360的流言蜚语，口水枪文，自从其携免费之势冲进中国用户桌面之后，就从来没有停止过。
曾几何时，我也对360一直抱有不屑一顾的态度，因为无论我在哪台装有360的机器上做事，360始终坚持它鼠标杀手的本色不停地弹窗打断我的工作。从那时起，我对360就一直没有什么好印象，之后网上又风传出360流氓性质的一些所谓“驱动门”事件，使得“低级软件”的印象更加深入我心，甚至在自己电脑上绝不安装360之类的想法都是有的。

但如果对待一个软件一直都这么主观，甚至一直用陈旧的目光、用固化的思维去观察和思考。那我真的可以说是白来卡饭一遭。卡饭有一个倡议就是，“公正、客观得对待一款安全软件”，作为论坛特殊组成员，这其实还是一个基本的考核要求。因此虽然360的广告我一看就是吹牛的，但是我还得去用它，看了疗效，才知道那牛是怎么吹的，夸大了多少；同样，我只有去用它，才知道之前的流言蜚语有多少是真的，被添油加醋了几何。当然，最主要的还是想弄明白一件事，360对不对的起它的2.5亿用户。

究竟是佛还是魔，咱得拉出来遛遛才知道啊。

本着先来后到的原则，当然是先看看上市多年已经成为成熟产品的360安全卫士啦

先来看看它的主界面


大家都很熟悉了吧，感觉还是比较清爽的，只是右侧的那些链接的内容不是AD就是口水。没办法，人家是免费的，不给AD不能活啊

乍一看上两栏都是整排的功能啊，貌似主界面上除了那个体检之外没啥别的东西，真的没有么？未必，摆明了还有升级和设置呢

升级没啥好说的，咱来看看设置

找到一个亮点，P2SP加速，呵呵，谁都想升级快点啊，而且默认就是选上的。有人说这个开了不安全，会下到木马、病毒，泄露用户隐私啥的。
我保证说这话的肯定不会用迅雷、BT、电骡，因为那些在他们看来都是好危险的东西啊。反正说会中毒的是他们不是我，所以我还是开了。
那么360的加速会上传些什么呢？能不能自己控制上传速率呢？
当然可以！人家就给你选择的机会了，不信这个看下图

这个选项框是不是很不错，如果你能找到这个框，那一定也看到了360在上传些什么，又通过P2P加速下载了些什么，图我就不截了
什么？你说这是做出来骗人的？它其实还在后台偷偷上传？你要这么说，我只能说也许真的是360工程师比较弱智，喜欢后台偷偷上传的同时做个UI出来骗骗人，要是他们也有你这样的能发现后台偷偷上传这么高深的技术，是不会做这么愚蠢的事来欺骗你这样的高手的

[ 本帖最后由 白羊座 于 2009-11-24 12:05 编辑 ]

白羊座

大家平时用360最多的是干嘛的？打补丁……我听到最多的说的就是打补丁的事
打补丁当然是很重要的，那么用360打补丁效果怎么样呢？
先说说漏洞扫描吧，实际上任何一个第三方软件都无法达到Microsoft Update那么的准确
不过貌似360做得还算不错，虽然很生硬地说我没有安装outlook的垃圾邮件筛选更新
冤枉啊，我压根没有装outlook，我的office虽然是Plus但是我是选择安装的
不过貌似微软也要求我装，所以也不能怪360
至于第三方软件漏洞，在xp的虚拟机上扫出了flash的漏洞，手头没有可参考对比的软件，只能说360有这个功能，至于怎么样，不得而知
功能上如何？先看看360给的设置选项

