Saturday, January 27, 2007
纵观2006国内外安全软件
作者:EaKers 日期:2007-01-17
计算机病毒、网络安全问题已经牢牢地粘住了我们,每天都有新病毒产生,每天都有机器感染,网络世界布满了陷阱,如何保证网络安全已成为现代网络越 来越突出的问题。事情也许没有那么可怕,既然有病毒,那就想办法除掉它、远离它,安全软件就是我们的好帮手!
目前市场上的安全软件种类比较多,国内外反病毒厂商的竞争非常激烈,产品更新换代速率也非常快。为了能更有效地应对日益严重的网络安全问题,很多产品都集成了防火墙、网络实时监控等功能,可以对付网络钓鱼、网银诈骗等常见的网络攻击手段,基本实现了立体化的计算机保护系统。
我们先来看看在网上经常出现的一些数据:(初步了解一下)
杀毒软件病毒阻杀率(2006.12.22):
Kaspersky Personal Pro version 5.0 .................. 97.93%
AVK version 15.0.5 ...................... 93%
F-Secure 2005 ...................... 97.55%
eScan Virus Control version ........................... 96.75%
Norton Corporate version ........................... 91.64%
Norton Professional version 2005 ............................ 91.57%
McAfee version 9.0 ........................... 89.75%
Virus Chaser version 5.0 ............................ 88.31%
BitDefender version 8.0 .......................... 88.13%
CyberScrub version ........................... 87.87%
Panda Platinum 2005 .............................. 87.75%
version ............................. 75%
Arcavir ............................... 87.73%
MKS_VIR 2005 ................................ 87.70%
RAV version ............................. 87.26%
F-Prot version .......................... 87.07%
AV-test十一月测试结果:
认识一下全球五大杀毒引擎:
1、诺顿:首创实时监控技术,杀毒引擎相当先进,综合防护性能很好。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。
2、咖啡:主要能力是防毒,也用了虚拟脱壳技术,基本所有壳都可以干掉.
3、熊猫:西班牙的,全球第一个自动升级的,引擎相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以国内用户觉得不太好用,占内存很大。
4、俄罗斯的卡巴斯基:卡巴斯基的引擎采用了所谓的单一形式的规则判断,其在文件标识比对病毒库的时候被认为有着很好的性能,充分利用了处理器的处理能力。卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并不是全部。
5、DR.WEB:也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。全世界最厉害的杀毒引擎,比卡巴斯基 都厉害。基本上可以杀所有的壳,用的是动态虚拟机脱壳技术。
那么现在就让我们回顾一下2006年的安全软件市场吧!
2006年的安全软件市场可以用四个字来形容:十分热闹,国内是木马和流氓横行。各大厂商纷纷出手打击,宣传大战也是此起彼伏,展示着具有突破性技术进步,以及在国际权威测试上获得的好成绩。新兴的几个厂商也携自己的一些独门绝技四处出击,加上诺顿、卡巴斯基、驱逐舰、Nod32等国际厂商在国内市场上攻城掠地,让2006年的国内安全市场竞争异常激烈!用“惨不忍睹”来形容也不过分 。
国际的发展最初相对平静,迈克菲、赛门铁克、CA、趋势等四大巨头继续强势表现,纷纷正常发布了自己的2007版产品,二线厂商以卡巴斯基、Nod32、 BitDefender等也是咄咄逼人,新的杀毒防毒技术也不断成熟,逐渐开始风行。随着所有安全厂商最可怕的对手微软今年年中也高调进入安全领域,并推出了成熟的产品。加上下半年围绕着Vista对各大安全厂商的开放问题,几乎所有的安全厂商都和微软较上劲了!国际安全市场的发展也开始暗潮汹涌,变得诡异莫测起来!
