Wednesday, January 31, 2007
俄罗斯反病毒传奇人物Dr.Web创始人Igor Danilov访谈
反病毒软件市场只是一个大泡沫”。
原文连接:
http://company.drweb.com/press/i ... ew+may+2006/?lng=en中文翻译校对 by 霏凡论坛 Cyberarmy 允许在保留原译者资料情况下转载到其他非商业谋利性网站
信息安全是信息技术市场里面最有活力的部分,过去反病毒软件曾经是市场投资者的首选。很多人习惯性觉得互联网充斥着众多病毒,需要一道强有力的屏障以保安全。与此同时,俄罗斯反病毒界的传奇人物,Dr.web反病毒软件的开发者Igor Danilov,把反病毒软件市场看成一个仅仅因个人电脑用户的恐惧而存在着的巨大泡沫。在本次访谈中,Danilov会与我们分享他对怎样才是真正有效的反病毒软件的看法,为什么Dr.Web失去了原有的市场垄断地位,公司如何在指望销售额增长外继续发展与生存。
问:你是俄罗斯反病毒软件市场的创始人之一,至今为止情况是否有所改变?
那时并没有任何市场,并且现在也不应该有。曾经有人试图创造类似的市场,但是今天的反病毒软件市场是一个大肥皂泡,这并不止是俄罗斯,还包括世界的其他市场。上世纪80年代末,90年代初当病毒刚刚出现时,每个程序员都在写病毒。这做起来既简单又迅速。如果有一个病毒——输入一个定义或校验值,扫描文件,检测到一个病毒体,对用户报告,仅此而已。后来仅仅报告已经不够:反病毒软件开始有了清除的功能。从此有了质的改变,当一大帮业余的反病毒软件不足以满足用户的需求时,它们就此销声匿迹。
这个改变把一群可以做全套病毒检测和清除的IT人带到了前沿。在1993年年中,出现了第一个可以对付多态变型病毒的反病毒软件,在差不多同时, Dr.Web变得家喻户晓。1993-1997年间,只有为数不多的反病毒软件被开发出来。在1997年末,五家厂商完全的控制了整个市场。这让我们后来的工作变的索然无味:互联网的扩张,导致病毒技术变得越来越原始。将一个病毒从A点送到B点变得十分容易:你无须使用复杂的技术来隐藏病毒体。见钱眼开的反病毒厂商似乎某种意义上被劫持了:他们提供的“很好”的反病毒工作事实上并不好,因为他们仅仅对原始病毒有效。他们对于破解复杂病毒的无能似乎并没有人看到,这直接导致病毒如潮水般在互联网上泛滥。
现今市场上的情况是着实可悲的。今天市面上的大部分软件并不能真正的称为反病毒软件;看起来,里面最好的也只能说它们是由一些很聪明并自称“业界领袖”的高中生开发的而已。进入反病毒俱乐部的门槛降低了许多,一些对付原始脚本病毒的人跑到前面在扮演着领航员的角色。
问:为什么具有高技术含量的Dr.web软件——十年前占据俄罗斯95%市场销售份额,现在却失去了垄断的地位?
我现在告诉你更多的:十年前我很难找到一部安装其他反病毒软件的电脑。我们的产品流行到许多今天自称“业界领袖”使用的技术仅仅是Dr.Web的翻版。东欧和东南亚的许多软件产品实际上使用的是我们的引擎。来自那些地方当时并在俄罗斯读大学的学生都对我们的技术有着深入的了解。西方则有他们自己的技术领袖,我们不会考虑到那里去推广我们的产品。我们有两人,两个反病毒软件开发人员,执著于我们的工作。我们只有一个要完成的目标一个需要接受的挑战——就是发明世界上最优秀的反病毒产品来对付世界上最复杂的病毒。但是1998年金融危机的爆发让我们资金短缺,并导致我们产品市场的崩溃。同时,这又给一些没有任何技术但十分想从信息技术里赚钱的人提供了极大的机遇,这牵涉到前期投入大量的资金以及西方集团的一些利益。此时我们发现面对的问题是如何生存而不是如何发展。
问:为什么你不说说对于复杂变型病毒的防范?是不是说现今使用的反病毒软件里仅仅只有几家有能力可以对付现实中很严重的病毒?
我会给你一个例子来回答这个问题。大概一个多月之前,一个新病毒出现了。并非不寻常,但是考虑到现在的病毒水平,这却是一个编写的很好的病毒。以前的病毒是更加的复杂。现在,我们大家在仔细研究过病毒后所有人都同意:不错,真是一个好病毒。所以我们编写了一个检测程序,然后将其付诸脑后。但是整整一个月过去了,全世界却没有一个反病毒程序可以检测到这个病毒,真是让人觉得很离谱:我们公司曾经被指责自己故意编写病毒,比如Dr.Web靠这样来推广产品。最终我发布了公开声明:“呵呵,我们的确因为无事可做所以编写了新病毒。”一些人可能把玩笑当真了,因为一些用户要求我们提供病毒清除程序。想想看:没有任何的“业界领袖”可以检测到该病毒,而我们却应该提供清除程序!清除可不是开玩笑,因为他们使用了XTA算法——基本与DES一样很难破解。事实上,我们不仅仅接到自己软件用户的要求,同时还有其他反病毒软件厂商的客户也对我们提出类似要求。我会告诉他们:“你用的产品有自己的厂商,不是吗?至少让他们给你们提供检测工具吧!”
问:为什么市场的主要厂商都无声无息?难得他们没有发现真正的技术并且希望购买优秀的引擎,甚至并购整家公司?
他们愿意买,同时我们也听过很多报价。或者应该说直到最近为止我们收过很多报价。那些在业界有一段日子的都很清楚Dr.Web是不卖的。我不需要卖掉它。为什么?我自己有一个很好的生意并且回报能让我很好的享受生活。我的目标是继续改进我们的技术同时尽力让我们公司的同仁生活的更愉快。
问:你不想在一个跨国公司的旗下这么做吗?
不想,为什么?你知道,住在这里真的很好。同时,我知道自己处于全球反病毒阶梯的哪个位置。反病毒软件业的人都知道全球只有五家公司有自己的技术,其他的都是窃取的。
问:你会怎样描述现时一个真正有用的反病毒软件?
评估指标有很多,其中之一是无遗漏检测复杂变型病毒的能力。测试我们产品的时候,比如说我们会生成一万个同样复杂病毒的变种。如果有一个无法被检测到,我们将视之为紧急情况,会将反病毒产品回收并重新开发。同时,还有一项很重要的指标就是:反病毒软件必须在很好的执行基本功能的同时不干扰用户。它不能明显的降低电脑的效能,或者导致系统错误(比如蓝屏)等等。而且还要考虑很多其他各种谣言等因素。如果有人说:“这个反病毒软件查不到任何东西。” 这马上就会传开——你知道我说的是什么。就像买门锁一样——一般来说最重的,最复杂的门锁都是最贵最好的——但是在电视上听到用一个发夹可以在几分钟内打开后,这意味着锁并不比一般三美金的锁强多少。唯一可靠的指标是质量。很遗憾,你只能自己来测试。
问:现在有着很多“反病毒软件质量”的排名,比如“这个产品能检测99.95%的已知病毒”。你对这些有什么看法?
这纯粹是市场营销手段。第一,99.95%这个数字就值得推敲。所有的那种测试都是这么进行的。比如你收集有大量的病毒样本,而每个样本都必须被检测到。如果有一个病毒未被检测,这个产品就不能被称为“反病毒软件”。对未知病毒的检测上,现在还不清楚如何能计算出所谓的检测病毒百分比。而且,检测的方法也有所不同。最终结果很难高于90-92%。但是这样的病毒检测包是怎样的呢?它包含着大量损坏文件,二进制病毒等。这些是没有危害的病毒,为什么我们要浪费时间来检测所有的这些东西?我在这方面的态度是很固执的:我从来不管这些LJ,或者将其添加到我的病毒库。同时,许多反病毒厂商由于对此类检测包的表现获得了一定的知名度。我并不是说这是不好的;这只是做生意的一种方法罢了。但是问题是这些百分比究竟有多重要?因为不重要所以我刻意的排除了这些LJ的检测;但是结果却是Dr.Web没有检测出任何病毒。你可能会问这是好还是不好。这需要你们自己来判断。
这里我举例说明一下。一次某愤怒的法国代理打电话给我们:“为什么你们卖一个世界排名第17的产品?”原来一家有名的英国电脑杂志出版了一个反病毒软件的排名,Dr.Web排17位。我后来打电话给该杂志的编辑询问他们使用的评估指标。“那些数据不是我们测试的,而是来自第三方。”后来我们找到了这个第三方——一个住在希腊并收集病毒的十几岁小孩。这个家伙在听到一个杀软厂商亲自打电话给他时变得欣喜若狂。当问到他评估使用的指标时,他说他用了许多反病毒软件来扫描自己的病毒收藏,给一些功能评分。“根据你的排名谁是第一?”我问道。他说是一家众所周知使用其他厂家引擎的厂商。而开发该引擎的厂商,却排名比较靠后。这公平吗?这个状况还可以延伸到更广义的解释。比如一家厂商提出了一个原创的概念并且成功的将自己变成此种概念的形象代表,其他的厂商都会被期望必须遵守此种概念——或者冒着被标为80%检测率的厂商的风险特立独行。
问:很遗憾,无论如何这些评测都会影响一个公司的形象。更糟的是它会在用户里导致一种负面的态度。你们对此采取了什么措施?
什么也没做。这是为何我称反病毒软件市场是一个泡沫。用户自己来判断软件是否适合自己是最重要的。再者,我们公司需要关注公司信誉。它协助我们渡过难关并让我们能继续走下去;我们有很多有影响的合作厂商,并且用户的数量在稳步增长。这是唯一可靠的指标。我们深知在一个评测里排名靠前是没用的,因为其他销量更大的厂商可能在三个类似排名中排头。还有,用户会因此被误导。所以,我们需要捍卫自己的信誉。这可以通过比如坚持我们的不出售政策来达成。巨额资金可以被更庞大的资金击败,但是好的软件却是无法被打败的。
问:用户如何找到一个“很好”的反病毒软件?
就现在情况来说,很难。用户被吓怕了。他们时刻受到病毒和其他程序的威胁,同时无数的木马,蠕虫努力地尝试着偷去他们的资料。这个气氛是一些反病毒软件公司营造的。这就像禽流感的状况般:有人说瘟疫是无可避免的,而且我们都会死。很可怕,不是吗?有些人十分惊慌,而其他则保持冷静,希望情况并不会那么糟糕。让用户不停的害怕并且说服他们只有你的产品能够保护他免受任何威胁的确是一个十分精明的理念。用户会买你的反病毒软件,虽然他可能永远碰不上反病毒软件发威的那天,永远也不知道究竟你的产品是如何有效。情况是我们经常需要在其他品牌杀软杀毒后清理剩下成百上千的病毒。
问:我也有安装其他的一些除Dr.Web外的反病毒软件。如果你对电脑查毒并检测到成百上千的病毒,但是他们并没有影响你的工作,那些病毒是否真的像某些厂家描述的那么可怕?
问的很好。答案是不,他们并不可怕。我总是说如果你电脑上没有机密资料,你基本上不需要安装反病毒软件。如果没有东西可以被偷窃或破坏,那会对你电脑造成什么危害呢?呵呵,也许电脑运行速度会慢一点。但是如果这个不影响你工作的话,你基本可以不予理会。如果你只用电脑来玩游戏,你是否真的需要浪费钱来买反病毒软件?但是如果你考虑到电脑上的那些各种密码,那反病毒软件还是有必要的。而且你的电脑可能会被别人操纵来发送LJ邮件,等等。这就像一个人的健康般:如果身体健康强壮,你肯定不想开始吃药。但是很可能你会补充维生素来保持健康。对于最终用户来说,反病毒软件就像一种“维生素”。
在挑选反病毒软件时,不要去参考那些排名因为他们是基于“实验室”测试。他们用一些已经“无效”的病毒来测试各种反病毒软件。每个软件检查到病毒,报告 “发现病毒”然后继续扫描进程。在现实生活中,情况是不同的。你在电脑上工作,登录一个网站——这时你的电脑已经感染了,一些进程突然开始占用70%的系统资源。如果你装了反病毒软件,你会觉得没事。否则就会急忙的买一套。无论哪种反病毒软件——很可能就是那些“业界领袖”的产品。但是世界上仅有少数反病毒软件可以在带毒情况下安装。其他的会因为电脑已经感染而拒绝安装,此时你只能重装系统一切从头开始。所有东西都立刻变得很清楚了。但是没有任何“业界领袖”做过这种测试,虽然有人曾经指出过这个问题,但是他们并不想正视——问题太让他们头疼了。
问:反病毒软件只能检查它“认识”的病毒。现在很多安全厂商都在说着主动防御。
如果你指的是各种行为分析技术或发现潜在威胁进程,Dr.Web从1993年开始就在这方面提出了一系列的解决方案,获了一些奖并且受邀参加CeBIT
问:一些开发商甚至提到会将反病毒功能整合到他们的入侵检测系统/入侵防御系统或软件解决方案中,这样就可以不用单独的反病毒软件了。这可能吗?
不能把他们的话当真。任何复杂的解决方案中,至少其中一个功能会是弱点。今天我们有坦克,有战舰和战斗机,但是我们还有卡拉什尼克夫(AK47)。如果有一个弱点,那病毒就会利用它。而且一个复杂的软件总会有这种漏洞的。开发一个完美的产品是不可能的,特别是基于一些应用面窄,很专业的软件。很少人会问那些专业软件是否足够好。在每一步都尽力保护我们用户的时候,我们也知道事实上我们并无法保证一直保持高质量。我们知道我们只能做到这些和那些。比如我们在保护Unix和Novell上做的比任何人都好。
问:但是如果有些大公司买了那些最好的专业软件并且希望作出一个“完美”的产品呢?
你不可能把每个软件都买下来,但是你可以购买引擎的使用权。如果这对我们和客户都是双赢的话,为什么不呢?我们的引擎是好几个反病毒软件的核心,我们从中获得回报。比如,韩国航空和其他大客户都使用我们的反病毒软件——有着不同外壳包装而已。
问:你对原则的执著似乎是商业上的一道重要障碍。科学利益和商业利益的区分在哪里?
这很难说,实话告诉你,我们经常犯错误拒绝一些认为是无关的东西,然后才意识到我们失去了一次重要机遇。总是这样,有得也有失——这就是生活。
问:那么最大化你的销售呢?
为什么要?设定这样的目标一点也没劲。我们能用那些钱买到什么?有人相信我们可以买到自由。有人会问怎样的自由?如果我们能飞到任何地方,吃喝所想的食物,或者住在我们选择的地方会自由吗?有时候,一个自己播种并收获土豆的人会觉得比上面说的更自由。亚历山大大帝希望在自己下葬时双手向外伸开。在征服了半个世界后,他希望告诉所有人:“看看,我死时没有带走任何东西。”钱钱钱……现在很多人觉得当赚钱时可以抛弃所有东西。难道连一点点的道德规范和价值都不留下?我们对开发自己的技术,和做新的东西有兴趣。我们希望做一些创新的事情。这就是我们的主要价值。
由《熊猫烧香》病毒的攻防案例引发的思考
最近一段时间 熊猫烧香 病毒闹得互联网鸡犬不宁,本人前段时间也领略了它的威风。
我是公司开发部的一员,同时也负责公司网络安全。
公司中有三台电脑我不敢动---总经理办公室的;副总经理办公室的;财务处的。
除了以上三台我从未碰过外,其他部门电脑的安全环境全是我配置的:
【开发部】
本 人: “卡巴6.0+ZA5.5中文版” { 内存512M}
部门经理: “KIS6.0” { 内存512M}
其 他: “ NOD32 5.21.26官方中文版+ZA5.5中文版” {内存256M}
以及 “ NOD32 5.21.26官方中文版+风云防火墙1.23” { 内存256M}
【市场部】
“ NOD32 5.21.26官方中文版+风云防火墙1.23” { 内存256M}
“ NOD32 5.21.26官方中文版+ZA5.5中文版” {内存256M}
【前台】
“ NOD32 5.21.26官方中文版” { 内存128M}---实在是垃圾了点所以没给她装防火墙
【商务部】
盗版瑞星----这个并非是我装的,是商务部的人自己装的。
【总经理室、副总经理室以及财务部的机子】
i don't know!!!!!!!不在本人管辖之内。
熊猫烧香病毒暴发那天:
①我们开发部的几台机子安然无恙,除了部门经理那台中了熊猫,我给他配的是kis6.0.都是天天升级的,虽然部门经理那台机子中招了,但还是被卡巴给拦截了,对系统没影响。
②市场部各机子安然无恙
③前台机子也中招了(谁叫她机子这么破,虽然装了nod32,每天升级的,但我没给她装防火墙)导致系统瘫痪。
接下来是最精彩的:
①总经理室电脑开机超慢,诺顿进程被禁止!但诺顿的服务仍然启动着,不时弹出病毒警告框。所有exe文件全部被感染,无法使用。本人用dr.web绿色版进行查杀,杀掉了100多个病毒,大部分是被感染的exe文件(阿门!受不了,那么多exe文件被大蜘蛛清除,可想老总的电脑只有重装的份了,还好重要资料都是文档形式,没感染)----事后得知老总电脑的只装了一个诺盾8.0的企业版,win2000系统,无防火墙!!!!重装吧。
②副总经理的机子更郁闷,一开机进入系统就动不了了,进入完全模式,机子上原来的盗版瑞星已经死亡!!!依据给总经理杀毒后效果得出结论---重装吧!!
③财务部:幸好是一台公用机(只用来上网和打印文件没存放重要资料),装的也是该死的盗版瑞星。看都不想看了---重装吧。
把中毒的机子断网重装系统,配置好的装卡巴和za,差一点的装nod32和风云。忙了一个下午,总算使公司的网络恢复正常。
后来一个奇怪的现象突然闪现在我眼前:
总经理的电脑: 诺顿、无防火墙、没设置登陆密码。--结果:中毒、诺顿被禁用、所有exe文件被感染。
副总经理的电脑:盗版瑞星、没设置登陆密码。--结果:中毒、瑞星被禁用、所有exe感染、系统完全瘫痪。
财务室的电脑:盗版瑞星、没设置登陆密码。--结果:中毒、瑞星被禁用、所有exe感染、系统运行缓慢。
前台电脑: nod32 v2.51.26 、没设置登陆密码。--结果:中毒、nod32提示隔离、较少exe感染、系统运行缓慢。
我们部门经理的电脑:KIS6.0、没设置登陆密码。--结果:病毒成功被卡巴拦截。
其余的电脑一点事都没有,都配置了合适的杀毒及防火墙,都设置有登陆密码,完全将病毒拒在门外!!!!
由此我得到一个非常明显的结论:安装卡巴或nod32并配置防火墙的(包括xp自带的防火墙)并且设置了登陆密码的机子有效的保障了系统的安全,没受到任何病毒的侵入!!!而我们部门经理的机子虽然我给他安装了KIS但他没有设置机器登陆密码,熊猫夹着香进了他的机子,所幸门神--卡巴与其英勇搏斗让病毒无法在机子中横行!!而那些没装防火墙、杀毒软件又差的、也没设置系统登陆密码的机子全部中毒并瘫痪。
病毒离我们是那么的近,如果没有良好的网络安全意识,光靠杀毒软件或防火墙来保障你系统的安全那是远远不够的!!!!
我经常在论坛上路过,总会看到有那么多人苦苦寻找心中的保护神!不停地争论着:
---有人说卡巴多么多么好,有人说卡巴太垃圾了装了居然还会中毒,有人说nod32太垃圾了对木马没反应,有人说蜘蛛天下第一,有人说outpost 比 ZA好,有人说风云防火墙你也敢用啊……何必呢?????????你要天下第一来干嘛??????天下第一就心里安稳了????那为何还有那么多“天下第一了”还被病毒进了屋。为何有那么多“非天下第一”却过得好好的……………………各位卡巴好友还是好好为你的系统设计一下属于自己的一片天地吧!!!!!!
互联网时代的今天唯有:合适的安全环境(安全软件)+良好的上网习惯(网络安全意识)
不要一味迷信他人的,找自己合适的吧!!!!!!
http://anheng.com.cn/news/30955.html
个人防火墙&防病毒软件浅谈
一、 防病毒软件
(一) 国外杀毒软件
1. Kaspersky
官方网站:
http://www.kaspersky.com最新版本:Kaspersky Internet Security 2006 RC11
Kaspersky Anti-VirusPersonal Pro 5.0.522 正式版
提到Kaspersky不得不提Eugene Kaspersky,他是国际反病毒史上最著名的专家之一。1989年,Eugene Kaspersky开始研究计算机病毒现象。从1991年到1997年,他在俄罗斯大型计算
机公司“KAMI”的信息技术中心,带领一批助手研发出了AVP (AntiVirus Tookit Pro)反病毒程序。Kaspersky Lab于1997年成立,Eugene Kaspersky是创始人之一。2000年11月,AVP更名
为Kaspersky Anti-Virus。Eugene Kaspersky是计算机反病毒研究员协会(CARO)的成员,该协会的成员都是国际顶级的反病毒专家。AVP的反病毒引擎和病毒库,一直以其严谨的结构、彻
底的查杀能力为业界称道。
AVP虽然是技术的巅峰之作,但由于长时间懒于开发市场,很长时间里用户并不多,导致部分的开发人员流失。俄罗斯的另一家反病毒产品Dr.Web,与AVP有很深的渊源,而Symantec NAV的主力开发人员里面,也可见Eugene旧
部的身影,还有人跳槽去了McAfee,但这始终也改变不了AVP是全球顶级反病毒引擎的事实。芬兰的F-Secure,德国的G-Date,日本的Vintage Solutions都使用了卡巴的AV核心模块。AVP杀毒引擎“解决办
法”在法国被解密后,Kaspersky反病毒引擎被许多国家的杀毒软件“借用”,使得Kaspersky实验室忙不迭地到处打击盗版。同时,随着AVP产品被盗用得越来越频繁,AVP近亲产品的“市场占有率”空前高涨。
Kaspersky无疑是当今国际最顶级的反病毒软件。病毒库更新快,2小时升级一次。查杀能力强,最大缺点是占用系统资源过大,如果电脑配置不高建议还是放弃吧,它会起到跟病毒软件同样的效果“卡巴死机”。Kaspersky官方有中文版软件,但是更新速度比英文版稍慢,最新英文版的民间汉化一直由汉化新世纪的吕达嵘跟进,想尝鲜的朋友可以访问汉化新世纪获得最新消息。
最新版的Kaspersky Internet Security 2006比较值得期待,他集病毒防护、个人防火墙于一身,系统资源占用情况也有所改观,现在还处于测试阶段。继续关注
2. McAfee
官方网站:http://www.mcafee.com
最新版本:McAfee VirusScan v10.0.27 简体中文个人版
Mcafee Virusscan Enterprise 8.0i 简体中文企业版
McAfee 公司最初叫McAfee Associates,创始人John MacAfee。初期的McAfee 性能并不出色,1997年McAfee收购Network General(大名鼎鼎的Sniffer软件开发商)成立了Network Associates,1998
年收购了欧洲最大的反病毒企业Doctor Soloman公司。之后McAfee停用自己的杀毒引擎,转而使用收购来Doctor Soloman产品的引擎。2004年7月,Network Associates重新更名为McAfee
公司,专心研发网络安全产品。 Network General脱离McAfee重新成为一家独立的公司,脱离McAfee的同时,诞生自Network General公司之手的Sniffer品牌也重新回到Network General手中。
McAfee杀毒能力较Kaspersky稍差,但资源占用小,启动速度快。系统监控能力强,对于恶意代码的防护能力非常好。
PS:McAfee缓冲区溢出保护跟金山词霸的屏幕取词功能有冲突。解决方法:1.关闭McAfee缓冲区溢出保护功能.2. 在VirusScan控制台的缓冲区溢出保护属性中设置缓冲区溢出排除金山词
霸。
3. Norton AntiVirus
官方网站:http://www.symantec.com/region/cn/index.htm
最新版本:Norton Internet Security™ 2006中文版
Symantec Antivirus v10 中文企业版
1982年4月Gary Hendrix博士创立赛门铁克公司(SYMANTEC),总部位于加利福尼亚的Cupertino。1990年赛门铁克收购了皮特.诺顿(Peter Norton Computing),正式跨入反病毒软件行业,经过几年的发展诺
顿成为赛门铁克最著名的品牌,并购是赛门铁克公司转型成为网络安全解决方案提供商的主要手段。1998年5月并购IBM的反病毒部门和系统免疫技术(Immune),1998年9月并购英特尔的LANDesk Virus Protect反病毒业务(Trend 技
术),这两次成功的并购使得赛门铁克的NORTON防病毒系统如虎添翼。现在赛门铁克公司已经发展成为了世界上最大的反病毒长商。
NORTON系列产品在市场上可谓叱诧风云一度成为个人和企业防病毒的首选品牌。但是其最大的缺点就是占用系统资源过大(特别是个人版产品),而且其病毒的查杀效果并不像其口碑那么好。同样的系统资源占用,我宁可选择Kaspersky。如果你一定要用,那么就选企业版吧。
4. TREND
官方网站:http://www.trendmicro.com/cn/home/enterprise.htm
最新版本:PC-cillin 2006网络安全版
1988年中国台湾省人张明正白手起家,在美国洛杉矶创建了一家防病毒软件公司——趋势科技(Trend Micro),公司最开始只有一位员工——他的太太。10年后,趋势科技先后在
日本东京和美国纳斯达克挂牌上市,张明正也一度藉此成为台湾首富。如今,他领导的趋势科技在30多个国家和地区设有分公司,拥有员工3000多名,市值约66亿美元,被美国《商业周刊》杂志评选为全球前100名最热门上市公司之一。
趋势科技一直是国人的骄傲,独立创新了多项专利技术,97年曾发生过国际知名反病毒厂商Mcafee和Symantec都盗用趋势针对Intermet、E-Mail及群组软件(groupware)资料传输过程中即时拦截的「空中抓毒」(On The Fly)技术的事件,PC-cillin(取名
抗生素盘尼西林的谐音),是趋势科技目前的主要品牌。初期,趋势进入中国大陆市场较晚,由于缺乏对国内市场的认识以及较差的国产病毒查杀能力,所以并不太受国内用户认可。
PC-cillin 网络安全版功能强大集成多种网络安全技术,缺点是资源占用较大,建议按需求开放相应的功能模块。个人感觉趋势的强项在于企业版,微软现在用的就是趋势。个人版性能病毒查杀能力中上。
5. F-Secure
官方网站:http://www.f-secure.com/
最新版本:F-Secure Internet Security 2006
国内使用F-SECURE的人可能较少,其实F-SECURE国际上知名度很高,目前排名仅次于Kaspersky,来自芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎。该软件采用分布式防火墙技术,在《PC Utilites》评测中曾经超过Kaspersky,排
名第一,但后来Kaspersky增加了扩展病毒库,反超f-secure 。 这个软件我没有实际用过,但是看国外评测和国内的用户评价,应该不错。喜欢的朋友可以尝试,F-SECURE目前没有中文版,早期由汉化新世纪的吴忠兴在跟,最新2006版尚无汉化,喜欢的朋友可关注世纪的动向。
6. 熊猫卫士
官方网站:http://www.pandaguard.com/
最新版本:熊猫卫士钛金版2006
熊猫卫士是Panda 软件公司在中国推出的反病毒产品。Panda软件公司是欧洲第一位的计算机安全产品公司,也是唯一最大的杀病毒软件公司内拥有100%自有技术,且足以同美国相抗衡的公司,同时Panda 也是世界上在该领域成长最快
的公司。2002年北大方正入资Panda中国,现在名字改为方正熊猫卫士。
熊猫1999年底进入中国市场,初期运作良好,占领了一定的市场份额,目前似乎越来越少受人们的关注,份额也逐渐下降,估计跟方正的市场运作有关系。最新的2006版国际评测表现还算不俗。
7. NOD32
官方网站:http://www.nod32cn.com/home/home.php
最新版本:NOD32 2.51.20
ESET,于1992年建立,是一个全球性的安全防范软件公司,主要为企业和个人消费者提供服务。其得奖之旗舰产品 NOD32 能针对已知及未知的病毒,间谍软件(SPYWARE)及其它对用户系
统带来威胁的程式进行实时的保护。NOD32以其占用最少系统资源及最快的侦测速度,向用户提供最好的保护,并且较其它防病毒软件获得更多的Virus Bulletin 100%奖项(www.virusbulletin.com)。被微软
御用了四年的防病毒软件.二版科技(深圳)有限公司是其国内总代,有中文版。
各方面都有其独到之处。目前在国内很火,各大论坛都在讨论,NOD32的病毒防范能力确实很强,而且占用系统资源很少,查杀速度很快。其缺点是对于流氓软件及国内木马病毒防范效果较差。另外IMON兼容性较差,如果使用发现问题,可以关闭这个功能。PS:官方有简体中文,不过做的很烂,建议使用大S汉化的版本。
8. Windows Onecare Live
官方网站:http://www.windowsonecare.com/
发布时间:2006年6月
1993年春天,微软发行了自己的反病毒软件——微软反病毒软件(MSAV),这是微软购买了“中心点”公司的CPAV之后发布的微软版CPAV。但这是一次不成功的尝试,微软很快就认识到作为一个通用软件厂商,如此深入的进入一个非常专业的领域是非常不明智的,比尔.盖茨很快就放弃了这一产品。
去年,微软收购了一些小型安全公司,另外还包括在2003年6月收购的GeCAD软件反病毒技术和知识产权(IP)、2004年12月收购的Giant AntiSpyware、2005年2月的Sybari Software、2005年7月的
FrontBridge Technologies。现在的安全软件制造商,包括Symantec,虽然声称不会对微软进行反病毒起诉,但已经开始对微软即将入侵安全软件市场这一举动充满抱怨。最近已经有消息发布,明年Windows Vista的大多数版本(包括Home
Basic Edition)都将包含反病毒、反垃圾邮件和反间谍软件技术。虽然微软也给其它安全软件制造商留出了空间,但究竟在实质上能够留下多少空间还尚待分晓。
作为对Windows平台内一些间谍软件、恶意代码和小范围病毒潜在威胁的回应,微软将最近获得的安全技术与自己的In-house机制相结合来打造OneCare Live(开发代码为Atlanta)。微软的市场部门发布了OneCare一
些主要功能的摘要:
• 反病毒、双向防火墙、反间谍软件功能帮助用户的计算机不受病毒、蠕虫、特洛伊木马、黑客、间谍软件以及其它有害软件的侵害.