根据360自己的描述，补丁下载是用P2P加速的，所以肯定不慢，实机打补丁的时候下载速度确实也相当的快
补丁文件可以设置下载路径，是否删除，比起系统的来说可定制性更强
下载同时安装，节约相当多的时间，基本上下载完也就安装完了，这个确实很好的功能
至于自动静默安装，关闭自动更新，是分别针对懒人和D版用户的，我就不需要了
最令我暴汗的是360镜像服务器上的补丁，居然和原版的补丁截然不同，是360自己制作的补丁，用于一些情况下安装微软原版补丁失败的情况
猜想应该是分析了补丁包之后，按照补丁包原样替换文件，修改注册表和系统设置，至于会不会造成不稳定，是不是完全等效于原补丁，这就不是我能知道的了。反正原版补丁装不上，用户也只能死马当活马医了……

清理插件功能
确实挺实用的一个功能，中了恶意插件可以用来自救下，不过我眼睛比较毒，发现一个乌龙的地方，明明说评分低于6是恶评插件，可是那个插件好好的在“其他插件”一栏中呆着……

至于清理垃圾、清除痕迹和修复IE，这些都是相当基本的功能，我只能说，360有这个功能，作为辅助软件，它应该有
当然其中一些细节上的提醒也没有少，还是比较人性化的


[ 本帖最后由 白羊座 于 2009-11-22 22:31 编辑 ]

白羊座

木马云查杀
360号称有超强的云查杀引擎，速度超快，广告中说是快速扫描只需几秒、全盘扫描一分钟（360官网说的，不信可查）
真的这么神么？
先做了一次快速扫描，确实很快，首次运行2分钟左右，再次扫描只要20秒左右，图没截，不过确实算是快的了
然后是全盘扫描，首次全盘云查杀（在线）用了21分钟

第二次云查杀（在线），4分半，确实相当快了

不过，发现网络数据很少

上传数据才1207个包，也就是说，与360服务端交互的数据很少，不过也难怪，云查杀，服务器返回的只需要一个判断结果
至于是不是本地机器提取文件特征——>上传对比——>接收结果，我想说也许是，反正不可能上传文件，但是这个上传的特征是什么？
个人感觉就是类似MD5值的文件指纹再加上文件名和文件位置等信息，否则绝对做不到如此的迅速，而且只有这样的特征，才符合Zhudongfangyu.exe的特点

看，没有本地特征库，又要缓存数据，还有文件审计技术，我只能联想到MD5了（或者别的类似的文件指纹技术），不然一切依靠zhudongfangyu.exe加速的逻辑我都想不通，希望360能有工作人员出来说说看

之后我还补了一次离线云查杀，看看完全只有本地备用库时候的情况

3分半，果然更快了，是缓存技术起的作用，还是不需要网络数据交换所以快了呢，这个恐怕没人知道了
至于云查杀的上传数据，很透明，也很明确，只有dll、exe、sys之类的可执行文档会被上传

至于云查杀的表现，反正不是用来独挡一面的，所以要求倒也不太高，去样本区淘了两个检出率均极低的样本，360杀毒全部无视
但是云查杀却查出来了，看来云也有云的优势，对新样本反应确实很快。在用360杀毒追踪测试卡饭样本的时候，云查杀总能在360吃剩的样本中再查出3-5个来，作为补充，效果确实不错了



[ 本帖最后由 白羊座 于 2009-11-23 10:05 编辑 ]

白羊座

关于实时保护模块
实时保护模块是注入到其他进程中运行的，在很多进程中都会发现360的safemon.dll

其核心防护是最新的系统防火墙2.0

免打扰模式的设计算得上人性，恢复阻止的进程和服务也给了大家一剂后悔药
随便测试下效果，开个chromeplus设为默认浏览器，系统防火墙果然弹出提示

说得很清楚，如果是主动设置，请选择允许，如果你一段时间不操作，会默认阻止掉

当然我要允许，但是我不想信任chrome，所以我点了更多选项

详细模式允许你针对每一个注册表键值单独设置允许与否，你也可以针对设置默认浏览器这个一系列动作做出允许，选择第一项并选择以后都按此操作执行即可

一次允许后，关于默认浏览器的设置都会自动允许，不会再弹窗
你也可以在这里找到一些自己以前允许的程序白名单

当然还有很多的启动项、设置项和加载驱动也是系统防火墙的监控范围
只不过时间有限，我也没有做很深入的测试，以上所说的是测试了，确实有拦截，至于是否全面，也没有深究
可能对付病毒木马稍显单薄，但是在防流氓软件来说，这样的拦截强度已经足够了