下面请看现代版的三国志吧 (国内三大厂商争雄):
今年国内的杀毒软件市场主要还是金山、江民、瑞星三大安全厂商占据的,它们今年都有不小的进步。金山和江民都在年中抢先发布了他们的2007版产品,瑞星年底才发布。现在流行的反钓鱼、电子邮件监控等功能在三大安全厂商的软件中都应有尽有,同时他们的杀毒软件都集成了自己的防火墙,其中尤以瑞星的防火墙在国内防火墙中评价较高。
金山在功能和易用性上优势比较明显,界面功能的划分与安排合理又清晰,功能比较全面、丰富。其病毒库更新频率增高,病毒检查速度非常快,实时监控程序也有了长足的进步,但在信息反馈功能上还是不太理想,不过从整体上来说,金山毒霸的综合优势还是非常明显的,性价比较高。金山的2007版在保持了原先的低系统资源占有等优点情况下,改进了他的对病毒脱壳的能力,加入了流行的反钓鱼技术。最关键改进是提出了全新的数据流杀毒技术,金山的解释是:基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
江民的2007版产品的进步也不小,杀毒引擎进行了更新,提供了流氓软件的清除工具,也对 Rootkit类病毒有了一些解决办法,不过最大的亮点还是新增加的系统级行为监控,启用了类似HIPS的监控技术(估计是目前没有智能判断能力的原因,正常的行为也报,如果全部打开这些监控,上网也会有些困难,电脑运行速度也下降了不少)。如果加强这个技术的智能判断,不再是看到什么都汇报,那就是目前国际上逐渐风行的行为杀毒技术了!希望江民2008年可以在此基础上真正实现行为杀毒方面的突破!
瑞星2007是三大杀毒厂商最后一个在年底才发布的,瑞星的发布气势很大,六国语言同步发行。高调宣布首先使用了虚拟机脱壳杀毒技术,用碎甲技术监控Rootkit入侵,且国际主流的启发杀毒技术也在2007版中出现。虽然他宣称的全球首创技术有人提出质疑,但是他确实是国产杀毒中第一个引进虚拟机技术的,2007版对加壳病毒的剿杀确实进步不小,启发杀毒引擎也有表现。不过估计是监控引擎没有根本的改进,占用系统资源很高的问题还是没有解决。
而近来,由于海地光缆被地震破坏。造成很多国外杀毒软件不能升级或者升级困难,瑞星断然宣布免费提供瑞星杀毒软件和防火墙一个月的软件下载升级服务,几乎同时金山宣布免费提供杀毒软件37天,江民也做出了类似的承诺。他们充分体现了一个负责任的厂商风范。也为他们赢得了非常好的口碑!
三大厂商为了体现自己的权威地位同时也是为了参加海外市场的角逐,今年也开始热衷于参与国际认证。瑞星在国内首次于今年六月通过了英国西海岸实验室的全部评测,六月开始也参与德国的AV-test测试,虽然排名不高,但是还超越了一些著名的厂商。一直不太参加国际评测的江民今年也参加了英国西海岸实验室的评测,9月评测全部通过后,最近又胜利全部通过了复检。金山选择了参加最困难的VB100%测试,可惜最终失败。瑞星和江民都宣称获得了微软的Api支持,都宣布推出或即将推出支持Vista系统的产品。
三大厂商对市场反应的能力相当不错,在反流氓大势已定的情况下,一直保持旁观的三大安全厂商突然纷纷出手,瑞星高调推出卡卡3.0,对流氓软件宣战,江民宣布在杀毒软件中加入反流氓模块。金山推出系统清理专家来对付流氓软件。这些真正有实力的专业选手终于也参与对流氓软件的斗争了,既为自己赢得了足够的眼球,也一定程度上是为了防止360安全卫士这样的软件崛起来威胁自己的江湖地位(360安全卫士免费捆绑卡巴斯基的运作方式确实对他们造成了不小的冲击)。
列强诸侯的冲击(二线安全厂商)
今年在三大杀毒软件之外,国产杀毒软件最火的就是光华和微点了。光华在国内的一些评测中表现惊人,在这些测试中他不但超越了国产的杀毒软件,甚至还超过了国际上著名的赛门铁克和卡巴斯基。它是国内唯一通过微软全球金牌认证,查杀速度也在国内领先,目前国内杀毒软件主流的监控及杀毒技术基本上都拥有。可惜它在参加权威的VB100%测试失利了。