• 每月优化功能提供的日常维护帮助用户提高计算机的性能。
• 使用完整的和增加的CD/DVD备份功能,可以避免因意外删除或病毒侵害造成的重要数据不被丢失或损坏,而且备份操作简便易行.
对Windows 2000用户而言,有一个坏消息:Windows OneCare Live需要Windows XP或更高版本。测试的版本是Beta版,最终版本会有一些改变。下面是OneCare Live系统需求的详细列表:
• Windows XP家庭版、专业版、媒体中心版或Tablet PC版(SP2),Beta版需要英文版
• Internet Explorer 6 for Windows XP SP2 (IE 6.0.2900.2180)
• 300 MHz或更高的CPU
• 256 MB内存
• 550 MB可用硬盘空间(在系统分区)
• 56 kbps或更快的Internet连接(建议使用宽带接入Internet)
• 可读写CD/DVD驱动器(CD-RW/DVD-RW),用于备份与恢复功能
Windows OneCare Live无疑是非常令人期待的,不过需要说的是他的价格:一份通过Live进行服务的 Windows OneCare™ Live 可以授权在三台计算机上,它的价格为49.95美
元,但微软为了答谢测试者,向参加过测试的成员放出了19.95美元的低价,这个价格只在4月1日至4月30日之间注册成员的有效.
(二) 国内杀毒软件
1. 江民
官方网站:http://www.jiangmin.com
最新版本:KV2006
提到KV自然要说一下富有传奇色彩的王江民. 三岁因小儿麻痹症而落下终身残疾,初中毕业,却拥有国家级创造发明20多项,38岁开始学习计算机,两三年之内成为中国最出色的反病毒专家。45岁只身一人独闯中关村办公司,没学过市场营销,却使KV系列软件用户创中国正版软件销量之最。中关村最富有传奇色彩的知识英雄,人称:王老师
KV的第一个版本叫做KV6,能查杀6种病毒。94年推出超级巡警KV100,并首次提出了广谱病毒码的概念。1996年9月,KV3 00正式推出。
1997年发生了著名的逻辑锁事件又称毒岛事件。有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的的解密程序。1997年的下半年,“毒岛论坛”宣称KV 300软件中有病
毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。只有使用了盗版软件的用户,才有可能数据被破坏。事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV 300似乎没有受
到太大的影响,“毒岛论坛”还因此被查封。
98年推出口KV300+加 入KV300 forWord并且 OEM了Sun DOG驻留防病毒软件。后推出Windows版本软件。
长久以来KV一直是备受争议的一个软件,KV曾经是DOS时代的国内霸主,后来由于技术原因WIN32平台一直跟进缓慢,后来招安了原行天98的开发人刘杰、王磊、何公道开始研发Windows版本的KV系列。初期曾直接盗用AVP的杀毒引擎备受指责,后来在刘杰的主持下开发出新版杀毒引擎。KV2005以后杀毒能力有了很大的提高。起码我个人感觉要比金山瑞星等软件强,占用资源小,杀毒速度快。病毒清除能力强,不会出现发现病毒杀不了,或者杀坏文件的情况。个人认为国内的反病毒软件NO.1还是江民。
2. 瑞星
官方网站:http://www.rising.com.cn/default_sy.htm
最新版本:瑞星杀毒软件2006
瑞星创立于1991年11月,开始主做硬件防病毒卡,瑞星1995、1996年销售业绩大幅度下降,公司到了生死存亡的边缘,1997年开始,瑞星通过OEM和低价策略开始二次创业。
1999年中科院数学所研究员刘旭正式加盟了瑞星公司。刘旭的到来彻底挽救了面临崩溃的瑞星公司,在他的主持下瑞星杀毒软件个方面水平有了极大的提高,可以说没有刘旭就没有瑞星的今天。1993年刘旭因为公司内争离开瑞星。瑞星曾与Dr.Web洽商租用其引擎,未达成意向,后来租用了Kaspersky的杀毒引擎。目前瑞星市场份额位居第一。
总起来说瑞星还是比较不错的杀毒软件.
3. KILL
官方网站:http://www.kill.com.cn/
最新版本:KILL 安全胄甲2006
KILL是由公安部开发的国内最早出现的防病毒软件。1986年公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修、学习计算机安全技术。1989年7月,公安部计算机管理监察局监察处病毒研究小组推出了中国最早的杀毒软件
Kill版本6.0,这一版本可以检测和清除当时在国内出现的六种病毒。KILL软件在随后的很长一段时间内一直由公安部免费发放。1993年6月,中国,公安部正式决定将KILL的所有有形和无形资产、开发人员移交公安部所属的中国金辰安全技术实业公司进行商品化销售。此时,KILL的版本号为V68,产品形式分为5寸磁盘和3寸磁盘两种。1998年5月:中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签字仪式,双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中心。1998年7月,冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL,但基本核心已经完全使用了CA公司的技术。
KILL是国内首个推出双引擎杀毒软件的公司,同时采用了InoculateIT和Vet两种扫描引擎。现在KILL市场占有率J较低,跟熊猫不相上下。似乎KILL也把侧重点放到企业用户身上了。
4. 金山毒霸
官方网站:http://db.kingsoft.com/default.shtml
最新版本:金山毒霸2006标准版
金山公司于1997年开始研发金山毒霸,当时有十几个人,为了稳妥起见,一直到1999年4月的时候才拿出测试版本。从1999年4月到2000年底,金山一直以free的方式发布毒霸测试版,2000年11月底市场上开始销售毒霸正式版。期间曾聘请刘杰担任技术顾问。早期产品秘密租用了趋势的PC-cillin杀毒引擎,后被国内著名的cracker SAC发现并公布,金山被迫放弃趋势。早期金山也打着双引擎杀毒的
旗号,实际上只有租用来的单引擎在工作。之后租用俄罗斯Dr.Web引擎。2003年金山发布毒霸V,放弃了使用长达三年之久的Dr.Web,转而使用自己开发的防病毒引擎。
金山毒霸6开始性能等各方面才算比较不错,也较为稳定。速度快,占用资源少是其优点,杀壳能力以及性能不佳的引擎是他的死穴。
小结:几点误区:1。很多人认为哪个杀毒软件病毒库多哪个就比较好,大家所推崇的卡巴斯基病毒库很多,现在大概19万左右,但是面对罗马尼亚的杀软BitDefender Professional有将24W的病毒库,卡巴斯基实在不算
什么。但是病毒库多并不能说明问题,实际杀毒能力BitDefenderProfessional并没有比卡巴斯基更好。2。有的人认为一套杀毒软件不保险,喜欢装两套。这里要提醒的是,大多数情况下,这种使用方法会造成系统冲突以及系统运行缓慢,建议装两套杀毒软件的朋友实时监控只开一个,全面查毒的时候则可以两套轮流使用。
总的来说,国外的杀毒软件在功能上,技术上要高于国内的杀软,当然我们不能否认,国内的几大杀软厂商也不断的在努力研发,并且取得了很大的进步。而且在对国内流行的木马病毒的查杀上,还是国内的杀毒软件有优势。国外的杀毒软件在这里推荐MCAFEE,国产推荐江民KV2006。
最后给大家看一下国际知名安全网Antony Petrakis(http://www.virus.gr)
二、 防火墙软件
(一) 国外防火墙软件
1. Look'n'stop
官方网站:http://www.looknstop.com/En/index2.htm
最新版本:2.05p3(测试版)
目前排名世界第一的防火墙软件,在专业防火墙测试网站Firewall Leaktester的漏洞测试中,Look'n'Stop超过了Outpost、ZoneAlarm、Kerio、Norton、Kaspersky等排在了第一。它功能强劲,占用资源非常少,入侵检测能力较强,可自定义入侵检测规则。Look'n'stop是法国一家小公司出品的(仅二名开发人员),在WinDDK环境下编译的,故安装包非常小,才633k。
记得一位安全专家说过:最安全的策略是先否定所有,再肯定个别。Look'n'stop的原型恰恰是这么设计的,它的策略是先禁止所有本地和所有远程的连接操作,再允许之,真正做到在本机和远程之间建立一堵墙,在初始时不信任任何程序和操作。这一点,比目前多数防火墙的组件控制在理论上更安全。目前一些防火墙的组件控制功能在安装完成就假定了本机上大部分非可直接运行程序(如DLL文件)是可靠的,故当成信任程序对待。这种处理方式在一个完全干净的系统里能减少用户配置的过程,但全新安装的系统毕竟少数(即使全新安装也未必就是完全干净的系统),那么这种处理方式就有可能恰好把含有非法代码的程序当成信任的,造成安全隐患。所以从结构上Look'n'stop就有成为王者的先天优势。
前几天才开始用这个,功能强大。资源占用小,在我的机器上基本保持在4兆左右的内存占用。官方有中文语言文件,安装后即为中文版。不过设置过于专业,不太适合普通用户。缺点对中文目录支持不好,应用程序过滤中应用程序的目录名最好是E文。另外要说的是,官方网站已被封,需要通过代理访问。霏凡有讨论组在研究这个软件,而且不定期推出规则包,可惜霏凡已经关闭注册。Zeus写了一篇Look'n'stop个人网络防火墙中级使用指南,推荐使用Look'n'stop的朋友看一下。另外可以到下面这个网站看看。http://www.nod32info.cn/forumdisplay.php?fid=21或许能找到你想要的东西。
2. Agnitum Outpost Firewal
官方网站:http://www.agnitum.com/products/outpost/
最新版本:3.5.641.6214 (458)
Agnitum Outpost Firewal目前排名世界第二的DD,防黑强悍,支持的功能很多甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它
Internet 危险的威胁。该软件不需配置就可使用,这对于许多新手来说,变得很简单。尤为值得一提的是,这是市场上第一个支持插件的防火墙,这样它的功能可以很容易地进行扩展。。
Agnitum Outpost Firewal确实不错,支持的功能多,占用资源也不大.
PS:Outpost的跟金山词霸同时使用有冲突,词霸取词时不断提示金山词霸占用内存,从而导致取词的软件不能使用。原因是由于Outpost的进程内存控制(Process Memory Control)功能,它可以防范一些特殊的木
马和病毒,这些木马和病毒能够修改你信任的程序在内存中运行时的代码,将内存中运行的程序替换成它们。由于金山词霸2005在屏幕取词运行时会修改所取词软件的代码,因此出现上述情况,解决的办法是关闭Outpost的进程内存控制选项.
3. ZoneAlarm
官方网站:http://www.zonelabs.com
最新版本:ZoneAlarm 6.1.744.000
ZoneAlarm排名第三,是一款包含了五大连锁安全技术的网络防火墙软件. 它易于使用并提供启发式保护功能. 与其他安全工具不同的是,ZoneAlarm把防火墙、应用程序控制、Internet
锁定、动态安全级别分配和Zone技术有机整合起来,为用户构筑起最坚固的反黑屏障.
个人很喜欢ZA,曾经用了很长时间,几乎不需要复杂的设置就能使用,很适合普通用户,6.0以后的版本资源占用过大,喜欢ZA的朋友建议可以用ZoneAlarm 5.5.094版本,稳定,占用资源小。后来Silence发现了使
用外挂语言包方式汉化的方法,这一问题才得以解决。后来樊宁及Liangjh等都跟过ZA的汉化,但都因为各种问题而放弃,目前最新版本尚无汉化补丁。ZA分ZoneAlarm Pro 、ZoneAlarm Security Suite、 ZoneAlarm
Anti-Spyware、ZoneAlarm with Antivirus 几个版本,大家可以根据自己的实际需求选用。其中ZoneAlarm with Antivirus本身含防病毒软件(跟KILL一样用了CA的Vet引擎),跟很
多的杀毒软件有冲突,所以不要同时使用。
4. Sygate Personal Firewall Pro.
官方网站:http://www.sygate.com/
最新版本:Sygate Personal Firewall Pro 5.6 Build 3311
Sygate Personal Firewall (以前的Sybergen Secure Desktop)可以让你的系统免遭来自Internet上的非法访问。这个程序功能强大,具伸缩性而且方便安装配置。你可以自由调节安全级别,从全无到最高(几乎不允许任何形式的Internet访问),最高级的安全级别仅仅允许某些特定的Internet数据传输,比如下载文件,次高级则稍微放宽些,可以进行一般的数据通讯(比如Internet游戏),再下一级适用与Web Server。为了帮助你在最小限
制的情况下获得最大的安全级别,这个程序带有很好的安装配置指导。你可以让这个程序与Windows一起运行,可以在指定的时间范围内阻止一切Internet 访问。当然你还可以设置很多别的网络高级设置以及email报
警等等。这个程序对于个人使用完全是免费的。
功能很强的防火墙,曾获得过N多的奖项,在今年年初国外的评测当中排名第8。可惜的是去年被赛门铁克收购,年底赛门铁克宣布由于与赛门铁克自身的防火墙产品重复从2005年11月30日起,将不在提供Sygate个人防火墙免费版(SPF)和Sygate个人防火墙专业版(SPFP)。上述产品的当前用户如果要更换赛门铁克的防火墙产品,赛门铁克将提供特定的升级价格。Sygate Personal Firewall Pro 5.6 Build 3311是封山之
作了。
5. Kerio Personal Firewall Pro
官方网站:http://www.sunbelt-software.com/Kerio.cfm
最新版本:Kerio Personal Firewall 4.2.3.912
Kerio Personal Firewall 是款个不错的个人防火墙,它能够控制自己计算机与网络上的计算机的数据交换,保护你的计算机不受网络上用户的攻击,具有网络安全、隐藏保护、入侵检测、应用程序完整性检查四大功能,还能够屏蔽讨厌的广告、形形色色的脚本和控件,从多角度保护用户的计算机不受侵犯。更重要的是,它简单易用,无需掌握过多的知识就可以轻松使用。KPF 不支持 Server 系统。
用户数量不多,性能一般,去年发布消息说将退出个人市场,转攻商业用户了.
6. Tiny Firewall
官方网站:www.tinysoftware.com
最新版本:Tiny Firewall 2005 Professional v6.5.126
Tiny Firewall 2005对于连入互联网的需要安全防护的普通Windows主机来说是一个很不错的选择。它可以帮您防御恶意软件,提供网络安全防护,文件和注册表防护,通过签名技术控制和管理应用程序启动,以此来检测和防止恶意入侵。
最重要的是,上述这些特性都包装在非常友好的图形化工具中,例如跟踪恢复工具,它允许您恢复您对电脑作的任何改动。如果您觉得运行某个程序会破坏您的计算机系统时,您可以将防火墙设置成跟踪恢复模式,这样可以记录任何电脑中的文件和注册表变更并在必要的时候进行恢复,删除的文件和注册表项也可以恢复。
很专业的防火墙,设置较复杂,与Kaspersky的网页扫描有冲突。
7. BlackICE
官方网站:www.networkice.com
最新版本:BlackICE PC Protection v3.6 cpa(个人版)
BlackICE Server Protection v3.6 cpa(服务器版)
ISS安全公司出品的一款著名的入侵检测系统,拥有强大的检测,分析以及防护功能,而且很容易使用,可以侦察出谁在扫你的端口,在它们进攻我们的电脑之前拦截,保护我们的电脑不受欺害,BlackICE集成有非常强大的检测和分析引擎,可以识别 200 多
种入侵技巧,给你全面的网络检测以及系统防护可以收集入欺者的IP地址、计算机名-网络系统地址、硬件地址-MAC地址,有日志供我们查看。该软件在九九年获得了PC Magazine 的技术卓越大奖。
优秀的防火墙,推出时间也很长了,国内有很多的拥护者。吕达嵘有汉化。需要的可以去世纪下载。
(二) 国内防火墙软件
不分项了,综合说一下吧,国内最好的防火墙是天网,用户数量众多。设置简单,占资源小。而且几乎不需要进行设置,很适合普通用户使用。但是跟国外优秀的防火墙相比功能及性能上还是差距蛮大的。普通用户如果怕不装防火墙感觉不安,但又怕设置麻烦的话,用天网是最好的选择。
国内剩下的无非就是江民、瑞星及金山了,江民的防火墙最差,直到2006版依然没有改观。瑞星的防火墙也一般,不过有寿宁规则组编写的规则,瑞星的防火墙有了很大提升。需要的朋友请访问一下网址:http://bbs.hzva.org/forumdisplay.php?fid=151&page=1
金山网镖在这三大品牌中做的最好,寿宁规则组也有金山的规则包需要的朋友也可以去看一下。
这里是国外专业机构对于个人防火墙产品的评测报告供大家参考:
1.Firewall Leak Tester 2004年测试报告。
http://www.firewallleaktester.com/tests.htm
Look'n'Stop、Agnitum Outpost Firewal、ZoneAlarm分列一二三名。
2.TopTenReviews 2006年测试报告
http://personal-firewall-software-review.toptenreviews.com/
ZoneAlarm Pro 、Outpost Firewall Pro 、Norton Personal Firewall分列一二三名。
Look'n'Stop未参加评测。个人认为Look'n'Stop如果参加第一还是他的,技术上的优势无可比拟。Kaspersky虽然在杀毒软件方面成绩突出,但是防火墙还是略逊于其他产品。
2006年世界顶级杀毒软件排名
金奖: BitDefender
银奖: Kaspersky
铜奖: F-Secure Anti-Virus
第四名: PC-cillin
第五名: ESET Nod32
第六名: McAfee VirusScan
第七名: Norton AntiVirus
第八名: AVG Anti-Virus
第九名: eTrust EZ Antivirus
第十名: Norman Virus Control
第十一名:AntiVirusKi
第十二名:AVAST;
这里是排名的国外网站,各种功能、价格、获奖等非常详细。
排名第一的BitDefender
简 介:BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库,它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及 互联网过滤技术,为你提供即时信息保护功能,通过回答几个简单的问题,你就可以方便的进行安装,并且支持在线升级。它包括 1.永久的防病毒保护;2.后 台扫描与网络防火墙;3.保密控制;4.自动快速升级模块;5.创建计划任务;6.病毒隔离区。
排名第一的BitDefender专业版下载地址,最高版本,有汉化,有算号器,17M速度不错啊。
http://soft.mumayi.net/Software/Catalog101/2615.htmlhttp://www.orsoon.com/Software/Catalog179/6484.htmlSN:82E04-6AFBA-1DA94-7B539
排名第二的Kaspersky
简 介:Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超 强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护:抗病毒扫描仪、监控器、行为阻段、完全检 验、E-mail通路和防火墙。它支持几乎是所有的普通操作系统。卡巴斯基控制所有可能的病毒进入端口,它强大的功能和局部灵活性以及网络管理工具为自动 信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版 机构的证书,确认了卡巴斯基具有汇集行业最高水准的突出品质。
卡巴斯基反病毒软件6.0.300个人版官方中文版 一年免费升级
http://www.xxjp.org/Software/Catalog21/2832.htmlhttp://www.orsoon.com/Software/Catalog179/2024.htmlhttp://green.crsky.com/soft/983.html排名第三的F-Secure AntiVirus
简 介:来自Linux的故乡芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核,而 且青出于蓝胜于蓝,个人感觉杀毒效率比Kaspersky要好,该软件采用分布式防火墙技术,对网络流行病毒尤其有效。在《PC Utilites》评测 中超过Kaspersky名列第一,但后来Kaspersky增加了扩展病毒库,反超F-secure。鉴于普通用户用不到扩展病毒库,因此F- secure还是普通用户很不错的一个选择。F-Secure AntiVirus是一款功能强大的实时病毒监测和防护系统,支持所有的 Windows 平台,它集成了多个病毒监测引擎,如果其中一个发生遗漏,就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件,软件更提供密码的 保护性,并提供病毒的信息。
F-Secure AntiVirus6.01
http://www.naf.com.cn/soft/98930.htmF-Secure AntiVirus Client Security v5.56 特别版
http://www.yesadmin.com/Soft/html/32/198/yesadmin_14873.htmlname:www.chinaz.com
sn:0QQC-KJ2D-D663-7XC7-P5U7
第四的Pc-Cillin(趋势)
简 介:趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防LJ邮件等功能于一体,最大限度地提供对桌面机的保护并不需要用户进行过多的操作。在用户日 常使用及上网浏览时,进行“实时的安全防御监控”;内置的防火墙不仅更方便您使用因地制宜的设定,“专业主控式个人防火墙”及“木马程序损害清除还原技 术”的双重保障还可以拒绝各类黑客程序对计算机的访问请求;趋势科技全新研发的病毒阻隔技术,包含“主动式防毒应变系统”以及“病毒扫瞄逻辑分析技术”不 仅能够精准侦测病毒藏匿与化身并予以彻底清除外,还能针对特定变种病毒进行封锁与阻隔,让病毒再无可趁之机;强有力的“LJ邮件过滤功能”为您全面封锁不 请自来的LJ邮件。趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常,从此摆脱病毒感染的恶梦。
PC-cillin 2006 网络安全版 Sn:PGEF-0017-4168-1475-0999
http://www.crsky.com/soft/655.html第五名的ESET Nod32
简 介:国外很权威的防病毒软件评测给了NOD32很高的分数,在全球共获得超过40多个奖项,包括Virus Bulletin、PC Magazine、 ICSA、Checkmark认证等,更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首!产品线很长,从 DOS、 Windows 9x/Me、Windows NT/XP/2000,到Novell Netware Server、Linux、BSD等,都有提供。 可以对邮件进行实时监测,占用内存资源较少,清除病毒的速度效果都令人满意。
NOD32 Administrator v2.51.22 简体中文封装特别版
http://www.orsoon.com/Software/Catalog179/5243.htmlNOD32 Antivirus V2.51.8 完美汉化特别版 免ID永久升级
http://www.orsoon.com/Software/Catalog179/4123.htmlNOD32升级ID更新地址:
http://rav.xxjp.org/nod32http://a9z1.zj.com/(推荐)
http://nod32info.vicp.net/(推荐)
设置方法:更新→更新→设定→位置→服务器→新增→新服务器+输入升级地址→确定→确定。
第六名的McAfee Virusscan
简 介:全球最畅销的杀毒软件之一,McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测 和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件 的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
McAfee VirusScan 8.0i With Patch 13 简体中文企业版 (2006-7-20中文优化版)
(虽然有了新的版本MCfee 10.0以上但还是觉得这个版本是最好的简单实用)
http://www.okget.com/Soft/Soft_185.htmlhttp://www.orsoon.com/Software/Catalog179/1453.htmlMcAfee2006┊极品个人安全组合套装┊官方无限制简体中文版
http://green.crsky.com/soft/2816.htmlhttp://www.down911.com/SoftView/SoftView_2071.html第七名的Norton AntiVirus
简 介:Norton AntiVirus是一套强而有力的防毒软件,它可帮你侦测上万种已知和未知的病毒,并且每当开机时,自动防护便会常驻在 System Tray,当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性,若档案内含病毒,便会立即警告,并作适当的处 理。另外它还附有“LiveUpdate”的功能,可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码,於下载完后自动完成 安装更新的动作。
诺顿杀毒软件简体中文黄金企业版本10.01.100为企业版本 无需要注册
http://www.orsoon.com/Software/Catalog179/5520.htmlNorton AntiVirus (诺顿杀毒)10.0.2.2000.Final 简体中文企业版
http://www.orsoon.com/Software/Catalog179/1525.html第八名的AVG Anti-Virus
简 介:AVG Anti-Virus欧洲有名的杀毒软件,AVG Anti-Virus System功能上相当完整,可即时对任何存取文件侦测,防止电脑 病毒感染;可对电子邮件和附加文件进行扫瞄,防止电脑病毒透过电子邮件和附加文件传播; “病毒资料库”里面则记录了一些电脑病毒的特性和发作日期等相关 资讯;“开机保护”可在电脑开机时侦测开机型病毒,防止开机型病毒感染。在扫毒方面,可扫瞄磁碟片、硬盘、光盘机外,也可对网络磁碟进行扫瞄。在扫瞄时也 可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件(支持ZIP,ARJ,RAR等压缩文件即时解压缩扫描)。在扫 瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt,待扫瞄完成后在一并解毒。支持在线升级。现在提供了最新的免费版供大 家使用,安装之前先去官方网站填个表,从回信中得到一个序列号。AVG Anti-Virus 有三个版本(专业、服务器、免费),其中有个人非营利使用 的免费版本,功能完整,但是仅某部份功能是无法设定的,例如扫毒排程只能每天一次等等。
AVG anti-virusSHI 家庭用户的免费下载地址
http://free.grisoft.cz/softw/70free/setup/...ree_375a716.exeAVG Anti-Virus v7.1.394a763 Free 下载地址
http://down1.tech.sina.com.cn/do ... 04-03-16/5083.shtml
http://www.crsky.com/soft/7640.htmlAVG Anti-Virus with Firewall V7.1.362a656下载地址
http://www.bizdown.net/soft/16523.html第九名的eTrust EZ AntiVirus
简 介:反病毒软件“eTrust EZ Antivirus”已经获得了国际计算机安全协会(ICSA: International Computer Security Association)的认证。ICSA专门负责检测和认证产品对来自病毒及恶意代 码的攻击的有效性。CA公司表示,在ICSA的测试中,eTrust EZ Antivirus软件甚至连“In-The-Wild”恶性病毒也可以 100%地检测出来。eTrust EZ Antivirus是一种主要为中小型企业及SOHO用户提供解决方案的反病毒软件。该产品支持的操作系统包括 Windows 98、Windows ME、Windows NT以及Windows 2000 Professional等。除此以外,CA公司还提 供包括eTrust EZ Antivirus在内的反病毒解决方案组件“eTrust EZ Armor”。新版本采用全新用户界面,更加易于使用;新 的文件隔离功能可有效防止系统文件被误删;改进了帮助系统;增强了“闪动”系统托盘图标功能。
eTrust EZ Antivirus 7.1.6.0 简体中文版
http://www.joyopc.cn/soft/15/2006/20060412883.htmlhttp://www.xiazai.cc/software/8969.htmlLicense Key: XMLTY-ECYXL-XJRIH-RIGEC
第十名的Norman Virus Control
简 介:Norman Virus Control是欧洲名牌杀毒软件,为了确保您的计算机系统得到最好的保护,Norman 数据安全系统提供了多种防毒工 具供您选择,以满足您的不同需要。此产品结合了先进的病毒扫描引擎、启发式分析技术以及宏验证技术,可有效查杀已知和未知病毒。NVC 可以查杀所有类型 的病毒,包括文件和引导扇区病毒而无需使用杀毒软件重新启动开机。
Norman Virus Control 破解版|破解补丁|注册码|注册机|免费下载
http://www.qddown.com/bbs/2-543/http://www.yesky.com/imagesnew/software/im...-1/001/790.htmlhttp://download.enet.com.cn/speed/toftp.ph...030202004053101Key:F8YACF2QNUX3TFDEKV9WWXC8E
第十一名的AntiVirusKit
AntiVirusKit 2006 v16.0.7. 0,是德国G-Data公司产品,英文全名是GData AntiVirusKit,
简 称AVK,这是一款采用KAV(卡巴)和BitDefender(BD)罗马尼亚杀毒软件的双引擎杀毒软件,具有超强的杀毒能力,在国外拥有非常高的知名 度,运行速度稳定,具有病毒监控、EMAIL病毒拦截器、EMAIL防护、支持在线自动更新等功能,可以阻挡来自互联网的病毒、蠕虫、黑客后门、特洛伊木 马、拨号程序、广告软件、间谍软件等所有威胁,支持对压缩文件、电子邮件即时扫描,支持启发式病毒扫描,支持密码保护,有详细的日志方便查询,对计算机提 供永久安全防护。AVK最大优点是,只要病毒或木马录入病毒库,它在病毒运行前拦截,不会出现中毒后再杀毒的情况。AVK2006目前病毒库已经超过 33W 卡吧+BD 双杀毒引擎效果绝对一流!