实时保护中还有个倍受关注的自我保护模块，开着自我保护的360当然是不能被R3程序结束的，不过自保真的只有不被阻止这么简单么？当然不是，我们看图说话


有没有发现两张图的变化？我指的当然不是那个开和关的地方，仔细看，关闭自我保护之后360的字体都变了
为什么呢？因为我的机器上有GDI++，自保护开启时，GDI++无法调用360加载字体，也就是说360在R3层上拒绝了不明程序的注入
把自己都框起来了，果然自保还是很牢靠的，号称第一强大的自保，果然不错
用任务管理器、taskkill都无法强制结束，用消息洪水攻击也无效（不过据说win7上消息洪水本来就失效，不清楚），360的3个主要进程都很稳固
但是那个zhudongfangyu.exe就不怎么样了

手动用任务管理器结束，会给你选择，看上去病毒、木马应该结束不了
不过我用windows优化大师的进程管理器（手头没有别的r3进程管理器了）还有HIPS测试工具集中的killprocess（killproc.exe）都直接结束掉了
而这两个东西对付其余360进程均无功而返
看来360并没有给这个进程足够保护，那么所谓的文件审计防木马修改文件恐怕也靠不住了

[ 本帖最后由 白羊座 于 2009-11-23 11:54 编辑 ]

白羊座

再进入高级工具集看看（一些功能和软件关键的有重复，一起说说吧）
首先雷到我的是启动项管理

就两个？！god我不用请其他工具出马，看看软件管家的启动项管理（那个貌似叫开机加速）

18个项当然指的是去除系统服务之后的数量，这个上面我不会去和360较真，但是前后一对比，高级工具中的启动项比起开机加速中的项目，实在……
没有计划任务（真没有，找不到）、没有第三方服务项（虽然在旁边能看到但不直观），真不知道这个模块是360的谁负责，居然如此大意
没有计划任务估计是整个高级工具模块的通病，在一旁的系统全面诊断中依然没有计划任务的启动项，难道计划任务不可能被病毒木马所用？
而且整个高级工具模块中乌龙不断，实在不敢称他高级，360安全卫士所有模块中，这个模块毫无疑问可以给出最差评价


自家人不认自家人，差点把我雷焦掉

只认哥哥不认弟弟，这明明是一家子啊

对这个不是默认值没错，但是你觉得这个有问题么，我觉得这个项目直接给安全的评价10个人中不会超过2个人反对吧

还有这个，一家四口3个都认证了为啥偏偏就少了一个


再来看看，同样是进程管理，高级工具和软件管家中都有，觉得有点重复了

看到上图的红框了吗？点击这个标签不能排序，而在高级工具里，是可以排序的


高级工具集，不适合新手的东西



只有3个按钮，感觉少了一个，果然在安装目录中被我找到了隐藏NPC

很有意思，不知道为啥要藏起来，难道是和win7不兼容？

还好，软件管家给我的印象不错
至少在设置上给了用户一定的自由

提醒功能不错，当然如果你从不看提醒，那能怪谁

传说中非常流氓的两个图标，其实在这里可以取消掉

总体来说，360安全卫士就这些东西，如果不是高级模块中那些莫名其妙的低级失误，我可以给它打个80分左右的分数
但是那些失误实在说明某些360的人不上心啊，有技术，不能落实到产品上，不能着眼于细节，整日高高在上的炒作概念，宣传下载量……
还有他捆绑了360安全浏览器的安装文件（360杀毒也有），考虑可谓周到之至，都不用用户再下载了,不过TW我用不惯，所以就没装
总体评价 70分 木桶原理体现无疑，作为辅助工具，值得一样
下面进入360杀毒的时间

[ 本帖最后由 白羊座 于 2009-11-23 14:22 编辑 ]