AntiVirusKit InternetSecurity 2006 16.03
http://www.52shadu.cn/soft/15/2006/200606052114.htmlAntiVirusKit2006 (AVK2006)木蚂蚁社区绿色版(v16.0.5)+KEY
http://www.eyabo.com/soft/7/76/3431.htmlAntiVirusKit2006 (v16.0.7)专用精简版 (有升级KEY)
http://blog.sina.com.cn/u/55f2afbd010003lfAntiVirusKit 2006 精简中文版
Name: fischer2815 Serial : 7j1n1e
http://bbsnan.vicp.net/topic.cgi?forum=48&topic=27
第十二名的AVAST!
现在网上最火的杀软AVAST中文版
来自捷克的AVAST,已有17年的历史,但最近才在我们这里兴起,它在国外市场一直处于领先地位。
它的家庭版是免费得,只要在它的网页上填写一下资料,但是邮箱一定要写正确,这样它才能把使用KEY发给你,这你也就可以享用它14个月了,然后再注册再使用。
Avast! 的实时监控功能十分强大!它拥有七大防护模块:网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P 软件防护。 这么完善的防护系统,定能让你的系统练就一副金刚不坏之身!任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化, Avast是捷克一家 软件公司(ALWILSoftware)的产品。ALWIL软件公司的研发机构在捷克的首都-布拉格,现在他们和世界上许多国家的安全软件机构都有良好的 合作关系。
早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率,但当时仅限于捷克地区。
ALMIL公司是擅长于安全软件方面的研发,开发的Avast Antivirus系列是他们的拳头产品,Avast在许多重要的市场和权威评奖中都取得了骄人的成绩,同样在此后进军国际市场上也赢得了良好的增长率。
主要特点:
(1) 高侦测的反病毒表现,多次获得过ICSA和Virus Bulletin 100%认证,启发式强大。
(2) 较低的内存占用和直观,简洁的使用界面。
(3) 支持SKIN更换,完善的程序内存检测。
(4) 对SMTP/POP3/IMAP邮件收发监控的全面保护。
(5) 支持MSOUTLOOK外挂,智能型邮件帐号分析。
(6) 支持宏病毒文档修复,修复档案后自动产生病毒还原数据库(VRDB功能)。
(7) 支持P2P共享下载软件和即时通讯病毒检测,保护全面。
(8) 良好有效的侦测并清除病毒,如虫,广告和木马程序
(9) 病毒库更新速度快,对新型病毒和木马有迅捷的反应。
功能特性如下:
* 反病毒内核*自动升级*简单的使用界面*病毒隔离区*实时监控*系统结合*P2P和聊天软件监控保护*病毒清除*网络防护*64位系统支持*网页防护*多 国语言支持*增强型用户界面*恶意脚本屏蔽*DOS下扫描*扩展病毒库升级*移除病毒备份,占用内存不到25兆,让你老机器也流畅,在欧洲被称为唯一能与 NOD32媲美的杀软,Avast! V4.7.844,高侦测反病毒软件、0613病毒库*
绿色下载站免安装版
http://green.crsky.com/soft/3155.html现在网上最火的杀软AVAST 4.7 Professional官方中文版下载(完全免费的正版,自动升级!)
http://www.avast.com/eng/download-avast-home.html附:AVAST序列号:
S6039686R6039
W1106-FBYVE2MU
S7935192R4371
Z1106-S1BJD5AJ
S6945137R6826
L1106-WXH4K1SJ
首度测评:熊猫烧香下五大杀软表现
|
IT168 作者:御宇清风
 最 近俄罗斯的著名杀毒软件厂商卡巴斯基和国产的二大著名杀毒软件厂商瑞星和江民为“熊猫烧香”病毒打起了口水战.笔者看了他们争论的问题焦点其实有二个,一 个就是卡巴斯基和瑞星和江民能不能在没有熊猫烧香病毒特征码的情况下拦截并杀除他.另外一个是在熊猫烧香病毒感染电脑后,各个杀毒软件厂商推出的专杀工具 是不是有用?
第一个问题很关键,这关系到杀毒软件对付未知威胁的能力,现在的主流杀毒软件大多都在特征码杀毒技术外增加了启发杀毒、虚拟机判断、行为杀毒、HIPS控 制等主动防御模块,,都不同程度的拥有了对付未知威胁的能力, 这次测试采用了打口水战的三方加上金山以及目前新兴起的微点.用笔者的机器(笔者机器为p43g,512内存)做小白鼠,采用了这些杀毒软件的当前版本, 但是都是去年的病毒特征码,用收集到的今年一月的几个熊猫烧香病毒变种来试验,经过六个小时惊心动魄的试验得出了一个完整的结果.
本次测试所用五款杀毒软件分别是:
卡巴斯基互联网安全套装6.0版 病毒库日期:2006年8月
瑞星杀毒软件下载版 病毒库日期:2006年12月
江民杀毒软件Kv2007 病毒库日期:2006年12月
金山毒霸2007杀毒套装 病毒库日期:2006年11月
微点主动防御软件 测试版 病毒库日期:2006年11月
第二个问题比较复杂,因为现在的专杀工具很多.对付熊猫烧香的水平也不一样.笔者准备只在最后用试验结合几次实际工作探讨一下.
一、卡巴斯基的表现和缺憾
首先出场的是声称在这次熊猫烧香病毒泛滥中,正版用户没有一个中毒的卡巴斯基。笔者从官方网站下载了卡巴斯基最全面的KIS(卡巴斯基安全套装),并打开所有的防御功能。ps:实测结果KAV一样。 然后安装,安装好以后故意不升级病毒库,这样卡巴斯基的病毒定义就是去年八月的。同时弄到了几个今年一月的熊猫样本进行测试。  | | 病毒库日期 |
第一个熊猫病毒解压后,虽然扫描后没有发现病毒,但是一运行,卡巴斯基的主动防御模块就报警了!
 | | 红色警报 |
既然出现了红色的警报,说明这个软件的风险比较高。立即按终止。然后就是这样提示:
 | | 主动防御启动 |
按恢复后,卡巴斯基就清除了刚才熊猫造成的影响。也就是是说清除干净了。 然后笔者又运行了几个变种的熊猫,结果基本一样。然而,由于其中一个变种在解压的同时就发作,卡巴斯基当时就顿了一下,系统占用顿时非常高!虽然后来也是 弹出主动防御的拦截窗口,并提示恢复了更改。但是最后发现虽然其他软件都安然无恙,但是用来解压的winrar程序已经被感染!  | | WinRAR被感染 | 这个案例说明,卡巴斯基杀毒模块加上主动防御模块确实占用系统资源很高。在病毒也疯狂抢占系统资源的那一刹那。有可能来不及完全拦截住病毒,造成部分感染! 笔者在安装卡巴斯基的时候发现了这样一个问题,如果是自定义安装,在防御熊猫烧香病毒中发挥了重要作用的主动防御模块居然在他的默认安装时候是不默认安装启用的!  | | 默认基本保护中没开启的选项 |
默认基本保护是这样的,主动防御模块有两个选项是没有启用的。  | | 主动防御功能中没开启的一些功能 |
第二个打了红框的选项不是默认的!默认推荐大多数用户安装里面没有完整的安装主动防御!由于主动防御模块是新增加的,某些技术还在完善中。常有正常的程序 经常被主动防御报警,有时候甚至是红色的危险报警。估计卡巴斯基为了不给普通用户造成困惑,所以在自定义安装中默认不完全启用主动防御模块。 如果没有启用扩展防护,最后一步的恢复就是失败的,也就是不能完全清除。  | | 恢复失败 | 卡巴斯基的小结:卡巴斯基的主动防御确实很优秀,在特征码无法识别的情况下确实可以拦截住新的熊猫烧香 病毒,但是由于安装时候为了方便用户,没有完全安装的主动防御是不能彻底恢复病毒的影响,同时由于某些熊猫烧香的变种的传染速度很快,卡巴斯基在一些配置 相对低的电脑上不能完全阻止病毒的传染。笔者机器为p43g,512内存似乎还不够。 二、惨烈的瑞星
第二个出场的是首先和卡巴斯基发生争吵的国产杀毒软件老大瑞星,瑞星2007版增加了大量新的功能。拥有了先进的虚拟机启发杀毒技术来对付未知威胁。他也 是这次测试的几款杀毒软件中最后发布的,所以病毒库也相应最新。在官方合作的网站下载了下载版的杀毒软件我就安装并开始测试。  | | 瑞星杀毒软件2007版 |  | | 病毒库日期 | 瑞星的Vista界面确实很漂亮。为了实现全面的保护,我开启了他的全部安全防护模块。然后运行了第一个熊猫病毒。 结果,系统立即报错,连给笔者反应的时间都没有系统就重新启动了!启动完后系统立即出现这个界面。  | | 系统报错 |
然后系统已经出现了熊猫感染的症状。
 | | 熊猫感染的症状 |
不但瑞星的监控小绿伞已经被关闭,瑞星也无法启动。再看瑞星的安装目录,结果是这样一片熊猫。
 | | 被全面感染 |
最惨烈的是用瑞星自家的专杀工具清除了所有的熊猫烧香病毒后,瑞星还是无法正常启动, 连监控都变成了关闭的小红伞! 可以说是被熊猫烧香彻底破坏了。
三、略有遗憾的江民
江民在这次口水战中声称自己也有可以防御未知病毒的主动防御模块,笔者测试江民2007版的时候发现了他确实增加了比较全面的HIPS主动防御模块。完全开启是不是可以对付熊猫烧香的攻击呢?
为了测试,笔者也在官方下载点下载了一个2007版江民杀毒软件,还是只用他初始的病毒特征码库。
 | | 病毒库日期 |  | | 开启关键的系统监控 | 然后运行下载的熊猫烧香病毒,果然被他的主动防御能力拦截住了!  | | 主动防御发威 | 点按禁止,然后继续拦截了下一个衍生物。  | | 再次拦截 | 再次禁止就彻底拦截了熊猫烧香病毒,然后又试验了几个熊猫烧香的变种,结果完全一样。这种表现确实令人兴奋,因为他和卡巴斯基以及瑞星一样,手动扫描是发现不了这个病毒的!  | | 手动没有检测到熊猫 | 但是江民的这个主动防御模块由于没有智能判断能力,系统的所有改动他都要报警。在笔者先前的测试中,发现如果打开这个功能,不但系统资源占用比较多,甚至是安装一个软件就需要点击N次鼠标, 实在是不胜其烦。估计不少用户就因此关闭了这个功能,所以在这次熊猫烧香的肆虐过程中,不少江民的用户也没有逃过。还有,江民由于没有智能判断威胁程度, 所有的系统改动都没有分级,没有危险的威胁和常规改动都是一样的提示,这也让一些开启了的用户容易麻痹,有可能会无意中点击了允许。这样也会被熊猫烧香突 破,所以笔者对他的评价是有些遗憾,有拦截的能力,但是经常会因为种种原因不能得到发挥。 四、无言的金山
金山也是国产杀毒软件著名的三强之一,他在2007版中也增加了启发杀毒技术。他的启发杀毒对于未知病毒的检查怎么样呢?估计也是不少用户关心的。  | | 病毒库日期 | 笔者安装了一个内置去年十一月病毒库的金山毒霸2007。然后也打开他全部的安全选项。 结果一运行熊猫烧香病毒,结果就出现这个窗口。然后虽然监控还在,但是金山毒霸却打不开了。  | | 金山杀毒软件被破坏 | 然后,其实这时候病毒已经开始大面积传染了。连金山毒霸本身都没有幸免。  | | 金山杀毒软件被感染 |
不过用专杀工具修复以后,金山毒霸又可以正常运行了。看来金山毒霸没有被病毒彻底破坏。
五、本次测试中表现出色的微点
前几天公布微软Vista系统漏洞而出名的安全专家刘旭成立的东方微点公司也推出了一款不错的微点杀毒软件,虽然还在公开测试中,但是已经依靠其强大的行 为杀毒技术在网络上有了一批拥护者。据他们反应,各种熊猫烧香病毒都被微点一一拦截,从来都没有中过熊猫烧香病毒!笔者也在实际工作运用中用他配合其他杀 毒软件来监控系统。 为了验证微点的实力,笔者特地卸载了自己的微点并下载安装了一个老版本的微点。病毒库特征码为11月20日的。  | | 病毒库日期 |
熊猫烧香病毒一运行,然后就被拦截了。提示发现未知木马。  | | 开始拦截 | 又试验了几个变种,其中一个一解压就自动运行的也被立即拦截。没有象卡巴斯基那样造成感染winrar的不幸事件!  | | 压缩包内的病毒也被拦截 | 更新病毒特征码以后,微点也可以正常的识别熊猫烧香病毒了,这次一解压就识别杀除了!  | | 更新病毒库后就能直接检测 | 解压到桌面的文件也被立即杀除!  | | 直接提示删除 | 虽然微点还在测试中,对于一些应用程序的兼容还在完善中,关于一些正常程序进程的误报问题也还在改善中,但是在查杀未知病毒方面确实已经体现出强大的实 力。经过笔者的试用经验,感觉微点在主动防御方面的实力已经在卡巴斯基之上了!如果微点经过完备的测试,完善兼容和误报问题,确实在杀毒软件市场可以有一 定的作为。 后记:经过对几个杀毒软件的测试,可以得出这个结论:虽然熊猫烧香病毒的编写和传染没有使用新的技术, 但是在当前二种主流对付未知威胁的技术对比中,以这次和熊猫烧香病毒的对抗来说,行为杀毒技术完胜启发杀毒技术!因为这五种杀毒软件中除了微点只有行为杀 毒一种技术外,其他四种都拥有启发杀毒技术,特别是卡巴斯基和瑞星都还拥有号称第二代启发技术的虚拟机启发杀毒技术! 但是他们在用启发杀毒技术进行手动扫描都无法识别这几个熊猫烧香病毒的变种!但是他们运行时候都被二种行为杀毒技术拦截!就是利用了和行为杀毒原理相同的HIPS技术来防止未知威胁的江民也有不错的表现。看来对付未知威胁,行为杀毒技术是越来越重要了。 至于专杀工具,在这次试验中,几次对感染熊猫烧香病毒的系统恢复试验。虽然大多可以很够清除干净熊猫烧香病毒并恢复被感染的文件,但是还是有少量软件在清 除病毒以后也无法恢复。瑞星就是其中最惨烈的一个例子,这一段时间在为一些朋友用各种专杀工具清除熊猫烧香病毒的过程中,发现一些专杀工具是无法彻底清除 的,同时还有少数软件被彻底破坏,无法运行,何况由于所有的GHOST备份文件都被删除,就是运气好能全部清除并恢复。也还是给用户造成了不小的损失。因 此虽然在感染了病毒以后用专杀工具是一个无奈的选择,但是如果能够在第一时间防止病毒入侵的话确实是能够真正彻底避免损失。 |
|
从熊猫烧香看国内外反病毒厂商的差距
|
目 前国内用户所使用的反病毒产品大多是金山、瑞星、江民、趋势国内产品和卡巴斯基、Symantec、 Mcafee. J0ker还测试过,或者正在用一些在国内比较罕见的反病毒产品,比如Bitdefender、 AVG 、 CA eTrust 、 Nod32 、F-secure、Avast 等.J0ker无意把这个小文写成一个反病毒软件评测文章,仅从技术角度和部署情况来聊下国内外反病毒引擎和技术的比较,兼聊下国内外杀毒厂商的经营理念.
国内杀软和国外杀软没有可比性
按反病毒软件部署的目标来分类,可以分为:
1) 单机/个人用户: 金山、瑞星、江民、趋势(Pccillin)、卡巴斯基、Bitdefender、Nod32、Symantec、Avast
2) 服务器: Mcafee、 F-secure、AVG、 Symantec
3) 办公网络环境:Symantec、Mcafee、 CA eTrust、 趋势(Officescan)
国内的瑞星、江民也推出了网络版的反病毒产品,但是笔者没有接触过,就不敢妄加评论了.
评 价一个反病毒产品的性能好坏、不能单纯的从它在测试中的排名、或者测试中杀毒数量的多少来进行比较,必须是按照其产品定位,将其部署到生产环境中,才能看 出产品的优劣.很显然,在一个办公网络环境中部署、管理单机版的反病毒产品将是管理员的噩梦,而在个人用户机器上部署服务器版的反病毒软件也会有机器性能 和保护效果的损失.
国外的反病毒厂商的反病毒方案产品线大多包含了服务器版和网络版,个人版的杀毒软件只是产品线中的一环,并不是大部分 业务收益的来源.而国内的反病毒厂商则把大部分精力放在个人反病毒产品上.这种产品定位的区别可以从技术积累和目标市场的成熟程度上得到答案.国外的信息 化和信息安全重视程度远比国内的高,因此对反病毒产品的要求并不单是能杀病毒那么简单,而是要求反病毒产品成为信息安全体系中坚固的一环,并对整个信息安 全体系的稳固性产生积极的影响.而在国内,因为信息化程度和信息安全立法等大环境的不成熟,市场的需求还是以个人用户的病毒防护为主.因此,从这个角度来 说,国内的杀毒厂商和国外的杀毒厂商是不具备比较条件的.
Mcafee、Symantec与国内厂家的不同之处
举 个例子,Mcafee 的 Virusscan Enterprise版本本身的杀毒能力中规中距,在各杀毒评测中的评比一直是徘徊在中上水平,其查杀国内木马病毒的能力也比国内的反病毒产品为弱,但是 Virusscan Enterprise部署的环境是定位为企业环境下的网络安全防护产品,它预定义的访问保护规则和缓冲区溢出防护,再加上Mcafee ePO的支持,就能够满足企业的需要,构成整个企业信息安全体系中的中坚.Symantec的部署体系、趋势Officescan的网络威胁快速反应,也 是所属厂商所独有的.而国内的反病毒软件只做到其中反病毒的一项功能,其初级的访问控制能力在现在的0day 漏洞大潮中对用户毫无保护能力.
再 举个例子,非本土厂商的反病毒产品的设计目标是满足用户的部署需求,在满足部署需求的前提下,某项性能的轻微损失是可以接受的—— Symantec 和趋势的杀毒能力在众多杀毒测试中是落后于国产反病毒产品的,但是Yahoo选用Symantec、Hotmail选用趋势就很能说明问题,在大数据流量 的环境下,能过滤95%病毒的高速过滤和部署后业务的低影响才是用户的部署需求.Symantec和趋势都有对应的邮件反病毒网关,拥有为大规模邮件系统 特别设计的负载平衡、高速过滤等功能,就是国内反病毒厂商的技术能力所望尘莫及的.
从市场效益上看,服务器产品、网络产品和定制产品方案的收益是远超个人安全产品的,遗憾的是本土的反病毒厂商一直被排斥在这几类高端业务之外,显然和经营理念、发展战略是分不开的,单纯努力的增强自己技术力量并不能从根本上解决这个问题.
从反病毒的技术方面分类,反病毒产品也可以分为:
1) 基于特征码的反病毒引擎:除Nod32、瑞星(不确定)之外的大部分反病毒软件
2) 基于虚拟机的反病毒引擎:Nod32、瑞星(2007版本)
基 于特征码的杀毒引擎占据了反病毒市场的绝大部分份额.因为从功能实现的技术难度、针对已知病毒威胁和升级的难易程度来说,都要比使用虚拟机内核的反病毒产 品来说要容易的多,而且使用虚拟机内核的反病毒产品本身的杀毒机理是根据扫描目标的行为或操作来定义是否病毒.因此一个不完善的虚拟机内核反病毒产品很容 易漏掉在其行为特征库里面没有定义的病毒.在这次熊猫烧香病毒风波中,Nod32的表现就很不令人满意,原因也在于此.
因此市面上的大部分反病毒产品引擎都选择了更稳妥的特征码检测方式,某些反病毒产品还使用了多套反病毒引擎作为备份,以多套病毒特征码保证对病毒的变种检测能力.
从 病毒样本反汇编的结果看,卡巴斯基和江民的病毒特征码的定义都定位在样本的代码段,而卡巴斯基更喜欢定位在样本的关键代码处,相对来说对付病毒变种是要比 江民要强一点,因为非关键代码的改动要比关键代码容易不少.而江民的注册表、键盘记录控制和卡巴斯基的主动防御则各有千秋.其他厂商的特征码定位则有点偷 懒的意思,偶尔会有定位在目标样本数据段数据、甚至是只根据样本长度来判断的情况出现.对于进行加壳的样本来说,现在的大部分反病毒产品的解决方案都是附 带一个脱壳引擎,并建立常见壳的特征库,进行相应的脱壳操作后再进行杀毒扫描,新推出的瑞星2007就以脱壳能力为其一个卖点.
对于能够进行自加密和动态加密的病毒来说,单纯的脱壳/特征码扫描机制是无法检测的,使用虚拟机内核进行目标样本的动态分析才是更好的解决方案,但是高速高效的虚拟机内核引擎本身对反病毒厂商的技术开发能力要求也是很高的,从这点上看技术门槛也不低.
总结
由 于国内信息安全形势的畸形,网游木马、银行木马的流行程度远比国外要严重得多,国内反病毒厂商纷纷以此为卖点来销售自己的产品.从某种程度上来说,这是机 遇,更是对国内反病毒厂商的伤害,在做应用层面的产品的同时,国内反病毒厂商放在基础技术研究的精力也就要相应减少,再继而开发不出高端的产品,没法对自 身实力的增强产生积极影响,如此便形成了一个恶性循环.
这次熊猫烧香病毒风波的口水战,便是国外反病毒厂商看不起国内厂商的技术水平引起,国内厂商对此也要负一定的责任.作为市场的竞争对手,对方怎么看不重要,只有自己的技术和实力提升上去才能让对方闭嘴,国内反病毒厂商的技术增强和经营理念的转变显然还任重而道远.
咖啡是需要自定义的,熊猫我们宿舍中了,但我用咖啡,加了些自定义规则,虽然我中了,但是病毒压根没法发作,最后那个病毒的来源文件删掉,天下太平,上面说咖啡不能防木马,这的确是,但如果你加好规则,木马和流氓软件根本就没法下载到你机器里,规则网友有上传,很容易找到的。当然,仅限于企业版,个人版没有自定义。。。。。总之,咖啡是款防患于巍然的杀软,配置好了不用升病毒库照样不中毒
——by 舜子
|
|
Monday, January 29, 2007
看清手中的利器:五大杀毒引擎分析
发布日期: 2006-12-20
1.诺顿:这个最熟悉了,诺顿的杀毒软件实际上防止侦测方面做得并不是很好,很多病毒程序在子程序段中经常借鉴搞崩诺顿的代码,希望在新版本中诺顿可以采用更强的自身防护技术。诺顿的引擎应该是完全自成封闭体系的,没有资料证实诺顿曾经购买或者借鉴过别的杀毒引擎。传闻很多公司都在设计时参考过卡巴斯基的泄漏版引擎设计,因此曾经在微软社区在线聊天时,问过这个问题。回贴一致认为诺顿借鉴卡巴斯基的杀毒引擎毫无必要,它自己的引擎搞得挺好的。
有一个叫fenssa的家伙甚至回贴说不考虑病毒库因素,诺顿的杀毒引擎相当先进,综合防护性能很好。在微软,除了用mcafee的就使用诺顿的(这一点我比较相信,很少见到别的杀软在微软被使用)。从诺顿的技术文档描述和在病毒论坛上流传的29A的一个家伙搞的一篇叫虚拟机环境下诺顿工作过程的步进追踪和反编的文章来看,诺顿的杀毒引擎应该是传统的静态代码对应与实时监控的完美结合,应该有一些改进的虚拟机技术在里面(诺顿的人并不怎么推崇虚拟机技术)。诺顿的杀毒速度慢,应该源于诺顿采用了较多的静态代码这种传统的检查方式有关。我个人非常喜欢诺顿的隔离机制,我认为在没有确定完全正确的处理方式之前,删除是不应该被采用的。一个高手写的病毒应该能尽可能的与系统进程相关,在这种情况下,隔离的优势立刻显现。诺顿资源占用量比较大,但实现了如下设计目标:能识别的病毒和被识别为病毒的进程完全可以正确处理,对已经不可能产生破坏作用的’病毒尸体‘不会产生误判,更不会出现出现一次又一次的在处理完某病毒后又检测其为病毒的状况。
很多人认为诺顿企业版和个人板采用的引擎完全一致这种理解不很正确。实际上企业版在个人板的技术上还是有改进的。zdnet上刊登过一篇文章指出:企业版和个人版引擎的核心规则完全一样,但在前端文件汇入部分企业版是优于个人版的,企业版使用了更多的API接口。文章中说,在大规模文件扫描时,企业版明显优于个人版。并且由于使用了负载技术,企业版资源占用还好一点。另外据说企业版支持基于网络的多重负载技术。
2.Mcafee: 记得看过一篇报道说mcafee收购过别的杀毒软件引擎设计公司,据回贴可知为所罗门。在网上很少能看到关于对mcafee的杀毒引擎进行过分析的技术文档,但从他自己宣传的资料看,mcafee对虚拟机技术和实时监控研究的都挺彻底的。比如他最近宣传防止应用程序溢出(大致这个名字)的技术,应该是在不考虑硬件平台的情况下虚拟机技术和实时监控技术结合的上乘之作,尽管经常出现错误的溢出侦测(软件层面的放溢出技术确实不很稳定)。在处理大量的文件时, mcafee有一定的速度优势(微软社区中有这个问题的论述)。
有来自于mcafee论坛的消息说,mcafee 正在研究更先进的智能码扫描技术,估计肯定比东方卫士搞得要好。根据组长的回贴,McAfee自发布VSE8.0i以来就着重于"前慑防范"这一新型的安全领域,并且NORTON也在超这一方向迈进。"前慑防范"一共分为两个部分,其一为运用部分防火墙技术外加其入侵检测技术有效的阻断病毒的传播源,以至于病毒在传染的初期无法得到大面积的传播降低了危害性;其二为依*其强大的特征码检测技术(Extra.dat)对病毒的行为方式、特征代码等进行检测,依*它强大的研发团队以及策略联盟伙伴使其在这一领域独树一帜。诺顿能在其新版产品中也加入了一些原本属于防火墙的功能。发邮件询问诺顿的研究人员为什么没有采用特征码杀毒技术,回应说一个完美的特征码扫描技术应该能够达到根据用户的指定加入特定文件为病毒的目的,也就是当用户指定某个活动程序为病毒时,杀毒软件的引擎能够根据自身的规则为该活动程序定义一个特征码,并且在控制该活动程序时,能够有效地断绝其与系统正常进程的关联。在没有这个水平之前,诺顿不会大规模采用特征码技术。从mcafee的技术文档来看,mcafee也只是有限度的试验性的研究该技术,并在比较有把握的地方应用。实际上两家公司在这方面还有很长的路要走。
3.卡巴斯基:论坛上被过度神话的杀毒软件。我个人非常尊重卡巴斯基的高水准,但说句实话,在不考虑资源占用的情况下,卡巴斯基并没有什么足够的理由能够让我放弃诺顿,二者的水平并没有什么差异。在稳定性上,卡巴斯基比诺顿要差一些。由于早些年卡巴斯基的引擎曾经泄漏(实际上泄漏的并不是初始源代码,只是泄漏的引擎可以比较容易的反编),因此网上可以找到很多关于卡巴斯基引擎的非常详细的技术分析,尤其是德国的病毒高手写的关于如何优化卡巴斯基杀毒引擎的文章,被认为是所有采用卡巴斯基引擎的杀毒软件厂商必看的文章之一,就象美国人写的那篇VB100到底怎么测试杀毒软件(里面作者综合近几年的测试结果推测了VB100在测试时可能使用的病毒类型,相关比例等)是杀毒软件厂商在将自己的软件送测前必看的文章一样。
从网上大量的分析文档看卡巴斯基的虚拟机技术是很优秀的,但是去年有人发贴认为卡巴斯基的良好的性能来源于它非常庞大的病毒库和良好的升级速度,其杀毒引擎设计水平并不高于其余的公司。卡巴斯基的引擎采用了所谓的单一形式的规则判断,众所周知诺顿是基于分类的规则处理。卡巴斯基的引擎在文件标识比对病毒库的时候被认为有着很好的性能,充分利用了处理器的处理能力,"但令人担忧的是,该公司对最新出现的技术并不充分重视"(英国的计算机杂志去年年末的评论),究竟是对原有引擎进行彻底改进还是大量使用新技术,估计谁都不知道。卡巴斯基的引擎存在叫做所谓的"过与简短的文件码"问题,说白了就是有时候会鞭尸,它的研究人员说正在改进。前段时间有人发帖子中指出病毒编写者只认可卡巴斯基,说实话看了很多论坛文档,好像没有哪个强人这么说过。卡巴斯基走的是与美国厂商有很大区别的研发道路,卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并不是全部。卡巴斯基是一款很好的杀毒软件,但并不是神。应该说它与诺顿,mcafee一样都站在杀毒软件的顶峰水平上。
在国内,一直有江民的杀毒软件采用卡巴斯基引擎的传闻,说句实话业界相当一部分杀毒软件都参考了其引擎设计,即使在国内也没有足够的信息证实只是江民参考了其引擎设计。很多人都使用各种各样的病毒包对卡巴斯基和江民进行测试,测试结果是完全一样。说句实话,这种测试并没有什么可信性,对化石孢的检测各种杀毒软件结果几乎都一样。
只有两种方法能够说两者的引擎如何:1.将两款软件送至VB100或者类似的权威机构进行测试,如果两者对其中未知病毒的测试结果(这个结果并不公布,厂商自己去买)完全一样,那什么都没说的。两个不同的引擎机制在对待同样大规模的未知病毒库时出现相同的检测结果近乎是不可能的。可惜的是,江民没有参加过 VB100测试,好像也不大可能个人有足够庞大的未知病毒库来进行检测。2.采用类似于破解的方法进行反编,分析整个软件的工作机制,工作量有多大相信都能猜出来,也没有见过有人搞过这种研究。因此我个人只能认为江民可能(较大程度的)参考了卡巴斯基的杀毒引擎设计,但从两款杀毒软件的灵敏程度,杀毒速度等诸多方民看,即使江民采用了卡巴斯基的引擎,江民也应该进行了很大程度的源代码修改或者优化,另外也有消息说江民在引擎中加入了一些自己开发的技术,在实现方法上类似于数字码技术。霏凡上曾有高手指出假如公布两款软件的源代码,可能并不会有人能看出二者有什么关系。实际上,当发现江民的软件并不能使用卡巴斯基的病毒库的时候,我们就应该知道即便曾经借鉴过,二者也已经可以被认为是不同的杀毒引擎。
可能在win3.x平台下,二者曾经很相近;但是今天我们在使用winxp.即使江民确实采用过卡巴斯基的引擎,那么可以说江民在某些方面发展了这套引擎,尽管这种发展未必与原始的研发方向相符。但无论基于何种角度考虑,我认为江民的杀毒软件还是有优秀之处的。毕竟你回头看一看国内的杀毒软件厂商,在真正的技术研发领域只有这么一面旗帜偶尔飘扬。一步步走下来,江民还是有技术进步的。只就纯技术因素而论,假如江民采用了卡巴斯基的引擎,那么今天两家厂商在不同的方向上发展着那套原始的引擎,这未必是坏事,只要不固步自封,我们好像没什么必要争论两家厂商是否一个原始祖先,怕的就是在别人都往前跑的时候自己停下来,这跟自取灭亡没什么区别。尽管市场是杀毒软件厂商的第一要素,但别忘了技术是一个杀毒软件能否基业常青的决定性力量。
4、第四个就是熊猫了,这个西班牙的东东,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大,金山好像现在就在防熊猫,监控好像不是,杀毒和升级都是防造熊猫的,金山的监控很垃圾,用用就知道了。
5、DR.WEB、也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。和卡巴基本是一样的,但引擎和技术不一样,是俄罗斯官方和军队的采用的产品,商业和个人大多是采用卡巴,分两个版本。只有一个对外,而且它的技术是俄罗斯国家科学院为后盾的。这个杀毒软件公司目标不是赚钱,纯粹为了技术,所以现在都没有中文版,它从来不把二进制病毒和不能发做的木马列入病毒库,所以在一些测试中名字不是很*前,甚至很少参加测评,但杀毒实力绝对在卡巴以上,占用内存很少,差不多4兆。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。今天用驱逐舰全面扫描了一下,没有发信什么但用DR。WEB一扫发现这么多没有扫出来,虽然大多数是广告。看来核心技术比dr.web 还是差很多,大家不要以为你真的用上了DR。WEB 人家俄罗斯说了,核心的东西是不卖的.驱逐舰用的它的引擎,但毕竟是假蜘蛛,杀毒效果和DR。WEB根本不一样。
NOD32 VS 卡巴6(终极对决:能力的解析)
2007-01-17
有2点可以肯定:NOD对国产木马不如卡巴敏感;NOD在VB100测试通过率比卡巴高
关于卡巴好还是NOD好,前段时间我仔细对比过
在各位斑竹和高手的介绍下搞明白了一个问题:NOD略优于卡巴
原因:
1。NOD的资源占用极度少,机器运行速度和网络速度跟裸奔差不多。(NOD>卡巴)
2。木马可以不考虑,只要有防火墙防止木马外联就行。木马不能外联,那木马也就是躺在硬盘上的尸体而已,
没有丝毫威胁。(NOD=卡巴)
3。在一定程度上病毒也可以不考虑,只要病毒不占用资源就行(杀掉的好多都是躺在硬盘上的病毒的尸体)。
一旦病毒运行,就看监控能力了,而NOD的监控能力公认强于卡巴。(NOD>卡巴)
4。关于杀毒能力(NOD≈卡巴),我们看看NOD和卡巴的综合杀毒能力 :
卡巴:超大病毒库+超强脱壳+主动防御
NOD:大病毒库+强脱壳+强启发式
超大病毒库+超强脱壳>大病毒库+强脱壳(卡巴>NOD)
主动防御VS强启发?
菜鸟不懂主动防御的规则:强启发>主动防御
高手懂规则:强启发>=主动防御(有权威部门测试过,强启发略优于主动防御)
所以卡巴的超大病毒库+超强脱壳+主动防御≈NOD的大病毒库+强脱壳+强启发式
结论:NOD>=卡巴
不过没有一款杀软能杀所有的毒
所以为更安全可以NOD主打,卡巴周末扫,我现在就这样的
另外,国产的病毒在第一时间内只有国产的杀软才有用,所以追求更安全环境的朋友可以再加上一款绿色的国产
Saturday, January 27, 2007
纵观2006国内外安全软件
作者:EaKers 日期:2007-01-17
计算机病毒、网络安全问题已经牢牢地粘住了我们,每天都有新病毒产生,每天都有机器感染,网络世界布满了陷阱,如何保证网络安全已成为现代网络越 来越突出的问题。事情也许没有那么可怕,既然有病毒,那就想办法除掉它、远离它,安全软件就是我们的好帮手!
目前市场上的安全软件种类比较多,国内外反病毒厂商的竞争非常激烈,产品更新换代速率也非常快。为了能更有效地应对日益严重的网络安全问题,很多产品都集成了防火墙、网络实时监控等功能,可以对付网络钓鱼、网银诈骗等常见的网络攻击手段,基本实现了立体化的计算机保护系统。
我们先来看看在网上经常出现的一些数据:(初步了解一下)
杀毒软件病毒阻杀率(2006.12.22):
Kaspersky Personal Pro version 5.0 .................. 97.93%
AVK version 15.0.5 ...................... 93%
F-Secure 2005 ...................... 97.55%
eScan Virus Control version ........................... 96.75%
Norton Corporate version ........................... 91.64%
Norton Professional version 2005 ............................ 91.57%
McAfee version 9.0 ........................... 89.75%
Virus Chaser version 5.0 ............................ 88.31%
BitDefender version 8.0 .......................... 88.13%
CyberScrub version ........................... 87.87%
Panda Platinum 2005 .............................. 87.75%
version ............................. 75%
Arcavir ............................... 87.73%
MKS_VIR 2005 ................................ 87.70%
RAV version ............................. 87.26%
F-Prot version .......................... 87.07%
AV-test十一月测试结果:
认识一下全球五大杀毒引擎:
1、诺顿:首创实时监控技术,杀毒引擎相当先进,综合防护性能很好。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。
2、咖啡:主要能力是防毒,也用了虚拟脱壳技术,基本所有壳都可以干掉.
3、熊猫:西班牙的,全球第一个自动升级的,引擎相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以国内用户觉得不太好用,占内存很大。
4、俄罗斯的卡巴斯基:卡巴斯基的引擎采用了所谓的单一形式的规则判断,其在文件标识比对病毒库的时候被认为有着很好的性能,充分利用了处理器的处理能力。卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并不是全部。
5、DR.WEB:也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。全世界最厉害的杀毒引擎,比卡巴斯基 都厉害。基本上可以杀所有的壳,用的是动态虚拟机脱壳技术。
那么现在就让我们回顾一下2006年的安全软件市场吧!
2006年的安全软件市场可以用四个字来形容:十分热闹,国内是木马和流氓横行。各大厂商纷纷出手打击,宣传大战也是此起彼伏,展示着具有突破性技术进步,以及在国际权威测试上获得的好成绩。新兴的几个厂商也携自己的一些独门绝技四处出击,加上诺顿、卡巴斯基、驱逐舰、Nod32等国际厂商在国内市场上攻城掠地,让2006年的国内安全市场竞争异常激烈!用“惨不忍睹”来形容也不过分 。
国际的发展最初相对平静,迈克菲、赛门铁克、CA、趋势等四大巨头继续强势表现,纷纷正常发布了自己的2007版产品,二线厂商以卡巴斯基、Nod32、 BitDefender等也是咄咄逼人,新的杀毒防毒技术也不断成熟,逐渐开始风行。随着所有安全厂商最可怕的对手微软今年年中也高调进入安全领域,并推出了成熟的产品。加上下半年围绕着Vista对各大安全厂商的开放问题,几乎所有的安全厂商都和微软较上劲了!国际安全市场的发展也开始暗潮汹涌,变得诡异莫测起来!
下面请看现代版的三国志吧 (国内三大厂商争雄):
今年国内的杀毒软件市场主要还是金山、江民、瑞星三大安全厂商占据的,它们今年都有不小的进步。金山和江民都在年中抢先发布了他们的2007版产品,瑞星年底才发布。现在流行的反钓鱼、电子邮件监控等功能在三大安全厂商的软件中都应有尽有,同时他们的杀毒软件都集成了自己的防火墙,其中尤以瑞星的防火墙在国内防火墙中评价较高。
金山在功能和易用性上优势比较明显,界面功能的划分与安排合理又清晰,功能比较全面、丰富。其病毒库更新频率增高,病毒检查速度非常快,实时监控程序也有了长足的进步,但在信息反馈功能上还是不太理想,不过从整体上来说,金山毒霸的综合优势还是非常明显的,性价比较高。金山的2007版在保持了原先的低系统资源占有等优点情况下,改进了他的对病毒脱壳的能力,加入了流行的反钓鱼技术。最关键改进是提出了全新的数据流杀毒技术,金山的解释是:基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
江民的2007版产品的进步也不小,杀毒引擎进行了更新,提供了流氓软件的清除工具,也对 Rootkit类病毒有了一些解决办法,不过最大的亮点还是新增加的系统级行为监控,启用了类似HIPS的监控技术(估计是目前没有智能判断能力的原因,正常的行为也报,如果全部打开这些监控,上网也会有些困难,电脑运行速度也下降了不少)。如果加强这个技术的智能判断,不再是看到什么都汇报,那就是目前国际上逐渐风行的行为杀毒技术了!希望江民2008年可以在此基础上真正实现行为杀毒方面的突破!
瑞星2007是三大杀毒厂商最后一个在年底才发布的,瑞星的发布气势很大,六国语言同步发行。高调宣布首先使用了虚拟机脱壳杀毒技术,用碎甲技术监控Rootkit入侵,且国际主流的启发杀毒技术也在2007版中出现。虽然他宣称的全球首创技术有人提出质疑,但是他确实是国产杀毒中第一个引进虚拟机技术的,2007版对加壳病毒的剿杀确实进步不小,启发杀毒引擎也有表现。不过估计是监控引擎没有根本的改进,占用系统资源很高的问题还是没有解决。
而近来,由于海地光缆被地震破坏。造成很多国外杀毒软件不能升级或者升级困难,瑞星断然宣布免费提供瑞星杀毒软件和防火墙一个月的软件下载升级服务,几乎同时金山宣布免费提供杀毒软件37天,江民也做出了类似的承诺。他们充分体现了一个负责任的厂商风范。也为他们赢得了非常好的口碑!
三大厂商为了体现自己的权威地位同时也是为了参加海外市场的角逐,今年也开始热衷于参与国际认证。瑞星在国内首次于今年六月通过了英国西海岸实验室的全部评测,六月开始也参与德国的AV-test测试,虽然排名不高,但是还超越了一些著名的厂商。一直不太参加国际评测的江民今年也参加了英国西海岸实验室的评测,9月评测全部通过后,最近又胜利全部通过了复检。金山选择了参加最困难的VB100%测试,可惜最终失败。瑞星和江民都宣称获得了微软的Api支持,都宣布推出或即将推出支持Vista系统的产品。
三大厂商对市场反应的能力相当不错,在反流氓大势已定的情况下,一直保持旁观的三大安全厂商突然纷纷出手,瑞星高调推出卡卡3.0,对流氓软件宣战,江民宣布在杀毒软件中加入反流氓模块。金山推出系统清理专家来对付流氓软件。这些真正有实力的专业选手终于也参与对流氓软件的斗争了,既为自己赢得了足够的眼球,也一定程度上是为了防止360安全卫士这样的软件崛起来威胁自己的江湖地位(360安全卫士免费捆绑卡巴斯基的运作方式确实对他们造成了不小的冲击)。
列强诸侯的冲击(二线安全厂商)
今年在三大杀毒软件之外,国产杀毒软件最火的就是光华和微点了。光华在国内的一些评测中表现惊人,在这些测试中他不但超越了国产的杀毒软件,甚至还超过了国际上著名的赛门铁克和卡巴斯基。它是国内唯一通过微软全球金牌认证,查杀速度也在国内领先,目前国内杀毒软件主流的监控及杀毒技术基本上都拥有。可惜它在参加权威的VB100%测试失利了。
微点虽然还没有正式上市,但是由于他是以国际上正在流行的行为杀毒技术为主,特征码为辅助的杀毒软件,从去年下半年一开始公测,就有很多安全技术爱好者纷纷下载试用,他的主动防御技术对于病毒特别是未知威胁的防护有很好的表现。经过一年多的公测,微点的稳定和兼容也有了不小的进步。经过一年的发展,现在在网络上也有了不少死忠的Fans,影响也逐渐越来越大。但是由于他主要运用的是目前前卫的行为杀毒技术,智能判断的算法还在完善中,所以对用户要求也相对比较高,有些情况下需要用户对他发现的威胁进行判断,防止微点的误报。他目前和很多杀毒软件的兼容也不错,还可以安装其他的杀毒软件来配合他。如果能够进一步提高智能判断的算法并加强行为规则库,并补充足够的病毒特征码,使之更加适合普通用户的操作。相信正式上市后会有良好的表现。
很多人都羡慕国外有免费的杀毒软件,其实国内也有。曾经在国内有一定影响的东方卫士现在就全面免费了,用他的免费序号注册还可以正常升级。他的功能也比较全面,操作简单。如果没有合适的杀毒软件,东方卫士也是一个不错的选择。“东方卫士”,采用了双码-安全码和特征码技术;独有的“一防二杀三恢复”的防毒理念,将完全解决各种新老病毒对您计算机的侵害,彻底改变病毒特征码检索和查杀的传统杀病毒原理,并改变传统杀病毒软件的思维悖论,对未知病毒具有极佳的反毒效果,可以有效的防御各种未知病毒的肆虐。
原来的市场领导者金辰公司和美国CA公司成立冠群金辰以后,实际上就一直用CA公司的产品来包装成自己的KILL安全胄甲防病毒系统,依靠CA公司的InoculateIT和Vet双引擎强大的杀毒能力,今年推出的KILL安全胄甲2006个人版获得了VB100%、ICSA实验室、西海岸实验室等全球18家权威认证。可惜由于种种原因,只是在企业级市场上有不错的表现。个人市场一直很安静,甚至购买也没有国产的主流杀毒软件方便。
今年最大的安全新闻就是流氓软件事件了,自从奇虎推出360安全卫士并免费捆绑卡巴斯基个人版,开始公开的对各种流氓软件宣,并引发了他和雅虎的论战,也把一直被隐藏的流氓软件危害问题揭露了出来,经过半年多的论战,各种对付流氓软件的软件和技术也纷纷出现。也逐渐舆论上形成对流氓软件的强大压力,并且逐渐得到了政府部门的关注和支持。最后也让国内的主流杀毒软件厂商参与了这场战争!
现在国内三大安全厂商的强势市场地位已经形成,如果没有非常好的机会和突破性质的技术进步,其他厂商目前很难对这些一线厂商的地位进行冲击。当年瑞星通过 CIH事件营销再加上江民的一些失误一飞冲天的故事现在比较难出现了。他们现在恐怕也不会给其他厂商这个机会了,今年的三大安全厂商的流氓软件攻略就生动的体现了这一切!