白羊座

360杀毒，一个庞然大物，安装包65M，还算中等，但是195MB的磁盘占用相对于360杀毒纯杀软的功能来说确实不小
发现在plugins文件夹下有个cache.000文件，100多M，explorer无法删除，挂接的进程是360杀毒实时防护服务
估计可能是专门为监控设计的一种优化过的毒库，也可能是类似文件审计用的文件结构数据库，这个只有360工作人员才知道了，我也不继续瞎猜了

360宣传杀毒的时候说的最多的就是不卡，我用下来确实不卡
先上图看看静息和扫描时的资源占用（连360卫士一起的，我可不认为单奔360杀毒有什么安全可言）

占用内存确实不多（峰值工作集仅供参考用）

扫描时候的cpu占用也尚可，内存占用的增幅也有限
而且没发现360杀毒向其他进程里插入模块，当然360杀毒也有3个驱动（与360卫士加起来总共8个驱动在启动项中，其中7个开机加载，一个360杀毒的驱动在扫描时加载）关于驱动问题我不想多说，安软带驱动太常见了，没啥好争的，卡巴光文件过滤都用俩驱动呢。以前的什么流氓驱动一说实在搞不懂，如果你是说关闭服务就应该同时卸载驱动，那我说加载卸载来回倒腾几次，系统还有稳定性么，你以为你在做稳定性测试……


这是在我机器上的一张快速扫描报告的截图，可见快速扫面的位置是固定的，内存、引导区+%systemroot%中的一部分
注意图中的3个目录扫描时候是不扫描子目录的，所以日常的全盘扫描或者C盘的全面扫描不可少

至于全盘扫描，速度还算不错，用了1个小时，设置和上图是一样的
在我机器上曾经有用EAV4做过全盘扫描，C盘全盘是11分钟，所有硬盘是48分多（全局最高启发）
考虑到360控制了扫描时的cpu占用，这个成绩应该算相当的不错了


关于实时防护

3档式的快速防护调整很直观，也很有新意
我特地用kafanvirulist的样本测试了下3档防护的区别
首先是基本防护下

冷汗直冒啊，一个都没有检出，看来360说的是真的，不运行不拦截（我用鼠标选中了，依然不拦截，当然我没敢双击，这可是当天的新鲜样本啊）
然后是中度防护
果然弹窗了

为了看截图效果我把监控处理调成了删除，下面是结果

是不是少了很多了，都被删除掉了（有关监控处理的设置后面会详述）
严格防护和中度防护的结果完全一样，估计严格防护更多情况下只有在病毒活体运行起来后才能有作用
不过，监控和扫描的结果不同，扫描完毕后有发现了两个带毒样本
一个是NSIS安装包封装的，一个是7z压缩的，莫非360的监控不对压缩文档进行?
一时找不到合适的样本我就用360误报的我的几个解马工具来测试吧（我真是太xe了，嘿嘿）
解马工具我是排除掉的，现在复制出来，报毒，zip压缩后复制出来，无反应，右击扫描，报毒（监控开到严格防护）
所以我的猜想是正确的，360确实不监控压缩包文件（不上图了，自己测测就知道）

[ 本帖最后由 白羊座 于 2009-11-23 23:24 编辑 ]

白羊座

看杀软好坏看哪里？查杀、引擎等都是浮云，被针对的时候主防也救不了你
对于用户而言，友好的界面，直观的设置才是最主要的
下面就看看360做得如何吧

这两个钩默认没有勾选，我建议大家还是加上，虽然影响扫描的速度（好像钩了rootkit的话扫描会多加一个驱动或者服务，没看清）
不过扫描的时候大家也不是那么在乎速度吧，毕竟安全第一
而且rootkit扫描本来就是360的强项，安全卫士在云查杀时候就使用了深度的rootkit扫描技术，在这一项上，说360在全球范围领先都绝对不为过