乱世出英雄(防火墙篇)
网络安全不能没有防火墙,传统安全软件架构主要就是杀毒软件和防火墙,防火墙在防止攻击和木马入侵方面起了非常关键的作用。如果拥有一个设置好的优秀的防火墙,电脑的安全可以得到相当的提升,是配合杀毒软件的重要工具。当前国内混乱的网络状况使得很多网友纷纷选用各种防火墙,国内的各种防火墙也大量应运而出。
国产防火墙软件目前最有名的就算是天网防火墙了,他一直有免费的版本提供,这几年来培养了不少忠实用户。天网防火墙可以对应用程序数据包进行底层分析拦截功能,内置了很多实用的规则,并且可以自动更新规则。今年推出的3.0版新增了应用程序 MD5值校验系统,发现原来通过的程序有变化就阻止并提出警告。
费尔个人防火墙是国内的新秀,他也是主要依靠对网络底层进行数据过滤来防护的,靠规则来防护各种威胁。他一直以免费策略,来进行市场推广。他今年发布的3.0在界面和功能上有了不小的进步。
以防止Arp欺骗出名的风云防火墙1.2、以防止DDOS出名的冰盾防火墙 v8.1、以防木马为主业的天盾网络防火墙2006等免费防火墙在2006也吸引了一些用户的关注。国产的杀毒软件中大多目前也都带有了自家的防火墙,和他们的杀毒软件配合可以得到不错的防护效果。在市场上也都有自己一批拥护者。
国际风起云涌,四大巨头的合纵连横
迈克菲、赛门铁克、CA、趋势等四大安全巨头今年最初的发展一直很平稳,基本都在差不多的时间发布了自己的2007个人版杀毒产品。由于它们和微软以前一直有不错的合作,都拥有微软操作系统部分源代码,它们的产品更加稳定并且兼容性很好。
赛门铁克今年发布了它的企业版10.0以及 Symantec Client Security3.0,作为首创即时监控技术的厂商,虽然系统资源占用越来越大,但是依靠它全面且稳定的防护能力还是取得了不少用户的青睐。下半年为了和微软的Vista兼容,不但开始开发兼容Vista2007版产品,岁末首先推出了支持Vista的10.2企业版,还似乎为了和微软赌气,还推出了兼容Vista的诺顿360产品的测试版。
CA 公司今年针对大中型型企业力推eTrust Threat Management8.0 的全方位防护组合,针对小型企业用户推广eTrust EZ Antivirus 7.0和eTrust EZ Firewall 5.5组合,这个组合小而强悍,占用系统资源也少。CA公司去年收购Tiny公司后,今年就把Tiny公司一批优秀的产品和技术集成到自己的安全家族中,特别是在个人防火墙测试中经常排名很靠前的Tiny Personal Firewall更是加强了它在个人安全市场的影响。
趋势的企业版主要针对的是大企业用户,功能组合多,产品线长,但是在个人用户市场相对低调的多。它的OfficeScan企业版实际表现要比它的个人版要好不少。不过今年没有发布大的升级。随着微软的让步,它支持Vista的版本也开始了测试。随着中国市场的发展,趋势会在2007年在中国设立研发中心,到时候会对国产病毒会有更好的反应。
从McAfee 到迈克菲,据McAfee相关人士介绍,采用迈克菲作为公司品牌的中文标识经过了深思熟虑,迈克菲是McAfee的中文音译,McAfee希望在世界各地人们均以同一种发声方式解读McAfee品牌。而“迈克菲”三个字也各有寓意。“迈”意为跨越,展示McAfee对公司的祝福及对未来的判断;“克”有克制、战胜之意,攻无不胜,战无不克,诠释说明了迈克菲的主要业务方向; “菲”形容草木茂盛丰美,包含了迈克菲对在中国市场发展前景的判断和美好预期。也许George Samenuk对于博大精深的中国文化没有太深的了解,对“迈克菲”三个汉字背后所蕴含的意义也无法深刻体会,但中国市场对McAfee的重要是它能够深深感受到的。迈克菲公司是到了年底才发布它产品线中的最重要的产品VirusScan Enterprise 8.5i。这个经过三年等待的产品确实不负众望,不但功能组合更加人性化,还在原先优秀的 File Defend(文件防御能力)基础上增加了Registry Defend(注册表防御能力)。这样就是对于不是非常熟悉系统的用户也可以设置 好,还可以获得更全面的系统安全。加上它的ePolicy orchestrator控制,可以在局域网内构建起一张安全大网。
欧洲军团百花齐放
安全厂商的垄断程度可能是软件领域最低的,虽然市场有四大巨头主导。但是二线厂商不但众多。在技术和市场运作上都各有千秋,特别是在新技术的开发和应用上二线厂商一直是领先的。
杀毒软件方面目前最为壮观强大的就是欧洲军团,其中俄罗斯双雄卡巴斯基、Dr.web尤为强大。卡巴斯基今年发布6.0,不但降低了系统资源占用,还集成了具有行为杀毒能力的主动防御的模块,对付未知威胁的能力有了本质的进步。它对于病毒的反应速度也是最快的,上报的病毒样本只要一二个小时后就可以杀除了!卡巴斯基在国际上影响很大, Aladdin 、 Nokia ICG 、 F-Secure 、 Sybari 、 GData 、 Deerfield 、 Alt-N 、 Microworld 和 Borderware等公司的软件产品都集成了它的杀毒引擎,特别是在这几年市场营销动作很大,不但逐渐巩固了在欧洲的市场,也在原来不太成功的北美市场也快速攻城略地,也是先和AOL合作,为AOL的用户免费推出基于卡巴斯基互联网安全套装 6.0 个人版设计的 Active Virus Shield,结果一举打开美国市场,促销活动也频频出手。其中在感恩节一天干脆免费发送个人版杀毒软件!在内地的市场由于利用中俄文化年的机会搞起了促销,加上它和奇虎360安全卫士免费捆绑、和网易合作推广50元正版以及和各大媒体的各种活动使得它的市场分额不断攀升,已经开始对国产杀毒软件的传统优势形成了挑战。今年年底的海地光缆中断事件中,卡巴斯基的快速反应以及积极应对也让它的影响力在天灾后不降反升!
Dr.web 由于是俄罗斯军方专业的杀毒软件,所以一直在市场推广上很低调。但是其高效的虚拟机启发杀毒使得它的资源占用很低和强悍的杀毒能力,继续得到追捧,早期被国人认识的金山首先在它的毒霸2002里面集成了它的引擎。同时,运用了它的引擎的驱逐舰在国际市场上也有很好的反响(没有Dr.web的启发技术的驱逐舰就可以在国内外有不错的表现,可以想像原汁原味的Dr.web有多强悍!)。今年发布的4.33版保持原来系统占用低,灵敏度高的优点情况下进一步改进了它的引擎,还针对个人用户推出了单文件的免费杀毒软件cureit下载试用,扫描功能和完整版完全一样。只是少了即时监控能力。
白俄罗斯的Vba32一直以启发杀毒出名,监控全面强大,和Dr.web的技术上有一定的交流,从去年的3.0版以后不断加强其特征码的收集。功能也越来越全面强大。今年也和Dr.web一样,新推出了免费的绿色版VBA32 Free Scanner。
罗马尼亚的BitDefender今年推出了10.0,依靠其强悍的杀毒能力和多达50万的海量病毒库加上今年在TopTenREVIEWS获得性价比第一的美名得到不少网友的追捧。它的老版本8.0现在可以免费提供。
捷克的AVG Anti-Virus是欧洲著名的杀毒软件,今年发布的7.5版本功能全面,无论是启发还是特征码杀毒技术都很成熟。让我惊讶的是它提供了功能缩水最少的免费版杀毒软件,只是有部分功能无法设定,其它都和收费版本相同!国内用户耳熟能详的杀木马软件ewido被它收购并集成在自己的安全组合里面。这样也为它赢得了不少关注。
捷克另外一款著名杀毒软件AVAST今年发布了4.7版,它有着非常全面的文件和网络监视功能。占用系统资源也很低,更有千变万化的换肤界面可以选择。它的免费版杀毒软件在市场上也很有名。
北欧冰岛的F-Prot Antivirus今年推出了6.0版,加强了监控能力。它的实时监控非常灵敏,界面简洁、功能全面,系统资源占用也很低,并且可以支持dos命令行杀毒,优秀的启发引擎可以轻松的识别不少新的威胁。
芬兰的四引擎(包括卡巴)杀毒软件F-Secure一直是国际各大杀毒软件评测前几名的常客,在它强大的四引擎监控下,很难有病毒能逃生。它今年主要发布了2007版的个人版和6.03企业版。有意思的是它的企业版官方提供6个月的试用版本下载!
Norman今年的发布的5.0在原来强大的杀毒能力基础上增加了SandBox(沙盘)诱捕技术,可以查杀未知病毒了。个人感觉就是类似Dr.web、Nod32的虚拟机启发杀毒技术。
德国的著名Antivir(国内昵称小红伞)今年发布了7.0,其原来的系统占用低、扫描速度快等优点继续保持,其特色的强启发引擎继续有着不错的表现,网页监视能力特别是杀木马的能力突出。今年在瑞星参加过的德国的AV-test测试上基本保持第一第二的地位。它的免费版杀毒软件也只是少了很少功能,引擎和病毒库和收费版本完全相同。在国际上非常有名,在国内更是有着不小的影响。
德国另外一个著名的杀毒软件 AntiVirenKit今年有了很大的变化,原先它一直是依靠卡巴斯基和BitDefender双引擎以及启发技术来打天下。今年的2007版突然改为卡巴斯基和AVAST双引擎。在AV-test测试上2007版表现比2006版表现确实要好些,只弱于Antivir(它们这一段时间基本把持这个测试的前两名)。
英国牛津Sophos今年推出了Sophos Anti-Virus 6.5,功能全面,特别是网页监视能力强大。依靠独到的InterCheck技术,它即时监控功能占用系统资源很少。不过今年它最出名的是发布6.5版的时候声称可以绕开PatchGurad的封锁来监控系统。
西班牙的熊猫(Panda)在欧洲名气不小,也是著名的老牌安全厂商,由于它和微软、ICSA等有着很好的合作,使得它的产品在系统底层上得到了完整的支持。在中国和方正公司合作推广,今年的主要动作也是发布了2007安全套装。和方正的合作也对于它的入侵防护 TruPrevent企业版销售也不小的促进。
美国双雄
美国市场虽然有迈克菲、赛门铁克等巨头存在,但是也还有一些优秀的安全厂商在这有很好的发展。其中最著名的就是Eset的NOD32产品家族,它的产品线很长,在世界各地获奖无数!特别是在著名的 VB100%的测试中表现卓越,创造了44次参加仅仅三次失手神话!它常年在启发杀毒测试中领先,更重要的是它以虚拟机为基础的启发式扫描算法成熟稳定,所以误报率很低。四年来一直是微软labs御用的杀毒软件。今年重点发布的的2.7版是最早完全兼容Vista的杀毒软件,继续保持了原来占用系统资源小,扫描速度飞快的优点,还增加了Anti-stealth和反Active Rootkit tool,对活动的Rootkit也有很好的清除能力。今年在大中华区市场开始发力,从年中开始可以申请三个月的升级ID,这样就极大的推动了它的影响力。不过由于价格问题,感觉销售似乎一直不好,最近的海地光缆中断也影响了它的软件升级,它和卡巴斯基同一天做出了反应,它干脆提供了两个免ID的临时服务器给用户升级。据可靠消息,中国区的升级服务器很快也会推出!
由在美国的一批华裔成立的Fortinet(飞塔)公司也是著名的安全厂商,其核心产品是一系列的病毒防火墙产品,采用先进的行为加速和内容分析系统技术,到目前为止已经荣获了多个权威奖项。其FortiGate病毒防火墙是世界上唯一获得反病毒、防火墙、VPN、入侵检测四项ICSA认证的产品。目前它的病毒防火墙在国内和神州数码的合作推广也取得了不错的成绩。它们的杀毒软件杀毒能力优秀,启发杀毒灵敏度高(不过误报也稍高)。在一些安全评测中成绩也非常好,特别是在德国AV-test最新的十一月测试中仅仅排名在二个德国杀毒软件后面。
韩国双璧
我们的邻国韩国也有两款不错的杀毒软件,在韩国占主导地位的是安博士,目前在韩国的市场占用率高达70%,遥遥领先其它杀毒软件。依靠其专利引擎 WARP Engine的表现,在各个国际杀毒软件评测中也屡有斩获。主推的个人版V3产品和企业版APC(AhnLab Policy Center) 这两年在中国也逐渐有了不少用户。
驱逐舰是基于DR.web的强大引擎而设计的杀毒软件,也是在不少国际杀毒软件测试中获奖的常客。今年在国内市场开始发力,各种推活动不断,特别是最近和众多媒体多次举行送软件的活动为它赢得了不少人气。2007年会集成启发杀毒功能,杀毒能力会有进一步 的提高。
行为杀毒逐渐风行今年杀毒软件技术发展上最大的新亮点就是行为杀毒技术的逐渐风行,所谓行为杀毒,就是在杀毒软件监控下,发现异常的程序或系统行为做出判断并提示用户。这种技术使得杀毒软件对付未知威胁的能力大大增加。目前有不错行为杀毒技术的厂商除了中国的微点还有下面 几个。
印度的Sanrasoft公司的Rudra可以说是行为杀毒的先行者之一。安装后系统的任何文件、配置、系统管理文件变更,以及应用程序文件作出的有威胁的改变,都会被Rudra评价威胁程度。任何改变一旦被发现有潜在的威胁将会马上的作出反应。软件会每3分钟对硬盘扫描一次。其不仅仅是会移除有潜在威胁的文件,而且还可以将系统还原为原始的未被感染前的状态。它的2005版在美国市场获得了不错的反响后。今年推出的2006版更是加强进一步了行为规则数据库。
美国新推出的Cyberhawk是很简单的杀毒软件。可以不要设置就可以直接安全使用,但是没有Rudra那种快速主动扫描的功能。经过长时间的测试,对以前的误报问题做了很大的改进。和其它软件的兼容也越来越好,它的定位比Rudra低调,是作为一些主流杀毒软件的补充,是为了对付主流杀毒软件不能发现的未知病毒。估计正式上市后会对Rudra的市场会有一定的冲击。
英国的Prevx1也是今年开始兴起的行为分析类的安全软件。不过行为数据库的收集和分析能力和上面两位还有一定的差距。误报和漏报也相对严重一些。
卡巴斯基今年集成的主动防御也是基于行为杀毒来设计的,作为它强悍的特征码杀毒技术良好的补充。确实提高了它的杀毒能力,今年卡巴斯基在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中表现卓越。
纵览世界上这些中小型安全软件厂商,大多都有自己的特色技术和功能。虽然目前大多不能和几大巨头抗衡,但是在各自的区域市场上都各领风骚。对于新技术它们也更加热衷引进试用。而迈克菲、赛门铁克等巨头厂商相对就保守的多,新技术不是很成熟不会引进,现在它们相当程度上依靠强大的资本力量收购一些新兴的厂商来获得它们成熟的新技术完善自己的产品。
中小型安全软件厂商中市场和技术方面数卡巴斯基和NOD 32最为强大,它们也一定程度上具备了和几大巨头对抗的实力,它们和迈克菲也是今年仅有的三个全部通过VB100%测试的厂商!今年进入杀毒软件的微软一出手就显示了强大的实力,在不少杀毒软件测试中也取得了不错的成绩,加上它当前比较低的价格,对所有的杀毒软件都形成了现实的威胁!加上Vista系统的开放疑云,以及各安全厂商和微软之间关系的扑朔迷离(NOD32第一个推出支持Vista系统的杀毒软件事件背后明显有微软的影子!),Vista的推出将使得一些中小型软件制造商更难于竞争。也促使行业主要厂商赛门铁克和McAfee纷纷降低产品价格!虽然开放了Vista核心编写保护程序部分的API程序,但是对于各个安全厂商特别是中小型厂商的分析技术也提出了要求,如果能力不够,也就意味者被Vista淘汰出局! 2007年市场的走向确实扑朔迷离……
软件防火墙
其实大部分著名的安全厂商无论是赛门铁克这样的巨头还是卡巴斯基这样的中型厂商,它们除了拥有杀毒软件外,也大多也有自己的防火墙等安全组合,其中有不少性能卓越。今年国际上防火墙的发展也是越来越全面,不但可以越来越有效的控制网络传输,甚至部分开始拥有了杀毒软件和HIPS软件的能力!下面介绍一下除了那些安全厂商软件组合内中防火墙外,今年在国际上最流行的几款独立个人软件防火墙。
今年最火的个人软件防火墙还是老牌的ZoneAlarm最出彩,在各种评测中多次获得第一的佳绩。对于用户要求也低,几乎不要进行复杂的设置,还有免费的版本提供。今年一直主推的6.5版不但有传统的全面防火墙功能,还增加了反间谍功能,同时可以和自己能够识别的杀毒软件进行配合操作。经过一段时间的测试最近刚发布了最新的7.0,其中最让我们的惊喜的是增加了基于HIPS技术的主动防御技术!其中的 ZoneAlarm Internet Security Suite 7.0套装更是增加了一个基于卡巴斯基引擎的杀毒软件!
Agnitum Outpost Firewall 是目前惟一支持插件的防火墙,它不但可以靠规则设定来防护系统,还支持不断通过插件来扩展功能,它支持的功能甚至包括了广告和图片过滤、内容过滤、DNS 缓存等功能。占用系统资源也小。今年推出的4.0关键是增加了前摄安全保护功能,利用全新的256位SHA算法来取代原来的MD5算法来验证已被识别的应用程序,进一步加强了数据进出的安全。
Look'n'stop 是一个非常专业的防火墙,体积很小,占用的系统资源更是少的惊人。今年一直是在2.0上进行改进升级,它的设计原理是先禁止所有本地和所有远程的连接操作,再设置安全规则来允许,在初始时不信任任何程序和操作,需要自己来进行设置,如果设置的好确实非常强大。所以对用户要求比较高,不是很适合普通用户。
BlackICE今年一直在3.6版上做改进,新增加了应用程序控制(Application Defend)技术。它拥有强大的入侵检测,分析以及防护功能,而且很容易使用,可以识别 200 多种入侵技巧,并且可以收集入侵者的信息,非常适合服务器的防护。
新兴的专业安全利器:HIPS
HIPS (主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。
HIPS的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系, File Defend(简称FD)文件防御体系三类。下面介绍几款今年比较流行的HIPS软件。
老牌的System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD功能。 System Safety Monitor(简称SSM)是目前最红的HIPS软件 .
ProcessGuardPortExplorer(简称PG)的操作最简单,可以直接拦截程序钩子和Rootkit,更适合普通用户使用。目前的3.X版已经很稳定强大了,它也拥有同时AD功能。不过可惜目前没有中文版提供。
Ghost Security Suite(简称GSS)今年发布的1.1版也很简单,资源占用低且灵敏,和SSM一样拥有AD和RD。兼容在HIPS软件中也是比较好的。
ProSecurity 是今年发布的新东东,当前的是1.25版。它占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。稳定也不错,对于AD控制采用了先进的SHA效验技术,也提供了免费版本,比专业版本少了底层磁盘控制、程序钩子监视、物理内存保护和防盗取密码等功能,功能界面组合的很好,比较容易上手。更有意思的是它目前只有英语和中文简体两种语言.
WinPatrol是老牌的系统安全软件,今年发布了10.0版。主要只有AD功能,可以实时监视系统服务,设置应用程序规则和黑名单功能。虽然功能不是很强大,但是它主要是面向中低端用户的产品,易用性很高,对用户的要求低。
SafeSystem 2006(简称SS)今年发布了2006版,是目前HIPS软件中相对较少拥有FD功能的软件,可以对你系统文件和选择的文件进行全面的保护。但是目前稳定和兼容偏差。
Safe'n'Sec Personal (简称SNS,国内昵称犀牛)俄罗斯的犀牛也是是HIPS新秀,还是目前惟一拥有AD、FD、RD等3D合一的HIPS软件!更难得的是它有行为智能判断能力,这样就接近行为杀毒的水平,不像其它的HIPS软件那样所有的操作都要询问一下,这可是本质的进步,也是它向更全面安全工具发展的基础。它还有一个带BitDefender杀毒引擎杀毒功能的个人版更是全面强大!
有趣的安全工具:影子系统
由于现在网络安全实在糟糕,就是一些大型的网站也会被黑并挂木马,层出不穷的病毒木马和流氓软件让网络已经成为一个步步陷阱的威胁区域。这种情况下,影子系统应运诞生,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中影子系统的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程序(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程序安装测试非常有用,不会因为安装卸载而产生垃圾文件!因此影子系统成为不少用户上网看网页的安全选择。也成了一些专业用户测试软件的好工具。
目前的影子系统最流行的是PowerShadow Master,当前版本是2.82。它是原联想部门经理鲍禹卿开发的,它开发出影子系统后,在国内共享软件难以见到收益的环境下,暂时放弃国内市场,开发英文版并在欧美市场采用代理方式销售后,现在软件认知度很高,国内渐渐也有很多用户。在2006年底,鲍禹卿决定将这款优秀软件打入中国市场,以获得更庞大的用户群,如果是个人用户使用,它还是免费的!
它有两种模式:一种是保护系统分区,一切对系统的更改在下次启动后全部无效,对非系统分区的更改是有效的,一种是全盘保护模式。它独创的影子模式让真正的系统具有隐身的能力,使你拥有一个真正自修复免维护的系统。
还有一个常用的影子系统是联想笔记本电脑自带的冰封系统,主要功能类似,不过没有PowerShadow Master全面。
由于影子系统的运用需要重新启动,对于需要在影子状态和正常状态经常切换的用户会比较麻烦。于是,一种类似微型影子系统的沙盘软件Sandboxie应运而生,只要用这个软件启动相应的程序,譬如IE,就会在IE的上面两边出现[#],然后你在IE中做的任何操作,包括存盘都是虚拟无效的,就是网页上有什么木马和病毒也只是虚拟感染,关闭就没有了。
总结:
对于安全软件,每个人都有自己喜欢和信任的。国际巨头的产品大多成熟而稳定,其它的厂商大多有自己的特色或独特的技术,在某些方面或者某些地区有自己的优势。国内厂商的本地化程度更高,虽然技术上和安全界领先有些距离,但是对国内的各自新的威胁反应相应要快的多。还有很多国际厂商大量推出长时间的测试版和同时提供缩减一些功能的免费版也是值得国产杀毒软件厂商借鉴的,不提供足够试用的机会,只靠广告恐怕也是难真正获得用户的忠诚度,金山毒霸的在内地和日本市场崛起除了广告恐怕就大面积长时间的免费试用打出来的影响力,2006年的卡巴斯基又一次用这种方法在国内和美国市场攻城略地……
在市场竞争如此激烈的今天,技术确实很重要,但是如果没有优秀的服务,也是会失去用户的,所以现在一些国际厂商的本地化工作现在也越来越好了,其中特别是卡巴斯基以其快速的病毒反应能力已经在国内用户中建立了信心。今年台湾地震引起海地通信光缆中断后,造成很多国际杀毒软件升级困难。虽然某些巨头级安全厂商对此或者顾左右而言它或者装聋作哑,国内三大杀毒软件厂商做出了非常负责任的表现,国际厂商卡巴斯基和NOD32也有不逊于国产三大安全厂商的表现!
深入浅出windows的dll文件
来源:黑客基地 2006-2-7
今天又中木马了,木马咋越来越多了,弄的我的心跋凉跋凉的,经过一查找,发现原来是一个名叫XX的木马,到木马存放目录下面,发现了一个dll文件,心想:小样的,你穿上马甲我也认识你,于是就单击--右键—删除。。。。一个dll文件就这样被删掉了,不要对dll太狠了,要知道这可是程序员的血汗啊。。为什么这样说呢?那我们先来认识一下什么是dll
dll实际上是动态链接库的缩写,从windows1.0开始,动态链接库就是整个操作系统的基础,那么这有什么作用呢?在dos时代,程序员是通过编写程序来达到预期的目的的,每实现一个目的就需要编写一个程序,这样下去,简单的还好,要是复杂的程序话,那乞不是既浪费时间,又浪费青春。于是聪明的程序员们想出了一个办法,把的实现一定功能的程序模块存放在一个文件当中,以API函数形式存放在dll当中,当编写程序的时候,需要用到这个功能,那么直接从这个文件当中调用就可以了,于是就出现了dll——动态连接库。
那么动态连接库有什么作用呢?
优点之一,上面已经提过了,程序员把一些模块压入dll文件之后,在要运行程序的时候只需要调用动态链接库就可以了,而并不需要把dll加载到内存中,节省了大量的内存空间,可以方便运行其他的程序,许多朋友在关机的时候,一直关不了,整的郁闷,其实就是因为系统所调用的dll太多,导致了计算机性能的骤减,其实只需要把一些无关紧要的dll删除掉就可以了
优点之二,在一个很大的游戏中,通常需要调用许许多多的动态链接库来给玩家一个美观震撼的效果,《极品飞车9---最高通缉》让本文作者我感受到了一种从来没有感受过的感觉,那种感觉就象是初恋的味道,画面效果棒极了。可是要实现这样一个效果,需要许多程序员编写不同的dll来互相协助,那么这些dll可以用vc++,vb,Delphi,asm等等来完成,只要每个程序员负责编写一个功能,这样只要调用在一起就方便多了,节省了大量的人力,物力,财力。
既然dll有这么多好处,而且又这么方便,我那木马的程序员又做出过什么呢?他只不过
调用了系统的dll函数罢了(windwos系统中有3个非常重要dllkernel32.dlluser32.dllgdi32.dll其中包括windows系统诸多功能的函数)
呵呵,其实话不能这样说。木马的编写者也需要有很深的工夫哦,那么我们现在以黑客之门做为一个例子来看看,这个例子需要的工具depend walker,可以在黑客基地论坛黑客兵器库http://bbs.hackbase.com/viewthread.php?tid=2860045& fpage=1下载
我们首先来看看用depend walker打开黑客之门的动态链接库
我们发现,在左边的hkdoordll.dll下面的树状结构,显示出了黑客之门所调用的dll列表,从这里不难发现,其实dll也可以调用dll。那么dll我们可以把他看做是一个exe文件,只是少了一个入口函数而已(就暂且这样理解)
分支下有分支,而右边中间的那4个东东,这个是dll的输出函数表,在function栏目下的是输出函数的名称,因此,我们可以很容易发现,黑客之门hkdoordll.dll主要负责4个方面的任务。DllRegisterServer DllUnRegisterServer ServiceMain DllCanUnloadNow
然而这对于一个后门来说已经够了,这需要作者有足够的编程知识,我们再一次向作者致敬。分享了这样一个环保无污染的后门。
通过对上面的知识的理解。我们可以发现其实,dll可真算是一个大宝库,不要对他太狠,一看到可疑的就丢到垃圾筒里去了。其实dll文件还可以盗用哦。盗用的工具,可以在黑客基地论坛黑客兵器库http://bbs.hackbase.com/viewthread.php?tid=2859649&fpage=1下载
我们用他来打开黑客之门的dll,可以看到他的版权等等,对于有位图,音乐,图表,对话框的dll,我们也可以看到他里面的全部内容。我们可以修改版权,更换位图,更换音乐,更换对话框,总之只有你想不到的,没有你做不到的。
那么既然dll被这样多程序调用,如果结束掉这个木马后门dll的调用过程,那么这个后门是不是没用啦,那回答当然是肯定的,那么如何知道DLL文件被几个程序使用呢?
我们只需要:
运行Regedit,进入HKEY_LOCAL_MACHINE\Software\Microsrft\Windows\Current-
Version\SharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
嘿嘿,这下知道window优化大师那分析dll的原理了吧。
在黑客基地论坛的新手学堂里,经常看到有人求助:我的搜索栏什么也不能显示了,怎么办啊?如图
其实那是因为dll没有注册造成的。
只需要在开始---运行—然后注册两个dll然后重新启动就可以了,具体方法是
regsvr32 vbscript
regsvr32 jscript
当你看到跳出个对话框,里面写着,vbscript 中的dllregister server成功的时候,说明已经注册成功了
什么?还要注册?或许你看到这里开始疑问了,这什么注册啊?是不是象进入一个论坛,需要注册一个帐号才能进入一样呢?
其实系统里面的dll是分为两类的。一类是需要注册的,一类是不需要注册的。
大多数都是通过命令regsvr32来注册的。而windows为了减少所调用的dll的数量,提升计算机的性能以及速度。通常只把几个重要的dll默认就注册了,不常用的dll需要你自己去注册。而注册之后,系统就可以调用他了,从而具有了相应的功能。
而当你认为你的计算机所调用的无用dll太多的时候,可以通过命令regsvr32 /u dll的名称来反注册。
有些朋友的爱机会出现这样的情况,在启动的时候,错误对话框中提示DLL文件丢失
这是因为在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
教你认识动态链接库DLL文件
日期:2005年7月14日
DLL是Dynamic Link Library的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。
1、如何了解某应用程序使用哪些DLL文件
右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
2、如何知道DLL文件被几个程序使用
运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
VersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
3、如何解决DLL文件丢失的情况
有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
(出处:http://www.vipcn.com)
DLL文件恢复之道
2003-03-04 CPCW
经常性地安装、卸载软件,各种错误操作或对注册表进行清理都有可能引起DLL文件的丢失,常常会导致软件无法正常使用。对于初学者来说这是个十分头疼的问题。下面我们来谈谈此类问题的解决办法:
由于应用软件运行时一般都是优先从自已的安装目录中调用所需的DLL文件,如没有所需文件再到Windows目录里的System文件夹中调用,所以首先必须确定软件安装目录中存放DLL文件的文件夹位置(可在其安装根目录中用查找DLL文件的方法确定)镣后将错误的DLL文件删除,接下来就是关键性的一步:提取所需的DLL文件。DLL文件的获取方法分以下两种;一是从安装光盘中提取。二是从计算机中其他应用软件安装目录下提取(可在本地硬盘中用查找DLL文件的方法获得)。下一步工作就是将DLL文件恢复到软件存放DLL文件的文件夹或系统System文件夹中,这就必须使用系统文件检查器(依次点“开始\程序\附件\系统工具\系统信息\工具\系统文件检查器”)将获取的DLL文件(需去除隐藏属性)恢复后重新启动计算机即可。此方法在Win 98下测试通过。
Tuesday, January 23, 2007
小技巧,有效阻止机器人搜索你的邮址
作者:Alpar 日期:2007-01-10
Loading...