默认只监控程序和文档文件（是后缀名检测么？我又用网马解密工具xe了一把。这次我把报毒的Alpha1.exe改成了mp3，监控华丽的无视了……囧）
所以还是建议大家监控所有文件吧
这里有一个设置比较有意思，监控允许直接删除或者拒绝访问文件（当然是先清毒，清毒失败后的动作），一般来说我推荐禁止访问，虽然被删除的文件其实都在隔离区中（下图），但是系统重要文件也有可能会被误报，为防止意外，还是禁止访问吧



嵌入式扫描

为啥是扫描呢，前面说过了，360对压缩文件没有监控，所以对于IM间的文件和U盘中的文件，必须通过扫描才能保障安全
这个设计主要还是体现了简单的入口防御的思想，而不监控压缩包也给系统减轻了负担，安全与性能兼顾，这点上360做得不错

白名单实在是没啥意思，要保住自己的注册机，以及网马解密工具啥的（又是它，呵呵），必须要添加白名单啊，谁让360没有一个按钮叫做上报的呢（囧）
下面是我认为360杀毒最出彩的免打扰模式了

可以自动进也可以手动进，主要是会把防护调成基本，而且没有弹窗了（基本防护如何，上面说过了，不运行不查杀）
表面看起来很不牢靠，其实是非常贴心的一个设计。毕竟只要是在库的病毒木马，在基本防护下也是不能产生破坏的，不在库的木马，开严格保护也白搭
进入免打扰模式后，监控带来的性能下降彻底被释放，无论你是在游戏、还是全屏看高清电影，都能提升用户体验，避免不必要的卡机
而且360的免打扰自动模式检测全屏程序非常之敏感，用QQ截屏一下都会自动调为免打扰模式
而手动进入免打扰也是挺不错的，平时设成中度防护，这样可以通过右键快速在两档防护间切换，不上网不下东西的时候完全可以直接免打扰，节约系统资源,上网时候再退出来就可以了。可以说免打扰模式的设计真正体现了用户至上的设计理念，可以给360杀毒整体设计带来加分。

其它选项中就是是否随windows启动（这个随你）是否自动更新还是自定义更新时间，还有一个计划扫描功能。不过计划一般企业用得较多，个人用户也用不上，这里上一张图，看看360的自动更新的问题

每小时一次，并没有什么特别的类似脉动这样的不定时更新的技术，不过不需要升级就不需要升级嘛，干嘛老说升级失败，吓人呐

在上一张图，更新的时候360是不能扫描的，不过监控依然有效，这又让我想起了那个cache.000文件，估计监控用的库真的就是真么回事
为啥不能扫描？当然不能扫，库不完整呗……

又被我逮到GUI上的瑕疵，每天第一次升级后下面的毒库日期不及时更新，要重打开UI才有效
不过没关系，不影响使用

总结：360杀毒除了磁盘占用比较离奇之外其余均可谓短小精悍，在查杀率上基本达到准一流水平（可参见测试区成绩），误报的多为特殊工具，基本上控制得不错，加上设计上很多地方注重用户体验，对系统影响极小，可谓老少皆宜的普适性杀毒软件
缺点也很明显，功能过分单一，防御毫无立体感可言，建议搭配360安全卫士一起使用，效果会更佳（貌似在有的系统上360杀毒的自保还得靠卫士，汗一个）

总体评分 75 中等偏上，值得一用

[ 本帖最后由 白羊座 于 2009-11-24 11:24 编辑 ]

甜酸排骨

360现在的确已经在很多人的桌面占据了很大的一个地盘了

灰灰鸟

360安全卫士尤其是最新的公测版已经集成了很多功能，如果真的能把里面的每一个功能都做到极致的话那绝对无人能敌。但关键是这些功能都不强…………
如果360的网页防火墙能像网盾一样……
如果360的系统防火墙能像毛豆的D+一样…………
…………………………
我只是说如果………………
其实360的功能绝对不算少了，不要再加其他的什么功能了，好好的把现有的功能进一步强化才是当务之急，而不是一味的扩展功能项目。
国产加油吧！

ikimi

奇虎的东东，怎么说呢？哎