这里有一个好玩的用法, 该用法可以阻止机器人搜索你的电子邮件地址:
给我电子邮件: moc.liamg@ehuyew
这里有一个好玩的用法, 该用法可以阻止机器人搜索你的电子邮件地址:
给我电子邮件:
unicode-bidi:bidi-override; direction:rtl; color:#c00;">moc.liamg@ehuyew
我们看到!在上面显示中,电子邮件是正常的。但是Robot和查看源代码却只能找到:moc.liamg@ehuyew !乱码?哈哈 。
注析:版本:CSS2 兼容性:IE5+ 继承性:无
语法:
unicode-bidi : normal | bidi-override | embed
取值:
| normal | : | 默认值。对象不打开附加的嵌入层,对于内联要素,隐式重排序跨对象边界进行工作 |
| bidi-override | : | 严格按照 direction 属性的值重排序。忽略隐式双向运算规则 |
| embed | : | 对象打开附加的嵌入层, direction 属性的值指定嵌入层,在对象内部进行隐式重排序 |
direction 版本:CSS2 兼容性:IE5+ 继承性:有
语法:
direction : ltr | rtl | inherit
取值:
| ltr | : | 默认值。文本从左到右流入 |
| rtl | : | 文本从右到左流入 |
| inherit | : | 文本流入方向由继承获得 |
Monday, January 22, 2007
Push Email免费使用 远程同步显神威
http://mobile.zol.com.cn/40/406519.html微软力拼黑莓 手机配合服务器 智能手机的同步给用户带来了极大的好处,但是如果能够脱离电脑和服务器同步,将会带来更大的方便,至于Push Mail,就一定要提到BlackBerry这项早在2001年已在美加地区推出的服务。BlackBerry针对的是企业用户,必须先在公司架设专用服 务器,才能把公司的电子邮件、Outlook 上的行事历资料,直接传送至用户的黑莓机上。对本身就拥有电子邮件服务器MS Exchange Server 的微软来说,即时电子邮件服务绝对是一笔能赚钱的生意。因此微软在2006年正式推出Direct Push Email 服务,和 BlackBerry 做直接的竞争。
微软Direct Push Email 力拼 BlackBerry
此项功能可以使用中国移动GPRS(CMWAP)包月,非包月用户将带来1K需要3分钱的流量费。
大家都知道移动智能设备和电脑同步的好处,能够将设备上的资料进行添加更改或者进行备份,就算更换设备,资料也可以很快的恢复到其他设备中。但是使用智能 手机最大的弊端就是必须有一台电脑才能玩的转,但是微软推出的 Exchange Server 服务很少人去利用它。其实网上已有免费的 Exchange 服务的网站,从此 Push Mail 不再是黑莓(BlackBerry)的专利,任何电子邮件对我们来说,只是一条没有限制的带附件的短信而已。
图为:手机屏幕显示内容
手机、服务器双项配合
与BlackBerry一样,要享用微软的 Direct Push Email 服务之前,也必须要硬件设备来配合,〖企业公司用户〗就必须准备好电子邮件服务器 MS Exchange Server 2003 SP2 及 Windows Mobile 5 的智能手机。至于〖个人使用者〗,其实只需要一台支持 WM5 操作系统的手机,搭配一个免费的电子邮件服务器,一样可以享受 Direct Push Mail 服务,部分手机需要通过官方网站升级ROM来使用此功能,目前真正自带此功能的智能手机只有多普达最新推出的710。
图为:多普达710(资料 文章 比价 评论)手机
注册Mail2Web 记录同步资料
目前网路上已有Mail2Web.com免费提供邮件服务器,使用者只需把Email 转送至Mail2Web电邮帐号,一有新邮件,手机立即能够收到。
Direct Push Email不仅只是接收即时电子邮件,还包括同步更新连络人、行事历的功能。而Mail2Web.com也是免付费的服务,因此使用者只需花费GPRS 数据传输的费用。
1.注册免费的 Mail2Web 邮箱
想要享受免费的Direct Push Email服务,就必须先到http://live.mail2web.com/注册Mail2Web邮箱,共有100MB的容量可供使用。
进入注册界面,填写注册必须的资料后进行注册。
完成注册后,进入到 Control Panel 的页面,选择 ActiveSync Settings,把里面的 Server Name、User Name 及 Domain 记录下来,以便一会输入到WM5手机中。
2.手机中的 ActiveSync 设置
首先打开 WM5 手机功能表中的 ActiveSync 功能,选择「功能表」中的「新添服务器来源」。
在「服务器地址」处输入已经记录下来的 Server Name 网址,接下来按下一步。
设置自动同步和邮件大小 在用户信息中,输入用户名和密码,域选择是 ad2 接这继续按下一步。这时可以看到可以选择 Direct Push Email 同步项目,将想要同步到服务器的项目前打勾就可以了。
使用者可以设置多长时间收电子邮件,以及每个电子邮件的大小,另外还可以选择是否接受附件,以便控制GPRS费用和接收速度。如果选择「项目到达时」,就可以达到即时接受的效果。
接收邮件及其他功能 3.打开 Microsoft Direct Push
图片可以看到通讯管理员中的 Microsoft Direct Push 一项(即选项3)。打开 Microsoft Direct Push 后,手机上会显示连接上网,表示正准备接受即时邮件,虽然部分 WM5 手机支持 Wifi 上网,但是 Direct Push Email 这项服务一定要使用 GPRS 来连接,否则无法更新。
当有邮件的发送到 mail2web.com 电子邮箱时,电子邮件便会自动传送到手机中,手机画面就会有新邮的提示。直接打开就可以浏览内容了。
4.Mail2Web 其它功能
Mail2Web本身也、有收费服务,就是在免费邮件上加上 POP3 及 IMAP4 功能,或甚至加上 BlackBerry 服务,而详细内容可到 www.mail2web.com 做进一步的了解。
在使用Mail2Web的免费服务时,还可以使用WM5手机接收电子邮件,由于微软Direct Push Email不仅对应邮件、联系人、日历、任务,也可以将资料上传到服务器,并在Outlook Web Access中查询。因此Outlook就可以随身携带,随时更新,非常方便。
Sunday, January 21, 2007
深入了解Windows XP的刻录功能
Windows XP——微软公司斥资10亿美元打造的“超级航母”,集成了诸如文件压缩、Internet防火墙、光盘刻录、即时通信(Windows Messenger)等众多最新功能,为用户提供了更便利的使用环境。不过,令人意外的是,Windows XP自带的刻录新功能却存在着导致数据丢失的Bug。本文将针对Windows XP自带的刻录功能,以及由此延伸出来的软、硬件的问题进行分析,希望能对大家的日常使用有所帮助。
核心技术剖析
对于Windows XP自带的刻录功能,我们主要从两方面进行分析,一是对刻录机的正确识别问题, 二是对该功能从易用性、功能性的角度进行分析。
一、硬件兼容性
这主要是测试Windows XP对刻录机的正确识别问题。我们测试了两类产品,一是明基(Benq)这样的品牌产品,另一类是品牌知名度很小的产品。经测试,Windows XP均能正确识别它们,无须安装驱动程序即可正常使用。如果你的刻录机没有被正确识别,建议升级Firmware。
二、刻录引擎
吸收、集成别人的优秀技术一直是Windows的一个特点。光盘刻录功能也不例外。 Windows XP的刻录引擎采用的是Roxio公司的刻录技术。提起Roxio,大家可能会感觉有些陌生。但是如果说到著名的Easy CD Creator,相信多数刻录机用户都不会对它感觉陌生。Roxio就是Easy CD Creator的开发商。Windows XP只是提供了最基本的刻录功能。
当刻录机被Windows XP正确识别后,在“我的电脑”的 “有可移动存储的设备”中会出现和光驱一样的图标,Windows XP会将它识别为“CD驱动器”。选中它的图标,点鼠标右键,选“属性”,点“录制”进行刻录属性设置(如图1)。
图1
选中“在这个设备上启用 CD 录制”就可以启动光盘刻录功能了。这样,当我们在不同情况下打开右键菜单时,都会有相应的刻录选项,比如“将这些文件写入CD”(如图2)。如果你安装了第三方刻录软件,如Easy CD Creator,将会看不到这些选项。
图2
在Windows XP下刻录数据光盘是先把要刻录的文件复制到存放镜像的驱动器上,制作成镜像再刻录的。存放镜像文件的驱动器是可以选择的,放“镜像”的驱动器默认的是 Windows XP系统所在的驱动器。如果你将其转换为NTFS格式,可以提高刻录时的速度。要注意的是,因为Windows XP刻录前需要制作镜像文件,所以要保留至少1GB的空间。这个过程看似复杂,其实我们只要通过“复制-粘贴”,拖放文件或选定文件后添加的方式把要刻录 的文件加进刻录列表就行了。
刻录速度可以自己选择,从最慢的1x刻录到刻录机支持的最高速度均可。不过,要注意查看CD-R/RW盘所支持的刻录速度,以免造成损失。
“写入完成后是否自动弹出CD”就看个人的使用习惯了。
另外,Windows XP使用多区段方式进行刻录,我们可以不断添加数据,只要光盘容量允许。不过,这种方式刻录多区段光盘不能使用其他刻录软件继续添加数据。
惊天Bug揭秘
一、 问题的发现
前段时间,日本微软在技术支持信息中宣布,使用Windows XP自带的光盘刻录功能向CD-R/RW盘进行写入操作时会出现丢失文件、文件夹或光盘不可读取的现象。当写入CD-R/RW光盘中的文件或文件夹是以 “医”字开头时,如果再追加记录数据则有可能造成文件丢失。根据微软的技术说明文件,仅在利用Windows XP自带的刻录上对CD-R/RW写入时才会发生。Windows XP Home Edition(家用版)和Professional(专业版)都存在这个问题。
二、 问题验证
我们使用的是Windows XP Professional版,刻录机为明基(Benq)2010A(写数据传输率:20x,重写数据传输率:10x,读数据传输率:40x)。
测试过程:
1、 先刻录一个Ricky Martin的文件夹,内有27个文件,共114MB。刻录成功,在Windows 98/XP下读取正常。
2、 再添加一个“医学测试”的文件夹,内有2个MP3文件,共6MB。刻录成功,在刻录机上读取成功。在普通光驱上,文件夹丢失。
3、 再次添加数据,刻录名为“New”的文件夹,内有4个文件,提示刻录成功。结果发现,在刻录机上读取时,所有文件夹都不见了。在光驱上,只能见到并读取Ricky Martin文件夹了。
可以看到,Windows XP刻录功能确实存在Bug。
三、解决办法
需要注意,不要向CD-R/RW光盘写入以“医”字开头的文件或文件夹以及不在包含这一类文件的CD-R/RW光盘中追加记录数据等。
图3
还有一个方法是运行Windows Update,选用“Windows CD烧盘机更新”可以解决这个问题。重新启动计算机以完成安装过程。经过验证,果然没有再出现问题。
与第三方软件的兼容性
可以看到,Windows XP的刻录功能很有限,如果要刻录可引导光盘、VCD等,必须要借助于第三方软件。这就引出了一个新问题:Windows XP与第三方软件的兼容性如何呢?
一、Easy CD Creator
Windows XP不支持Easy CD Creator 3.x/4.x版。Easy CD Creator 5.0x Basic/Platinum版可以通过在Roxio公司的网站(
www.roxio.com)下载免费补丁程序的方法来解决问题。Windows XP可以较好地支持Easy CD Creator 5.1 Basic/Platinum版。另外,还可以从Roxio网站下载Easy CD Creator 5.1 Basic的90天免费试用版。
二、Nero
从Nero 5.5.5.1版开始,Nero就可以在Windows XP下稳定运行了。目前Nero的最新版是5.5.6.4版。
刻录功能的支持
目前Windows XP还没有支持防刻死技术的选项,所以对于一些需要软件配合的防刻死技术,就无法支持了,必须安装第三方刻录软件。对于CD的刻录在Windows XP下非常方便,只需要在Media Player中选中文件刻录到CD就好了,不过大家要注意只能对WMA和WAV文件进行转换,MP3是无法进行的。对于CD+数据的刻录方式恐怕就需要进 行手工刻录了,先刻入数据或者CD音轨再加入剩下的数据。如果您要刻录启动盘,目前系统还无法支持,必须使用第三方刻录软件。
Labels: 刻录
刻录光盘须注意的事项及技巧
http://billyben.blogsome.com/2006/11/12/p60/ DVD刻录和CD刻录,从盘片到刻录机本身都有很大的不同,如不注意就会造成使用不当,轻者刻录的盘片质量不佳,严重的甚至会烧毁刻录机(真够严重的,不过出现的几率相当低,可以忽略)。笔者总结了如下经验,供大家参考。
第一 防尘、防潮
注意刻录机的清洁卫生,这一点对所有光存储设备来说都是非常重要的。
(不仅刻录机,盘片也同样要注意这些,并且重要程度要高于刻录机,本人现在用布丁桶和光盘包、纸袋等保存光盘)
第二 保证供电,在刻录之前要关闭省电功能
在刻录的过程中要消耗很大的功率才能融化染色剂(工业称之染料),并且刻录是一个相对较长的过程,所以要保证平稳的电压和较大的电流。普通CDR刻录机的功率一般在15W左右,可是DVD刻录机一般都在25-35W了,所以DVD需要更为强劲的电源来支持。供电不足首先会对刻录品质产生影响,严重的直接影响刻录机使用寿命,系统经常出现异常,蓝屏,死机,无故重启。
通常刻录一张DVD光盘可能需要6分钟至7分钟的时间(8倍速刻满整张光盘在8——10分钟,4倍速15分钟左右,16倍速在6-7分钟),如 果在刻录的过程中,启用了省电功能,就有可能导致计算机突然失去响应而停止工作,从而损坏盘片。要关闭省电功能,可以按照如下步骤去操作:首先用鼠标打开 控制面板窗口,在其中找到电源管理图标,然后用鼠标双击该图标,打开电源管理窗口,在该窗口中将电源使用方案设为“始终打开”,而在“关闭监视器”及“关 闭硬盘”两个选项中均设为“从不”模式。接着重新启动计算机,进入到CMOS设置界面,在该界面中将“Power Management”中的“Power Saving”设置为“NONE”,最后保存CMOS设置,并退出重新启动计算机。
第三 散热
刻录机功率较大,并且由于刻录的时间会相对较长,不可避免地会有很大的发热量,刻录机过热势必影响内部元件。因为选择一款散热设计较好的刻录机比较重要,同时也建议买散热较好的机箱。 (不要连续刻录较多光盘)
第四 选择质量好的盘片
一般说来刻录机的刻录品质需要品质有保证的碟片支持。但是由于价格的因素大家购买碟片时多数还是会选择廉价的碟片。 如果遇到刻录机不能识别刻录盘,或者刻好的DVD盘无法在一般的DVD播放机中播放,多是盘片质量不佳(也有刻录机比较挑盘的情况,不能完全归咎于刻录盘,目前兼容性问题不单单是质量问题)造成的。所以强烈建议大家不要因为每张省几角钱去买廉价劣质盘,毕竟好的盘片还是会物有所值的。
第五 尽量不要满刻甚至超刻
经常刻录的朋友都知道,4.7GB的DVD盘实际容量为4.38GB,那么最高也就刻录此容量的文章,尽量不要满刻或超刻。毕竟在光盘最外圈的数据相当不保险,时间一长很容易丢失,所以只刻到标称数据就好。
第六 一次性刻录 (这点有待考证,多重区段会有认不到第一个区段的现象)
不要使用多重区段,因为只有Windows XP可以支持多重区段DVD刻录盘,但放在其它操作系统下就无法识别了。
第七 适时进行碎片整理
刻录大量小文件时,最好要先对存放文件的硬盘进行碎片整理,然后再将欲刻录的文件拷入,否则发生读取错误的几率会大大增加。
第八 关闭多余任务 (这点比较重要)
与当初CD-R/RW一样,在刻录的过程中为了保证刻录的顺利进行,最好将一些多余的程序(如屏幕保护、下载文件、视频播放、音频播放等)关闭,以免降低系统效率,增加故障的出现机率。
第九 经常更新驱动与刻录程序 (这点比较重要)
应该经常关注DVD刻录机厂商是否有放出新版的驱动程序,去刻录软件的网站看是否有升级或补丁可以下载,这些更新包括了厂家对产品的一些小的修改与改进。
第十 要保证被刻录的数据连续 (这点比较重要)
由于刻录机在刻录过程中,必须要有连续不断的资料供给刻录机刻录到光盘的空片上,如果刻录机在缓冲区已空缺还得不到资料的情况下,就会导致刻录失败。所 以,在刻录之前一定要认真做好准备工作,确保被刻录的数据要保持完整连续。要保证数据的连续,一般来说可以采取以下几个措施:
A.首先通过文件操作命令,把需要刻录的一些文件都存放到同一个分区中,并且把该分区中不需要的文件删除掉,以便能腾出更多的硬盘空间。
B.下面还必须对硬盘进行整理碎片的操作,使文件不再零散地分布在硬盘上,文件能被快速检索,所以刻录性能能够得到改进。
C.为提高刻录速度,可以在刻录前创建一个物理盘片映像,然后再由该映像进行光盘刻录,几乎所有的刻录软件都支持这种盘片的创建方式。如果的系统有多个驱动器,则应确保该物理盘片映像被存储在快速的硬盘驱动器中。
D.为了避免在刻录盘片的过程中,出现数据中断现象,还要运行硬盘修复程序,可以用Windows系统内置的Scandisk磁盘扫描程序,也可以使用其他专业的扫描程序。
第十一 尽可能在配置高的机器上刻录
笔者在多次刻录的实践中发现,在高性能的计算机上刻录的成功率要明显高于在性能低的计算机上刻录的成功率,如果电脑的配置太低,刻录过程中大量的数据会使机器负荷不了的。一般来说,计算机的CPU应在200MHz以上,内存应在64MB以上。
Labels: 刻录
Nero Burning ROM V7.7.5.1 简体中文精简版
|
 http://www.appbeta.com/modules.php?name=News&file=article&sid=5852全 新的版本!使用 Nero 可让您以轻松快速的方式制作您专属的 CD 和 DVD。不论您是所要烧录的是资料CD、音乐 CD、Video CD、Super Video CD、DDCD 或是 DVD,所有的程序都是一样的。使用鼠标将档案从档案浏览器拖曳至编辑窗口中,开启烧录对话框,然后激活烧录作业。 您可以放一百二十个心,因为您几乎不可能出错。比方说,您想要制作一片音乐光盘,却误将数据文件拖曳至编辑窗口中;Nero 会自动侦测该档案的资料格式不正确 (无法辨识该档案的资料格式),因此就不会将这个档案加入音乐光盘片中。 高速、稳定的烧录核心,再加上友善的操作接口,Nero 绝对是你烧录机的绝佳搭档!如果想体验这难得的烧录感受,那你一定不能错过这个由德国公司出品的光盘烧录软件。 注意:安装后如果出现Nero Startsmart不能正常使用的原因是原版没有卸载干净,把精简版卸载再安装一边即可!
【Nero Burning ROM 7.7.5.1 简体中文精简版】:
精简版中保留的组件:
1、Nero Burning ROM 7.7.5.1
2、Nero express 7.7.5.1
3、Nero StartSmart
4、Nero 盘片封面设计
5、Nero CDSpeed
6、Nero DriveSpeed
7、Nero WaveEditor(音频编辑及插件)
8、光盘刻录机检测 InfoTool
9、各组件的中文帮助[/color] 
本版本和原版相比,优点如下:
1、安装不用输入系列号等注册信息,
2、安装一步到位,不用再安装中文语言包;
3、不会在电脑中安装自己完全不需要的组件;
4、体积小,便于携带。
软件大小:38.71 MB
软件语言:多国语言
软件类别:国外软件 / 特别版 / 刻录工具
运行环境:Win2003, WinXP, Win2000, WinME 
 立即下载(已修复)
|
专题:全面打通光盘刻录
http://www.ccidnet.com/school/zhuan/cdrw.htm 硬盘中东西太多,空间不够用怎么办?借到一张好光盘想留一张时怎么办?有了光盘刻录机这些问题就迎刃而解了。刻录机,这个几年前的高档产品现在已经成了电脑的标准配置,我们再也不用为携带大量的文件而大伤脑筋、大动手脚了。不过想成功刻录也不是容易的事,没有经验的人在刻录后试用时经常会一声惨叫:“又刻飞了!”其实只要注意一些小细节,刻录的成功率应该很高的……
※※刻录软件篇※※Easy CD Creator篇——初学者的最佳选择
强力的 CD 刻录软件,能刻录各种形式的光盘。支持CD拷贝,启动盘制作、AUTORUN制作支持几乎所有的刻录机。Platinium 版本除常规的刻录工具外,包含各种实用工具,无论是制作电子像册、VCD、光盘封套、CD、MP3 光盘都能方便地完成,就是制作 AVI、MPEG 也能通过 VideoImpression 方便地完成。
Nero - Burning Rom篇——高级的应用
作为德国出品的老牌刻录软件,Nero不仅性能优异,而且功能强大。可以说Nero Burning Rom是目前支持光盘格式最丰富的刻录工具之一,它可以制作数据CD、Audio CD或是包含音轨和数据两种模式的混合CD;还可以制作Video CD、Super Video CD、可引导系统的启动光盘、Hybrid格式CD和UDF格式CD等等。
CloneCD篇——简单而实用的光盘复制软件
CloneCD是一套强大的CD Copy程序,它以1:1的方式来拷贝CD,所以无论何种格式、资料皆能完全的复制到另片CD。与其说Clone CD是一款光盘刻录软件,倒不如说它是一款功能强大的CD Copy程序,就算源盘有保护或采用了加密技术,Clone CD仍然会忠实地将它复制到刻录盘片上。
Discjuggler篇——功能最强大的光碟复制软件
Discjuggler俗称毒蛇刻录软件,它最具特色的一项功能是能同时支持多台刻录机,对于拥有多台刻录机,并且需要大量刻盘的专业用户来说,这项功能非常实用。Discjuggler支持常见的各种光盘格式,同时,它的功能也非常全面,能满足绝大多数用户的需要,但在操作性上略显烦琐,需要设置的项目较多。
FireBurner篇——最轻巧的刻录软件
FireBurner是一个简洁又功能完整的CD-R/W烧录程式。其具有简易操作介面,让使用者能自行烧录个人的资料档案、音乐CD或混合格式的光碟,而即时解码的功能也让FireBurner可以直接将MP3档案还原烧录成音乐CD。另外,用来合法备份光碟的CD Copy功能,也可以让使用者复制资料光碟或音乐CD。
CD Mate 光碟作坊——国人的骄傲
光碟工坊是一套功能完善的烧录软件,对音乐CD的制作方面有更强大的功能,这是在其它烧录软件中所不及的部份。您无须再使用其它软件来撷取音轨再转换至wav档案,或是使用软件将mp3档案转换至wav档案。使用光碟工坊,您可以永久存贮您的资料;当然也可以制作CD,在家里的音响或汽车音响上播放。
Dart CD-Recorder——专业的音乐光碟刻录软件
可以把任何和音效卡连接的声音录起来,包括卡带、CD、LD等等。首先你可以先利用音效卡录音,然后再用DART CD-Recorder Plus去除杂音、音爆,编辑歌曲顺序,最后,如果你有CDR的话,还可以烧录CD。试用版有功能限制,如:去除杂音功能不能使用、烧录CD功能限制、不能录超过4分钟长的歌等等。
Windows XP——自带刻录功能的使用
利用操作系统内集成的CD刻录功能,您无需任何第三方解决方案就可以通过CD-R和CD-RW驱动器将数据保存到光盘上,这一操作如同将数据保存到软盘上一样简单。
※※另类运用篇※※您知道吗,利用刻录机配合相应的软件,再加上几点小技巧,您就可以得心应手地创作出形式多样、功能多多的光盘啦。在另类运用技巧篇,我们将陪着您一起来关注刻录光盘,制作自启动光盘、多系统启动光盘、加密盘、VCD盘、CD盘、系统恢复盘、光盘图标个性化、自动运行盘、自带播放器的MP3光盘以及刻录被加密光盘等,看了这么多内容,您可千万别晕,别看它样式多,制作并不复杂啊。
开拓您的才智,启动您的刻录机,一起步入多功能刻录光盘的绚丽世界吧。
※※刻录技巧篇※※全面认识防烧死技术
刻录机的应用范围在不断扩大,但是多数人对刻录机的基本性能特点还不是很了解。本文将就刻录机的一些关键知识做介绍,希望对购买、使用刻录机的人们有所帮助。
刻录机的日常保养
尽量保持刻录机水平放置,对于光储产品来说,在读、写盘时能够保持一种平稳的状态,这对于减少噪音和稳定刻盘都会有很大好处,在安装刻录机硬件时就要注意这一点。
DNS服务器全攻略
http://winsvr.org/info/info.php?sessid=&infoid=3&page=2
之一 :规划和部署 TCP/IP 协议通信是基于IP地址的,但是,谁会记住那一串单调的数字呢?因此,大家基本上都是通过访问计算机名字,然后通过某种机制将计算机名字解析为IP地址来 实现。而DNS就是一种标准的名字解析机制,在Windows 2000及以后的Windows系统中,DNS名字解析是首选的名字解析方式。
DNS域 名是以层次树状结构进行管理的,又称为DNS命名空间。DNS命名空间具有一个唯一的根域,并且每一个根域可以具有多个子域,而每一个子域又可以拥有多个 子域。例如,Internet命名空间具有多个顶级域名(top-level domain names,简称TLD),例如ORG、COM。而ORG顶级域名可以具有多个子域,如winsvr、isacn等等,而winsvr子域又可以具有多个 子域,例如tech、info等等,而tech又可以拥有多个子域。对于某一个组织而言,可以创建自己私有的DNS命名空间,不过对于Internet而 言,这些私有的DNS命名空间是不可见的。
DNS命名空间中的每一个节点都可以通过完全限定域名(FQDN)来识别。FQDN是一种清楚的描述此节点和DNS命名空间中根域的关系的DNS名字。例如WinSVR.ORG的Web服务器为 www.winsvr.org,它是通过使用英文句点“.”连接主机名www和域名后缀winsvr.org组成,其中英文句点“.”是用于连接FQDN中每一节的标准连接符,而winsvr代表组织名称,org代表顶级域。公司或组织名称可以具有多节,例如域名可以为department1.tech.winsvr.org,但是完全限定域名总长度不能超过255字节。
Internet命名空间
Internet命名空间的顶级域由ICANN管理,除了为每个国家和部分地区保留的顶级域(例如中国是CN)外,ICANN还创建了以下顶级域(截止到2005年11月):
-
.aero
-
.biz
-
.com
-
.coop
-
.edu
-
.gov
-
.info
-
.int
-
.jobs
-
.mil
-
.museum
-
.name
-
.net
-
.org
-
.pro
-
.travel
更详细的信息请参见ICANN:Registry Listing http://www.icann.org/registries/listing.html.
和Internet命名空间相对应,根据你的需要,你可以创建自己的私有根域和相应的子域,它和Internet命名空间独立,并且对于Internet而言不可见。例如,常见的私有域名如mycompany.local等等。
DNS组件
完 整的DNS系统由DNS服务器、区域、解析器(DNS客户端)和资源记录组成,并且你需要正确的进行配置。DNS协议采用UDP/TCP 53端口进行通讯:DNS服务器侦听UDP/TCP 53端口,DNS客户端通过向服务器的这两个端口发起连接进行DNS协议通讯。其中UDP 53端口主要用于答复DNS客户端的解析请求,而TCP 53端口用于区域复制。
DNS服务器
运 行DNS服务器软件的计算机。常见的DNS服务器软件有Windows的DNS服务器和Unix下的BIND。一个DNS服务器包含了部分DNS命名空间 的数据信息,当DNS客户发起解析请求时,DNS服务器答复客户的请求,或者提供另外一个可以帮助客户进行请求解析的服务器地址,或者回复客户无对应记 录。
当DNS服务器管理某个区域时,它是此区域的权威DNS服务器,而无论它是主要区域还是辅助区域。DNS 服务器可以是一级或者多级DNS命名空间的权威DNS服务器,例如,Internet根域的DNS服务器只是对于顶级域名例如“.org”具有权威,而顶 级域名.org的权威DNS服务器只是对于winsvr.org二级域名具有权威,而对于三级域名www.winsvr.org,则只有 winsvr.org域的DNS服务器才具有权威。
DNS区域
DNS 区域是DNS服务器具有权威的连续的命名空间,一个DNS服务器可以对一个或多个区域具有权威,而一个区域可以包含一个或多个连续的域。例如,一个DNS 服务器可以对区域winsvr.org和isacn.org具有权威,而每个区域下又可以包含多个域。不过,你可以通过区域委派来将连续的域例如 winsvr.org、tech.winsvr.org存放在不同的区域中。
区域文件包含了DNS服务器具有权威的区域的所有资源记录。通常情况下,区域数据存在在文本文件中,但是运行在Windows 2000或者Windows Server 2003域控制器上的DNS服务器,可以把区域信息存放在活动目录中。
DNS解析器(DNS客户端)
DNS解析器是使用客户端计算机用于通过DNS协议查询DNS服务器的一个服务。在Windows 2000及其后的系统中,DNS解析器是通过DNS客户端这个服务来实现,除此之外,DNS客户端服务还可以对DNS解析结果进行缓存。你必须在客户端计算机的TCP/IP属性中配置使用DNS服务器,此时客户端计算机的DNS解析器才会将DNS解析请求发送到相应的DNS服务器。
资源记录
资源记录是用于答复DNS客户端请求的DNS数据库记录,每一个DNS服务器包含了它所管理的DNS命名空间的所有资源记录。资源记录包含和特定主机有关的信息,如IP地址、提供服务的类型等等。常见的资源记录类型有:
| 资源记录类型 | 说明 | 解释 |
| 起始授权结构(SOA) | 起始授权机构 | 此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址,以及指示辅 DNS 服务器如何更新区域数据文件的设置等。 |
| 主机(A) | 地址 | 主机(A)记录是名称解析的重要记录,它用于将特定的主机名映射到对应主机的IP地址 上。你可以在DNS服务器中手动创建或通过DNS客户端动态更新来创建。 |
| 别名(CNAME) | 标准名称 | 此记录用于将某个别名指向到某个主机(A)记录上,从而无需为某个需要新名字解析的主机额外创建A记录。 |
| 邮件交换器(MX) | 邮件交换器 | 此记录列出了负责接收发到域中的电子邮件的主机 ,通常用于邮件的收发。 |
| 名称服务器(NS) | 名称服务器 | 此记录指定负责此DNS区域的权威名称服务器。 |
理解DNS服务器的工作方式
当DNS客户端需要为某个应用程序查询名字时,它将联系自己的DNS服务器来解析此名字。DNS客户发送的解析请求包含以下三种信息:
-
需要查询的域名。如果原应用程序提交的不是一个完整的FQDN,则DNS客户端加上域名后缀以构成一个完整的FQDN;
-
指定的查询类型。指定查询的资源记录的类型,如A记录或者MX记录等等;
-
指定的DNS域名类型。对于DNS客户端服务,这个类型总是指定为 Internet [IN]类别。
DNS客户端完整的DNS解析过程如下:
1、检查自己的本地DNS名字缓存
当DNS客户端需要解析某个FQDN时,先检查自己的本地DNS名字缓存。本地的DNS名字缓存由两部分构成:
-
Hosts文件中的主机名到IP地址映射定义;
-
前一次DNS查询得到的结果,并且此结果还处于有效期;
如果DNS客户端从本地缓存中获得相应结果,则DNS解析完成。
2、联系自己的DNS服务器
如果DNS客户端没有在自己的本地缓存中找到对应的记录,则联系自己的DNS服务器,你必须预先配置DNS客户端所使用的DNS服务器。
当DNS 服务器接收到DNS客户端的解析请求后,它先检查自己是否能够权威的答复此解析请求,即它是否管理此请求记录所对应的DNS区域;如果DNS服务器管理对 应的DNS区域,则DNS服务器对此DNS区域具有权威。此时,如果本地区域中的相应资源记录匹配客户的解析请求,则DNS服务器权威的使用此资源记录答 复客户的解析请求(权威答复);如果没有相应的资源记录,则DNS服务器权威的答复客户无对应的资源记录(否定答复)。
如果没有区域匹配DNS客户端发起的解析请求,则DNS服务器检查自己的本地缓存。如果具有对应的匹配结果,无论是正向答复还是否定答复,DNS服务器非权威的答复客户的解析请求。此时,DNS解析完成。
如果DNS服务器在自己的本地缓存中还是没有找到匹配的结果,此时,根据配置的不同,DNS服务器执行请求查询的方式也不同:
-
默认情况下,DNS服务器使用递归方式来解析名字。递归方式的含义就是DNS服务器作为DNS客户端向其他DNS服务器查询此解析请求,直到获得解析结果,在此过程中,原DNS客户端则等待DNS服务器的回复。
-
如果你禁止DNS服务器使用递归方式,则DNS服务器工作在迭代方 式,即向原DNS客户端返回一个参考答复,其中包含有利于客户端解析请求的信息(例如根提示信息等),而不再进行其他操作;原DNS客户端根据DNS服务 器返回的参考信息再决定处理方式。但是在实际网络环境中,禁用DNS服务器的递归查询往往会让DNS服务器对无法进行本地解析的客户端请求返回一个服务器 失败的参考答复,此时,客户端则会认为解析失败。
递归方式和迭代方 式的不同之处就是当DNS服务器没有在本地完成客户端的请求解析时,由谁扮演DNS客户端的角色向其他DNS服务器发起解析请求。通常情况下应使用递归方 式,这样有利于网络管理和安全性控制,只是递归方式比迭代方式更消耗DNS服务器的性能,不过在通常的情况下,这点性能的消耗无关紧要。
根提示信息是Internet 命名空间中的根DNS服务器的IP地址。为了正常的执行递归解析,DNS服务器必须知道从哪儿开始搜索DNS域名,而根提示信息则用于实现这一需求。全世 界范围内的根DNS服务器总共有13个,它们的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中,每次 DNS服务器启动时从cache.dns文件中读取。一般情况下,不需要对此文件进行修改;如果你的DNS服务器是在内部网络中部署并且不需要使用 Internet的根DNS服务器,则可以根据需要进行修改,将其指向到某个内部根域DNS服务器。
例如,当某个DNS客户端请求解析域名www.winsvr.org并且DNS服务器工作在递归模式下时,完整的解析过程如下:
-
DNS客户端检查自己的本地名字缓存,没有找到对应的记录;
-
DNS客户端联系自己的DNS服务器NameServer1,查询域名 www.winsvr.org;
-
NameServer1检查自己的权威区域和本地缓存,没有找到对应值。于是,联系根提示中的某个根域服务器,查询域名www.winsvr.org;
-
根域服务器也不知道www.winsvr.org的对应值,于是,向NameServer1返回一个参考答复,告诉NameServer1 .org顶级域的权威DNS服务器;
-
NameServer1联系.org顶级域的权威DNS服务器,查询域名www.winsvr.org;
-
.org顶级域服务器也不知道www.winsvr.org的对应值,于是,向NameServer1返回一个参考答复,告诉NameServer1 Winsvr.org域的权威DNS服务器;
-
NameServer1联系Winsvr.org域的权威DNS服务器,查询域名www.winsvr.org;
-
Winsvr.org域的权威DNS服务器知道对应值,并且返回给NameServer1;
-
NameServer1向原DNS客户端返回www.winsvr.org的结果,此时,解析完成。
查询响应类型
DNS服务器对于客户请求的答复具有多种类型,常见的有以下四种:
权威答复:权威答复是返回给客户的正向答复,并且设置了DNS消息中的权威位。此答复代表从具有权威的DNS服务器处发出;
正向答复:正向答复包含了匹配客户端解析请求的资源记录;
参考答复:参考答复只在DNS服务器工作在迭代模式下使用,包含了其他有助于客户端解析请求的信息。例如,当DNS服务器不能为客户端发起的解析请求找到某个匹配值时,则向DNS客户端发送参考回复,告诉它有助于解析请求的信息;
否定答复:否定答复指出权威服务器在解析客户端的请求时可能遇到了以下两种情况之一:
-
权威DNS服务器报告客户端查询的名字不存在;
-
权威DNS服务器报告存在对应的名字但是不存在指定类型的资源记录。
无论正向答复还是否定答复,DNS客户端都将结果保存在自己的本地缓存中。
理解缓存的工作方式
DNS客户端和DNS服务器都会缓存获得的解析结果,这样可以提高DNS服务性能和减少DNS相关的网络流量。
DNS客户端缓存
当DNS 客户端服务启动时,会读取Hosts文件中的所有主机名和IP地址的映射,并且保存在缓存中。Hosts存放在%systemroot% system32driversetc目录,当你修改Hosts文件后,DNS客户端会立即读取Hosts文件并且对本地缓存进行更新。
另外,DNS客户端会缓存过去的查询结果,当DNS客户端服务停止时,将清空本地缓存。
DNS服务器缓存
DNS服务器像DNS客户端一样缓存名字解析结果,并且可以使用缓存中的信息来答复其他客户端的请求。你可以在DNS服务器管理控制台或者使用DNSCMD命令行工具手动清空缓存,另外当DNS服务器停止时,同样会清空DNS服务器缓存。
资源记录 的生存时间(TTL)指定了资源记录可以缓存的时间的长短,而无论是DNS客户端缓存还是DNS服务器缓存;默认情况下,TTL是3600秒(1小时)。 需要注意的是,由于缓存的作用,DNS服务器上对于资源记录的修改可能不能立即生效。并且对于Internet域名来说,资源记录的修改可能会需要超过 24小时的时间才能在所有DNS服务器上完成更新。
动态更新
当DNS 客户端计算机上产生某个事件触发更新时,DNS客户端计算机上的DHCP客户端服务将会为本地计算机中使用的所有网络连接在相应的DNS服务器中对自己的 A记录进行更新,从而可以确保DNS域名记录和IP地址记录的对应关系。而DNS服务器需要配置为允许动态更新,才能让DNS客户端计算机成功完成更新。
当DNS客户端计算机上产生以下事件时,会触发DHCP客户端服务的动态更新行为:
-
添加、删除或修改了本地计算机任何网络连接TCP/IP属性中的IP地址;
-
本地计算机的任何网络连接向DHCP服务器获取IP地址租约或者续约;
-
DNS客户端上运行了Ipconfig /registerdns命令;
-
DNS客户端计算机启动;
-
此DNS区域中的一台成员服务器提升为域控制器;
对于标准主要区域,你可以选择不允许动态更新和允许非安全和安全动态更新。但是允许非安全和安全动态更新具有安全隐患,因为DNS服务器不会对进行动态更新的客户端计算机进行验证,所以任何客户端计算机都可以对任何A记录进行动态更新,而不管它是否是此A记录的拥有者。通常情况下,你不应该使用此选项。
对于活动目录集成区域,除了上述的两个选项外,你还可以使用安全动态更新。当使用此方式时,在客户端计算机更新自己的记录时,DNS服务器将要求客户端计算机进行身份验证来确保只有对应资源记录的拥有者才能更新此记录。
只有 Windows 2000及以后版本操作系统的客户端计算机才能执行动态更新,低版本的Windows系统(NT4、9x/ME)不支持动态更新。不过,你可以通过 DHCP服务器为这些低版本客户端计算机代理进行动态更新。当DHCP服务器在代理低版本客户端计算机注册A记录时,会将自己设置为此A记录的所有者。而在安全动态更新方式中,只有资源记录的所有这才能修改此记录,这样在其他DHCP服务器为此低版本客户端计算机代理注册时会出现拒绝访问的问题。因此,你需要将此DHCP服务器加入到DnsUpdateProxy安全组中,这样当DHCP服务器更新A记录时,不会记录下此A记录的所有者信息,从而允许其他DHCP服务器来修改此A记录。
区域委派
一 个完整的DNS区域包含以自己的DNS域名为基础命名空间的所有DNS命名空间的信息,当基于此DNS命名空间新建一个DNS区域时,新建的区域称为子区 域。例如,完整的winsvr.org区域包含了以winsvr.org为基础命名空间的所有DNS命名空间的信息,而tech.winsvr.org则 称为winsvr.org的一个子区域。
默认情况下,DNS区域管理自己的子区域,并且子区域伴随DNS区域一起进行复制和更新。不过,你可以将子区域委派给其他DNS服务器来进行管理,此时,被委派的服务器将承担此DNS子区域的管理,而父DNS区域中只是具有此子区域的委派记录。
区域委派适用于许多环境,常见的场景有:
-
将某个子区域委派给某个对应部门中的DNS服务器进行管理;
-
DNS服务器的负载均衡,将一个大区域划分为若干小区域,委派给不同的DNS服务器进行管理;
-
将子区域委派给某个分部或远程站点。
你只能在主 要区域中执行区域委派。对于任何一个被委派的子区域,父DNS区域中只是具有指向子区域中权威DNS服务器的A记录和NS记录,而实际的解析过程必须由委 派到的子区域中的权威DNS服务器完成,即被委派到的DNS服务器上必须具有以被委派的子区域为域名的主要区域。
在Windows Server 2003的DNS服务器管理控制台中,提供了向导工具,可以让你轻松的完成DNS区域委派。
DNS区域类型
在部署一台DNS服务器时,你必须预先考虑DNS区域类型,从而决定DNS服务器类型。DNS区域分为两大类:正向查找区域和反向查找区域,其中
-
正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;
-
反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,DNS服务器在反向查找区域中进行查找,并返回给DNS客户端对应的FQDN。
而每一类区域又分为三种区域类型:主要区域、辅助区域和存根区域,其中:
主要区域(Primary): 包含相应DNS命名空间所有的资源记录,是区域中所包含的所有DNS域的权威DNS服务器。可以对区域中所有资源记录进行读写,即DNS服务器可以修改此 区域中的数据,默认情况下区域数据以文本文件格式存放。你可以将主要区域的数据存放在活动目录中并且随着活动目录数据的复制而复制,此时,此区域称为活动 目录集成主要区域,在这种情况下,每一个运行在域控制器上的DNS服务器都可以对此主要区域进行读写,这样避免了标准主要区域时出现的单点故障。
辅助区域(Secondary): 主要区域的备份,从主要区域直接复制而来;同样包含相应DNS命名空间所有的资源记录,是区域中所包含的所有DNS域的权威DNS服务器;和主要区域不同 之处是DNS服务器不能对辅助区域进行任何修改,即辅助区域是只读的。辅助区域数据只能以文本文件格式存放。
存根区域(Stub):存根区域是Windows Server 2003新增加的功能。此区域只是包含了用于分辨主要区域权威DNS服务器的记录,有三种记录类型:
-
SOA(委派区域的起始授权机构):此记录用于识别该区域的主要来源DNS服务器和其他区域属性;
-
NS(名称服务器):此记录包含了此区域的权威DNS服务器列表;
-
A glue(粘附A记录):此记录包含了此区域的权威DNS服务器的IP地址。
默认情况下区域数据以文本文件格式存放,不过你可以和主要区域一样将存根区域的数据存放在活动目录中并且随着活动目录数据的复制而复制。
当DNS 客户端发起解析请求时,对于属于所管理的主要区域和辅助区域的解析,DNS服务器向DNS客户端执行权威答复。而对于所管理的存根区域的解析,如果客户端 发起递归查询,则DNS 服务器会使用该存根区域中的资源记录来解析查询。DNS服务器向存根区域的NS资源记录中指定的权威DNS服务器发送迭代查询,仿佛在使用其缓存中的NS 资源记录一样;如果DNS服务器找不到其存根区域中的权威DNS服务器,那么DNS服务器会尝试使用根提示信息进行标准递归查询。如果客户端发起迭代查 询,DNS服务器会返回一个包含存根区域中指定服务器的参考信息,而不再进行其他操作。
如 果存根区域的权威DNS服务器对本地DNS服务器发起的解析请求进行答复,本地DNS服务器会将接收到的资源记录存储在自己的缓存中,而不是将这些资源记 录存储在存根区域中,唯一的例外是返回的粘附A记录,它会存储在存根区域中。存储在缓存中的资源记录按照每个资源记录中的生存时间 (TTL) 的值进行缓存;而存放在存根区域中的SOA、NS 和粘附A资源记录按照SOA记录中指定的过期间隔过期(该过期间隔是在创建存根区域期间创建的,在从原始主要区域复制时更新)。
当 某个DNS服务器(父DNS服务器)向另外一个DNS服务器做子区域委派时,如果子区域中添加了新的权威DNS服务器,父DNS服务器是不会知道的,除非 你在父DNS服务器上手动添加。存根区域主要是用于解决这个问题,你可以在父DNS服务器上为委派的子区域做一个存根区域,从而可以从委派的子区域自动获 取权威DNS服务器的更新而不需要额外的手动操作。
DNS服务器类型
根据管理的DNS区域的不同,DNS服务器也具有不同的类型。一台DNS服务器可以同时管理多个区域,因此也可以同时属于多种DNS服务器类型。
主要DNS服务器
当DNS服务器管理主要区域时,它被称为主要DNS服务器。主要DNS服务器是主要区域的集中更新源,你可以部署两种模式的主要区域:
-
标准主要区域:标准主要区域的 区域数据存放在本地文件中,只有主要DNS服务器可以进行管理此DNS区域(单点更新)。这意味如果当主要DNS服务器出现故障时,此主要区域不能再进行 修改;但是,位于辅助服务器上的辅助服务器还可以答复DNS客户端的解析请求。标准主要区域只支持非安全的动态更新。
-
活动目录集成主要区域:活动目 录集成主要区域仅当在域控制器上 部署DNS服务器时有效,此时,区域数据存放在活动目录中并且随着活动目录数据的复制而复制。在默认情况下,每一个运行在域控制器上的DNS服务器都将成 为主要DNS服务器,并且可以修改DNS区域中的数据(多点更新),这样避免了标准主要区域时出现的单点故障。活动目录集成主要区域支持安全的动态更新。
辅助DNS服务器
在DNS服务设计中,针对每一个区域,总是建议你至少使用两台DNS服务器来进行管理。其中一台作为主要DNS服务器,而另外一台作为辅助DNS服务器。
当DNS服务器管理辅助区域时,它将成为辅助DNS服务器。使用辅助DNS服务器的好处在于实现负载均衡和避免单点故障。辅助DNS服务器用于获取区域数据的源DNS服务器称为主服务器,主服务器可以由主要DNS服务器或者其他辅助DNS服务器来担任;当创建辅助区域时,将要求你指定主服务器。在辅助DNS服务器和主服务器之间存在着区域复制,用于从主服务器更新区域数据。
注意:这个地方辅助DNS服务器是根据区域类型的不同而得出的概念,而在配置DNS客户端使用的DNS服务器时,管理辅助区域的DNS服务器可以配置为DNS客户端的主要DNS服务器,而管理主要区域的DNS服务器也可以配置为DNS客户端的辅助DNS服务器。
存根DNS服务器
管理存根区域的DNS服务器称为存根DNS服务器。一般情况下,不需要单独部署存根DNS服务器,而是和其他DNS服务器类型合用。在存根DNS服务器和主服务器之间同样存在着区域复制。
缓存DNS服务器
缓存DNS服务器即没有管理任何区域的DNS服务器,也不会产生区域复制,它只能缓存DNS名字并且使用缓存的信息来答复DNS客户端的解析请 求。当刚安装好DNS服务器时,它就是一个缓存DNS服务器。缓存DNS服务器可以通过缓存减少DNS客户端访问外部DNS服务器的网络流量,并且可以降 低DNS客户端解析域名的时间,因此在网络的广泛的使用。例如一个常见的中小型企业网络接入到Internet的环境,并没有在内部网络中使用域名,所以 没有架设DNS服务器,客户通过配置使用ISP的DNS服务器来解析Internet域名。此时就可以部署一台缓存DNS服务器,配置将所有其他DNS域 转发到ISP的DNS服务器,然后配置客户使用此缓存DNS服务器,从而减少解析客户端请求所需要的时间和客户访问外部DNS服务的网络流量。
之二 :安装与管理DNS服务器
安装DNS服务器
在Windows 2000服务器系统和Windows Server 2003中,均含有DNS服务器。安装DNS服务器的过程很简单,但是你必须确保安装DNS服务器的计算机具有静态的IP地址。下面给大家介绍一下如何在 Windows Server 2003上安装DNS服务器:
-
点击开始,控制面板,再点击添加/删除程序,然后在弹出的添加/删除程序对话框上点击添加/删除Windows组件;
-
在弹出的Windows组件向导对话框,勾选网络服务下的域名系统(DNS),点击确定,然后点击下一步;
-
此时,Windows组件向导会安装DNS服务器,安装过程中可能会提示你插入安装光盘。
管理DNS服务器
安装好DNS服务器后,你可以点击管理工具下的DNS或者运行dnsmgmt.msc命令来打开DNS管理控制台,如下图所示:
在进行任何部署之前,都建议你预先配置DNS服务器的属性,右击DNS服务器名选择属性;
如下图所示,普通的DNS服务器总共具有接口、转发器、高级、根提示、调试日志、事件日志、监视七个标签;
如果DNS服务器是在域控制器安装,则具有第八个标签:安全,如下图所示,它用于控制用户对DNS服务器的访问。
在此我们逐标签进行介绍。
接口
接口标签允许你指定DNS服务器侦听 DNS请求的本地计算机IP地址,默认情况下,DNS服务器侦听本地计算机上的所有IP地址。但是在某些情况下,你不希望DNS服务器侦听所有的IP地 址。例如你的DNS服务器具有两个网络适配器,分别连接到Internet和LAN,则你可能不希望让Internet的客户访问你的DNS服务器,所以 你可以只选择侦听连接到LAN的IP地址。
转发器
转发器标签允许当本地DNS服务器无 法对DNS客户端的解析请求进行本地解析时(DNS服务器无法权威的解析客户端的请求,即没有匹配的主要区域和辅助区域,并且无法通过缓存信息来解析客户 端的请求),配置本地DNS服务器转发DNS客户发送的解析请求到上游DNS服务器。此时本地DNS服务器又称为转发服务器,而上游DNS服务器又称为转发器。在这个标签中,你可以指定需要进行转发的DNS域名和转发到的上游转发器的IP地址。在Windows Server 2003中,提供了条件转发功能,可以让你将针对不同域名的解析请求转发到不同的转发器,如下图所示:
你可以针对某个DNS域配置多个上游转发器。列表中位置更高的上游转发器具有更高的优先级,本地DNS服务器会优先进行查询。你可以点击上移、下移按钮来调整上游转发器的优先级。
下部的在转发查询超时之前的秒数指定了本地DNS服务器(转发服务器)等待上游转发器回复的超时限制时间,当上游转发器超过这个时间没有进行回复时,本地DNS服务器将联系其他的上游转发器,默认设置是5秒。
转发器标签只有DNS服务器工作在递归模式时有效,这是因为如果DNS服务器工作在迭代模式时,它不需要转发不能本地解析的DNS客户端请求。
如果没有配置转发器而本地DNS服务 器又不能对客户端的请求进行本地解析,则会使用根提示信息来解析客户端的请求,这样解析速度较慢;而通过配置转发器,可以将所有其他DNS域转发到最近的 ISP的DNS服务器,从而可以高效的对DNS客户端的名字解析请求进行处理。缓存DNS服务器通常会配置DNS转发器,以获得更高的效率。
此外,转发器还用于高安全要求的网络 环境。例如,你不愿意让内部网络中的DNS服务器直接访问Internet,以免引起安全问题,则可以配置此DNS服务器转发至内部网络中的某台上游转发 器,然后此转发器又配置为转发至Internet上的DNS服务器,并且在边缘防火墙上限制为只允许此转发器到Internet的DNS访问,这样就可以 避免内部网络其他DNS服务器和Internet的直接通讯。
下部的不对这个域使用递归则 控制是否对此DNS域使用递归模式的名字解析。DNS服务器只有工作在递归模式下时才能使用转发器,但是你可以控制对某个DNS域不使用递归模式进行解 析。如果对某个DNS域不使用递归,则本地DNS服务器完全于依赖上游转发器的解析,如果上游转发器无法解析本地DNS服务器转发的DNS解析请求,则本 地DNS服务器将直接按照上游DNS服务器的答复向DNS客户端进行答复;默认情况下会启用递归模式,即当上游无法解析本地DNS服务器转发的DNS解析 请求时,本地DNS服务器会尝试通过根提示信息来对DNS解析请求进行解析。
高级
在高级标签,你可以配置DNS服务器的高级属性。每个选项的含义为:
禁用递归(也禁用转发器)
在转发器标签中你可以为某个DNS域禁用递归,而此选项是服务器全局选项。当选择此选项时,DNS服务器会工作在迭代模式,同时禁止使用转发器。默认情况下,此选项未启用。
BIND辅助区域
BIND是Unix系统上的DNS服 务器系统。Windows系统上的DNS服务器在区域传输时使用快速传输格式,这种格式可以进行数据压缩并且在单个TCP消息中可以传输多个资源记录,从 而节约网络带宽和区域传输时间。但是,只有BIND 4.94及以上版本才支持快速传输格式,因此,默认情况下为了和低版本的BIND服务器兼容,启用了BIND辅助区域选项,此时,本地DNS服务器在进行区域传输时,不采用快速传输格式。
如果是在Windows系统的DNS服务器间进行区域传输或者辅助DNS服务器是BIND 4.94及以上版本,你可以取消此选项。
如果区域数据不正确,加载会失败
默认情况下,此选项被禁用。如果DNS服务器加载区域文件时发现区域数据出现问题,会产生警告错误,但是同样会加载区域文件,当区域数据加载完毕,DNS服务器会尝试使用此有疑问的区域数据来答复DNS客户端的解析请求。
如果你启用此选项,当DNS服务器发现区域数据文件出现问题时,则不会加载此区域文件。
启用循环
此选项确定如果对于客户端的解析请求具有多个匹配的资源记录,DNS服务器是否使用循环法来对答复给客户端的资源记录进行排序。默认情况下启用此选项,即DNS服务器使用循环法。
当 创建资源记录时,在区域中存储此资源记录时会有一个静态顺序,循环法即按照循环顺序来对答复给客户端的资源记录进行排序,从而不同的客户获得不同优先级的 资源记录列表,从而实现一种简单的负载平衡。如果不使用循环法,则DNS服务器将会按照资源记录原始存储顺序来答复客户,所有的客户都将获得相同优先级的 资源记录列表。
例如,针对WinSVR.ORG的Web服务器的FQDN www.winsvr.org,有三个A记录,在区域文件中存储方式如下图所示:
www IN A 10.1.1.1
IN A 10.1.1.2
IN A 10.1.1.3
则当第一个客户请求解析FQDN www.winsvr.org时,DNS服务器会返回默认顺序的资源记录列表;而第二个客户请求解析时,DNS服务器会使用循环法处理资源记录列表,客户端得到的列表为:
www IN A 10.1.1.2
IN A 10.1.1.3
IN A 10.1.1.1
而第三个客户请求解析时,DNS服务器会再次使用循环法进行处理,客户端得到的列表为:
www IN A 10.1.1.3
IN A 10.1.1.1
IN A 10.1.1.2
从而可以实现WinSVR.ORG Web服务器一种简单的负载均衡。
启用网络掩码排序
启 用网络掩码排序是Windows Server 2003的DNS服务器新增的功能。此选项确定如果对于客户端的解析请求具有多个匹配的资源记录,DNS服务器是否使用本地子网优先级排序来作为给出同一 网络上首选IP地址的方法,此功能可以让客户端得到最为接近自己本地网络ID(通常是距离最近的)的资源记录。
DNS服务器按以下方式确定本地子网优先级:
-
DNS服务器确定是否需要使用本地子网的优先 级排序。如果有多个资源记录与查询的主机名匹配,则DNS服务器可以按照客户端的子网位置对记录进行排序;如果只有一个资源记录匹配查询的主机名或者发出 解析请求的客户端的IP地址没有与任何匹配的资源记录的网络ID匹配,则不对此列表进行按优先级的排序。
-
如果存在匹配网络ID的资源记录,则DNS服务器决定哪些记录与请求客户端的子网ID匹配。
-
DNS服务器重新对答复客户的资源记录列表进行排序,将与请求客户端的本地子网匹配的资源记录排在答复列表的首位,然后将答复列表返回给请求的DNS客户端。
例如,针对WinSVR.ORG的Web服务器的FQDN www.winsvr.org,有三个A记录,在区域文件中存储方式如下图所示:
www IN A 10.1.1.1
IN A 23.1.1.2
IN A 39.1.1.3
如果一个IP地址为23.1.1.3的DNS客户端向DNS服务器查询FQDN www.winsvr.org的IP地址,则DNS服务器通过本地子网优先级排序后返回给DNS客户的答复列表为:
www IN A 23.1.1.2
IN A 10.1.1.1
IN A 39.1.1.3
而针对另外一个IP地址为39.1.1.1的DNS客户端发起的解析请求的的答复列表为:
www IN A 39.1.1.3
IN A 10.1.1.1
IN A 23.1.1.2
而针对另外一个IP地址为61.139.0.1的DNS客户端发起的解析请求的的答复列表为:
www IN A 10.1.1.1
IN A 23.1.1.2
IN A 39.1.1.3
这是因为没有匹配的网络ID,所以DNS服务器返回默认的资源记录列表。
当同时启用启用网络掩码排序和启用循环功能时,启用网络掩码排序的优先级比启用循环功能的优先级更高,此时,启用循环只是作为启用网络掩码排序结果的辅助方式。如果启用网络掩码排序在匹配客户端解析请求的资源记录中的找到匹配客户端子网ID的资源记录,则对其他非匹配的资源记录进行循环排序,否则将对所有匹配客户端解析请求的资源记录进行循环排序。
保护缓存防止污染
默认情况下会启用保护缓存防止污染选 项,此选项允许DNS服务器保护自己的缓存,让它不受到参考答复的影响。当此选项启用时,DNS服务器只是缓存和解析请求所对应的DNS域有关的记录,而 从其他DNS服务器获得的参考答复不会进行缓存。例如,如果我针对FQDN www.winsvr.org发起解析请求,DNS服务器将其转发到上游DNS转发器,而获得了一个参考答复,但是此参考答复是和winsvr.org无 关的,而是和DNS域isacn.org有关,当保护缓存防止污染选项启用时,DNS服务器不会缓存此参考答复,这防止了非法计算机冒充其他服务器给予错误答复的情况。
名字检查
名字检查选项用于设置DNS服务器处理的所有域名的编码方式,默认情况下是多字节(UTF8)。
各种方式的含义如下:
| 方式 | 描述 |
| 严格的RFC(ANSI) | 按照RFC 1123中的定义进行名字检查,只能使用大小写字符(A~Z,a~z),数字(0~9)和连字符(-),DNS域名的首字符可以是数字。 |
| 非RFC(ANSI) | 允许非标准的名字,并不遵照RFC1123规范,但是仍然使用ANSI字符。 |
| 多字节(UTF8) | 允许使用Unicode字符作为DNS域名,从而允许使用非英文字符作为DNS域名,但是经过UTF-8编码后的域名长度不能超过RFC 2181中的定义长度(每节DNS域名不能超过63字节,完整DNS域名不能超过255字节) |
| 所有名称 | 允许所有的名字类型 |
一般情况下,你不需要修改此选项。只有当区域数据复制到的辅助DNS服务器不支持UTF-8字符编码时,你才需要将名字检查方式修改为严格的RFC(ANSI)方式,否则就算辅助DNS服务器可以接收到UTF-8的区域数据,但是却不能将它们写入到本地存储的区域文件中。
至于其他两种方式,非RFC(ANSI)和所有名称,只有当某个应用程序必需时,你才需要配置为这两种方式。
启动时加载区域数据
默认情况下,DNS服务器设置为启动时从Active Directory和注册表中加载区域数据,此时,DNS服务器在初始化服务器时从活动目录数据库和服务器注册表中读取配置信息。你可以选择为从注册表中加载,此时DNS服务器在初始化服务器时从注册表中读取配置信息。
当选择为从文件中 加载时,DNS服务器初始化时和BIND服务器一样,从启动文件中读取配置信息。为了使用这个选项,你首选必需从BIND服务器上复制一个启动文件到本地 DNS服务器上,此启动文件通常命名为Named.boot,并且只能使用BIND 4格式的文件。当DNS服务器初始化时,从启动文件中读取的配置将覆盖从注册表中获取的配置,但是,对于启动文件中没有的配置信息,则使用从注册表中读取 的值。
启用过时记录自动清理
默认情况下,启用过时记录自动清理选项是禁用的,因此,DNS服务器将不会自动删除启用了老化/清理配置的区域中过时的资源记录,当启用此选项时,DNS服务器将按照在清理周期中指定的时间间隔来自动删除启用了老化/清理配置的区域中过时的资源记录。
根提示
根提示标签中包含了%systemroot%System32DnsCache.dns文件中的定义,用于帮助本地DNS服务器解析Internet域名;当你在DNS服务器上部署了根DNS域“.”时,根提示信息会自动删除并禁用。一般情况下,你不需要修改根提示信息;不过当你在内部网络部署私有DNS根域时,可能需要将内部的根DNS服务器添加到根提示信息中。
Internet根DNS服务器的名字和IP地址基本不进行变动,上次的修改是在2002年11月5日。你可以从InterNIC的FTP服务器下载最新的根提示信息,下载地址为:
ftp://rs.internic.net/domain/named.cache
调试日志
调试日志标签允许你记录DNS服务器收发的数据包,用于调试分析。但是由于记录所有的数据包非常耗费系统性能,所有DNS服务器允许你根据数据包方向、传输协议、数据包内容、数据包类型等来选择记录的数据包。
启用调试日志时,必须指定记录数据包的日志文件名和最大文件长度。
事件日志
在安装DNS服务器以后,会在系统的事件日志中创建一个DNS服务器日志,你可以通过事件查看器来查看。事件日志标签用于选择DNS服务器事件日志记录的方式,默认情况下是记录所有事件,你可以根据你的需要进行选择。
监视
监视标签允许你通过两种简单的方法来测试DNS服务器的基本功能。为了完成简单查询,DNS服务器必须能够正确解析针对自己的正向和反向解析请求;而为了完成递归查询,DNS服务器必须能够连接到根提示信息中的根DNS服务器。
你可以配置DNS服务器按照配置的时间间隔自动进行测试,手动测试和自动测试的结果都将显示在测试结果列表框中。
安全
当在域控制器上安装DNS服务器时,会具有安全标签,用于控制用户对于DNS服务器及所属子对象的权限。
管理任务
在DNS服务器管理控制台中右击DNS服务器名,会列出和DNS服务器有关的管理任务,如下图所示:
配置DNS服务器
点击弹出DNS服务器配置向导,你可以通过它轻松的同时完成正向区域和反向区域的创建,如下图所示:
新建区域
点击弹出新建区域向导,你可以通过它创建一个区域,如下图所示:
为所有区域设置老化/清理:点击弹出服务器老化/清理属性对话框,如下图所示:
资源记录的老化/清理设置必须同时在服务器老化/清理属性和区域老化/清理属性中设置方可有效。需要注意的是,在服务器老化/清理属性上的修改会提示你是否将此设置应用到现有的活动目录集成区域,而不会应用到标准主要区域。对于标准主要区域,你需要手动设置区域老化/清理属性,但是,新建标准主要区域时,默认的老化/清理时间间隔会继承服务器老化/清理属性中的设置。
清理过时资源记录
当启用老化/清理配置时,会按照配置中定义的时间间隔自动清理过时的资源记录。你可以点击清理过时资源记录立即开始对过时资源记录的清理。
更新服务器数据文件
在DNS服务器初始化时,它会将区域数据从区域文件加载到内存中,对区域的任何修改都暂时保存在内容中,只有在预定义的更新间隔和DNS服务器服务停止时才会将内存中的修改保存在磁盘上的区域文件中。此命令将使DNS服务器立即将内存的修改保存到磁盘上的区域文件中。
但是,此命令仅对标准主要区域有效。对于活动目录集成区域,你必须使用dnscmd /ZoneUpdateFromDs命令来完成对区域数据文件的更新。
清除缓存
DNS服务器会将获得的解析请求答复缓存起来,默认情况下你无法看到这些缓存的答复。你可以在DNS控制台中选择查看菜单下的高级,此时在DNS服务器名下列出缓存的查找目录,里面包含所有缓存的答复。你可以在缓存的查找用删除单个缓存的答复,而清除缓存命令用于清除缓存的所有答复。
启动nslookup
nslookup是Windows系统中附带的一个用于解析域名的命令行工具,点击此命令用于启动nslookup命令行工具。
另外,你还可以在所有任务中对DNS服务器服务进行相关操作,例如停止、暂停、重新启动等。
之三 :创建与管理DNS区域
DNS区域分为两大类:正向查找区域和反向查找区域,其中
-
正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;
-
反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,DNS服务器在反向查找区域中进行查找,并返回给DNS客户端对应的FQDN。
由于区域类别、区域类型的不同,在DNS服务器上创建区域时的操作也不同。
第一部分 正向查找区域
一、创建正向查找区域
1、创建主要区域
在此我先创建正向主要区域,由于正向区域存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。
右击正向查找区域,选择新建区域,
在弹出的欢迎使用新建区域向导页,点击下一步;
(1)创建标准主要区域
在区域类型页,选择主要区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;
在区域名称页,输入你的DNS区域名称,在此我命名为isacn.org,点击下一步;
在区域文件页,接受默认的区域文件名,点击下一步;标准主要区域的区域文件为文本文件格式,存放在%systemroot%system32dns目录下;
在动态更新页,选择你需要的动态更新方式,在此我接受默认的选择不允许动态更新,点击下一步;
在正在完成新建区域向导页,点击完成,此时,标准的正向主要区域就创建好了。
(2)创建活动目录集成主要区域
在区域类型页,选择主要区域,由于此DNS服务器是域控制器,所以下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)可选并且默认已经选择,此时,创建的主要区域即为活动目录集成区域,点击下一步;
在Active Directory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别在于:
至 Active Directory林winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录森林中的所有运行在域控制器上的DNS服务器,此选项会将DNS区域数据存储到活动目录中预定义的的ForestDnsZones应用程序分区中,并且在活动目录林中进行复制,复制范围最广;
至 Active Directory域winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录域中的所有运行在域控制器上的DNS服务器,此选项是默认选项,会将DNS区域数据存储到活动目录中预定义的DomainDnsZones应用程序分区中,它只会在域范围中进行复制;
至 Active Directory域winsvr.org中所有的域控制器:将DNS区域数据复制到活动目录域中的所有域控制器,而不管这些域控制器上是否运行DNS服务器;
到在以下应用程序目录分区的范围内指定的所有域控制器:你可以创建自定义的应用程序分区,并且指定由哪些域控制器进行复制。如果你已经创建好了应用程序分区,则此选项可选。
复制范围越广,复制引起的网络流量就越大,在选择复制方式时,请根据你的需要进行选择。在此我接受默认的至 Active Directory域winsvr.org中所有的DNS服务器,点击下一步;
在区域名称页,输入区域名称为isacn.org,点击下一步;
在动态更新页,接受默认的只允许安全的动态更新(适合Active Directory使用),这样DNS服务器只允许A记录的拥有者修改此A记录,点击下一步;
在正在完成新建区域向导页,点击完成,此时,活动目录集成区域就创建好了。
2、创建辅助区域和存根区域
除了辅助区域数据不能和活动目录集成外,辅助区域和存根区域的创建步骤是一样的。活动目录集成存根区域和标准存根区域的区别如活动目录集成主要区域和标准主要区域,在此就不多叙述了,下面我以创建辅助区域为例:
右击正向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;
在区域类型页,选择辅助区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为辅助区域不能与活动目录集成;
在区域名称页,输入你的辅助区域名称,在此我命名为isacn.org,点击下一步;
在主DNS服务器页,输入获取区域数据的源DNS服务器(称为主服务器)的IP地址,此主服务器可以由管理此主要区域的主DNS服务器或者其他管理相同辅助区域的辅助DNS服务器来担任,你可以输入多个主服务器,在此我输入主DNS服务器的IP地址10.1.1.2,点击添加后再点击下一步;
在正在完成新建区域向导页,点击完成,此时,辅助区域就创建好了。
需要注意的是,此时本地DNS服务器会联系主DNS服务器进行区域复制获取DNS区域数据,你必须在主DNS服务器上允许到此DNS服务器的区域复制,否则此DNS区域无法正常工作。
二、管理正向区域
根据区域类型和区域存储方式的不同,管理DNS区域的方式也不同,在此我根据区域类型来进行介绍:
1、主要区域
活动目录集成主要区域和标准主要区域相比,常规选项不同,并且具有安全标签。
常规
在活动目录集成主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、复制方式和动态更新方式;
而在标准主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、区域数据存储的文件名和动态更新方式,但是不支持安全动态更新。
点击老化按钮可以进入区域老化/清理属性设置,此设置必须和DNS服务器的老化/清理设置共同使用方可生效。
当启用老化时,对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个为0的时间戳记录,代表它们将不会老化。
无刷新间隔:无刷新间隔是在上次时间戳刷新后,DNS服务器拒绝再次进行刷新的时间周期,这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下,无刷新间隔为7天;
刷新间隔: 刷新间隔是在无刷新间隔后的时候,在这段时间周期内允许DNS客户端刷新资源记录的时间戳,并且资源记录不会被DNS服务器清理。当无刷新间隔和刷新间隔 之后,如果资源记录没有被DNS客户端进行刷新,则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天,这意味着默认情况下动态注册的资源记 录将会在14天后被清理掉。
如果你需要修改这两个参数,请记住以下原则:刷新间隔应该大于或等于无刷新间隔。
起始授权机构(SOA)
起始授权机构(SOA)标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时,它首先通过SOA记录来决定此DNS区域的基本信息和主服务器,如下图所示:
序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域复制。
主服务器:主服务器包含了此DNS区域的主DNS服务器的FQDN,此名字必须使用“.”结尾。
负责人:指定了管理此DNS区域的负责人的邮箱,你可以修改为在DNS区域中定义的其他RP(负责人)资源记录,此名字必须使用“.”结尾。
刷新间隔: 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。
重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。
过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间,当到达此时间限制时,辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。
最小(默认)TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。
注意:增大TTL可以减少网络中DNS解析请求的流量,但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。
此记录的TTL:此参数用于设置此SOA记录的TTL值,这个参数将覆盖最小(默认)TTL中设置的值。
名称服务器
名字服务器标签允许你配置DNS区域的NS资源记录,NS记录用于指定此DNS区域中的权威DNS服务器,默认情况下会包含此DNS区域的主服务器,并且一个区域至少必须具有一个NS资源记录。
和SOA记录一样,你只能在区域属性中对NS记录进行修改,你不能创建NS记录。
WINS
你 可以在WINS标签配置DNS服务器使用WINS查找,此时,当DNS服务器无法解析某个FQDN时,将会使用配置的WINS服务器来查询此FQDN的主 机名;对于正向区域是查询WINS服务器的正向记录,对于反向区域是查询WINS服务器的反向记录;如果在WINS服务器上查询到对应的记录,则DNS服 务器会将此记录复制到此区域中,你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。
区域复制
你可以在区域复制标签中配置是否允许此区域进行区域复制,以及区域复制到的对象,它们之间的区别在于:
到所有服务器:所有服务器都可以从此DNS服务器获取此区域的区域数据;
只有在“名称服务器”选项卡中列出的服务器:只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据;
只允许到下列服务器:只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据;
在Windows 2000中,默认情况下是允许区域复制到所有服务器,这个选项具有安全隐患,所以在Windows Server 2003中,对于标准主要区域,默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中,而对于活动目录集成主要区域,由于通过活动目录进行复 制,默认情况下是不允许区域复制。
你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新,默认情况下此DNS区域更新时,主服务器会通知名称服务器标签中的所有DNS服务器。
当某个标准区域产生以下事件时,将进行通知或初始化区域复制:
-
主DNS区域的SOA记录的刷新间隔过期;
-
辅助DNS服务器启动;此时辅助DNS服务器会联系主服务器获取SOA记录,然后比较本地的SOA记录来决定是否需要区域复制;
-
主服务器上对区域数据进行了修改,则主服务器按照配置来通知辅助DNS服务器。
当 初始化区域复制时,辅助DNS服务器可以从主服务器执行增量区域传输(IXFR)或者完全区域传输(AXFR),运行在Windows Server 2003上的DNS服务器支持IXFR和AXFR。默认情况下,运行在Windows 2000服务器和Windows Server 2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR,此时,只有更新数据才会进行传输;Windows NT服务器不支持IXFR,只能执行AXFR,此时,将会对所有区域数据进行传输。
安全
当在域控制器上安装DNS服务器时,DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
管理任务
主要区域的管理任务如下图所示:
更新服务器数据文件:同DNS服务器的更新服务器数据文件管理任务;
重新加载:重新从本地的区域文件或者活动目录中加载此DNS区域;
新建主机(A):在此DNS区域中新建主机(A)记录,如下图所示:
其中创建相关的指针(PTR)记录要求本地DNS服务器上具有对应网络ID的反向查找区域,否则会创建失败。
新建别名(CNAME):在此DNS区域中新建别名(CNAME)记录,如下图所示;在创建别名记录之前,必须已经为需要创建别名的主机创建了A记录。
新建邮件交换器(MX):新建邮件交换器(MX)记录,如下图所示;在创建邮件交换器记录之前,必须已经为此MX记录所对应的邮件服务器创建了A记录;在主机或子域中输入邮件域名,如果不输入则代表此DNS区域;你可以针对相同的DNS域配置多个MX记录,但是邮件服务器优先级数值越低的MX记录具有越高的优先级。
新建域:新建一个子区域,如下图所示;新建一个子区域后,你可以在子区域中创建其他资源记录包括子区域,和父DNS区域中一样。
新建委派
新建一个区域委派,点击后弹出新建委派向导,在欢迎使用新建委派向导页,点击下一步;
在受委派域名页,输入需要委派的子域,然后点击下一步;
在名称服务器页,输入被委派到的DNS服务器的FQDN和IP地址,然后点击下一步;被委派的DNS服务器上必须具有以被委派的子区域(在此是tech.isacn.org)为域名的主要区域,否则不能正常完成此子区域的DNS解析;
在正在完成新建委派向导页,点击完成;
此时,你可以在DNS管理控制台中看到新建了一个区域委派(灰色目录)。除了修改此委派区域的名称服务器外,你不能对委派区域进行任何操作。
其他记录
除了上述的常用资源记录外,你还可以点击其他记录来创建其他的资源记录类型,如下图所示:选择记录类型后点击创建记录即可。
2、辅助区域
辅助区域和主要区域的属性基本相同,我在此着重介绍不同之处:
常规
在常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型和用于复制区域数据的主服务器地址。主服务器上必须允许了区域复制到此辅助DNS服务器。
辅助区域不能和活动目录集成,因此复制选项不可用;并且也不支持动态更新,因为辅助区域是只读的。
起始授权机构(SOA)
对于辅助区域而言,起始授权机构(SOA)记录是只读的,因此你不能在起始授权机构(SOA)标签进行任何配置,如下图所示:
名称服务器
和起始授权机构(SOA)记录一样,NS记录是只读的,因此你不能在辅助DNS服务器上修改名字服务器,如下图所示:
WINS
你可以在WINS标签配置辅助DNS服务器使用WINS查找,但是由于辅助DNS区域是只读的,所以对于从WINS服务器获得的记录,你只能缓存在本地,而不能将其复制到DNS区域中。
区域复制
你可以在区域复制标签配置将此辅助DNS区域复制到其他辅助DNS服务器,但是默认情况下是不会配置辅助区域的区域复制。
当在域控制器上安装DNS服务器时,辅助DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
和主要区域相比,辅助区域的管理任务只有三项,如下图所示:
重新加载:重新从本地的区域文件中加载此DNS区域;
从主服务器复制:本地辅助DNS服务器获取主服务器的SOA记录,然后和本地的SOA记录比较序列号,如果不同则从主服务器进行区域复制;
从主服务器重新加载:本地辅助DNS服务器直接从主服务器进行区域复制,而不管SOA记录的序列号是否相同。
3、存根区域
存根区域除了区域中包含的资源记录更少外,和辅助区域非常相似,管理任务都是相同的,属性设置中的几个不同之处是:
存根区域的数据可以存放在活动目录中;
存根区域不能执行WINS查找和区域复制;
第二部分 反向查找区域
一、创建反向查找区域
在此我先创建反向主要区域,同样由于存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。
1、创建主要区域
右击反向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;
(1)创建活动目录集成主要区域
在区域类型页,选择主要区域,点击下一步;由于这台DNS服务器是域控制器,所以下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项默认启用;此时,创建的主要区域即为活动目录集成主要区域。
在Active Directory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别如正向查找区域中的描述,接受默认选择后点击下一步;
在反向查找区域名称页,输入你想创建DNS区域的网络ID。DNS服务器根据网络ID来存储反向查找区域和进行DNS记录解析的,最小支持C类网络,不过你可以输入A类网络。在此我输入我的本地子网ID 10.1.1,点击下一步;
由于是活动目录集成主要区域,所以在动态更新页默认选择为安全更新,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时活动目录集成的反向主要区域就创建好了。
(2)创建标准主要区域
在区域类型页,选择主要区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;
在反向查找区域名称页,输入你的网络ID,在此我输入本地子网ID 10.1.1,点击下一步;
在区域文件页,接受默认创建的区域文件名,点击下一步;
在动态更新页,安全更新方式不可选,接受默认设置,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时标准反向主要区域就创建好了。
由于创建反向辅助区域和反向存根区域比较简单,在此我就不再描述了。
二、管理反向查找区域
反向主要区域的管理任务如下图所示,我仅介绍一下主要不同之处:新建指针(PTR)。
指针(PTR)记录用于IP地址到主机名的映射,你可以认为它是和A记录相对的。点击新建指针(PTR)弹出新建资源记录对话框,如下图所示:
首先,在主机IP号栏输入主机的IP地址,然后在主机名来输入主机的FQDN;如果你需要任何经过身份验证的用户修改此PRT记录,则勾选底部的选项,最后点击确定,此时,PTR记录就创建好了。
当你在创建A记录时,可以附带创建对应网络ID的反向查找区域中的PTR指针记录,并且每次修改A记录时,可以同时修改此PTR记录。
当执行nslookup命令行工具时,它会先对配置的DNS服务器执行反向查找,如果没有找到对应的PRT记录则发出警告,如下图所示:
当你配置PTR指针后,就可以消除此警告。
反向辅助区域和反向存根区域的管理任务类似于正向区域,在此我就不多描述了。