微点虽然还没有正式上市,但是由于他是以国际上正在流行的行为杀毒技术为主,特征码为辅助的杀毒软件,从去年下半年一开始公测,就有很多安全技术爱好者纷纷下载试用,他的主动防御技术对于病毒特别是未知威胁的防护有很好的表现。经过一年多的公测,微点的稳定和兼容也有了不小的进步。经过一年的发展,现在在网络上也有了不少死忠的Fans,影响也逐渐越来越大。但是由于他主要运用的是目前前卫的行为杀毒技术,智能判断的算法还在完善中,所以对用户要求也相对比较高,有些情况下需要用户对他发现的威胁进行判断,防止微点的误报。他目前和很多杀毒软件的兼容也不错,还可以安装其他的杀毒软件来配合他。如果能够进一步提高智能判断的算法并加强行为规则库,并补充足够的病毒特征码,使之更加适合普通用户的操作。相信正式上市后会有良好的表现。
很多人都羡慕国外有免费的杀毒软件,其实国内也有。曾经在国内有一定影响的东方卫士现在就全面免费了,用他的免费序号注册还可以正常升级。他的功能也比较全面,操作简单。如果没有合适的杀毒软件,东方卫士也是一个不错的选择。“东方卫士”,采用了双码-安全码和特征码技术;独有的“一防二杀三恢复”的防毒理念,将完全解决各种新老病毒对您计算机的侵害,彻底改变病毒特征码检索和查杀的传统杀病毒原理,并改变传统杀病毒软件的思维悖论,对未知病毒具有极佳的反毒效果,可以有效的防御各种未知病毒的肆虐。
原来的市场领导者金辰公司和美国CA公司成立冠群金辰以后,实际上就一直用CA公司的产品来包装成自己的KILL安全胄甲防病毒系统,依靠CA公司的InoculateIT和Vet双引擎强大的杀毒能力,今年推出的KILL安全胄甲2006个人版获得了VB100%、ICSA实验室、西海岸实验室等全球18家权威认证。可惜由于种种原因,只是在企业级市场上有不错的表现。个人市场一直很安静,甚至购买也没有国产的主流杀毒软件方便。
今年最大的安全新闻就是流氓软件事件了,自从奇虎推出360安全卫士并免费捆绑卡巴斯基个人版,开始公开的对各种流氓软件宣,并引发了他和雅虎的论战,也把一直被隐藏的流氓软件危害问题揭露了出来,经过半年多的论战,各种对付流氓软件的软件和技术也纷纷出现。也逐渐舆论上形成对流氓软件的强大压力,并且逐渐得到了政府部门的关注和支持。最后也让国内的主流杀毒软件厂商参与了这场战争!
现在国内三大安全厂商的强势市场地位已经形成,如果没有非常好的机会和突破性质的技术进步,其他厂商目前很难对这些一线厂商的地位进行冲击。当年瑞星通过 CIH事件营销再加上江民的一些失误一飞冲天的故事现在比较难出现了。他们现在恐怕也不会给其他厂商这个机会了,今年的三大安全厂商的流氓软件攻略就生动的体现了这一切!
乱世出英雄(防火墙篇)
网络安全不能没有防火墙,传统安全软件架构主要就是杀毒软件和防火墙,防火墙在防止攻击和木马入侵方面起了非常关键的作用。如果拥有一个设置好的优秀的防火墙,电脑的安全可以得到相当的提升,是配合杀毒软件的重要工具。当前国内混乱的网络状况使得很多网友纷纷选用各种防火墙,国内的各种防火墙也大量应运而出。
国产防火墙软件目前最有名的就算是天网防火墙了,他一直有免费的版本提供,这几年来培养了不少忠实用户。天网防火墙可以对应用程序数据包进行底层分析拦截功能,内置了很多实用的规则,并且可以自动更新规则。今年推出的3.0版新增了应用程序 MD5值校验系统,发现原来通过的程序有变化就阻止并提出警告。
费尔个人防火墙是国内的新秀,他也是主要依靠对网络底层进行数据过滤来防护的,靠规则来防护各种威胁。他一直以免费策略,来进行市场推广。他今年发布的3.0在界面和功能上有了不小的进步。
以防止Arp欺骗出名的风云防火墙1.2、以防止DDOS出名的冰盾防火墙 v8.1、以防木马为主业的天盾网络防火墙2006等免费防火墙在2006也吸引了一些用户的关注。国产的杀毒软件中大多目前也都带有了自家的防火墙,和他们的杀毒软件配合可以得到不错的防护效果。在市场上也都有自己一批拥护者。
国际风起云涌,四大巨头的合纵连横
迈克菲、赛门铁克、CA、趋势等四大安全巨头今年最初的发展一直很平稳,基本都在差不多的时间发布了自己的2007个人版杀毒产品。由于它们和微软以前一直有不错的合作,都拥有微软操作系统部分源代码,它们的产品更加稳定并且兼容性很好。
赛门铁克今年发布了它的企业版10.0以及 Symantec Client Security3.0,作为首创即时监控技术的厂商,虽然系统资源占用越来越大,但是依靠它全面且稳定的防护能力还是取得了不少用户的青睐。下半年为了和微软的Vista兼容,不但开始开发兼容Vista2007版产品,岁末首先推出了支持Vista的10.2企业版,还似乎为了和微软赌气,还推出了兼容Vista的诺顿360产品的测试版。
CA 公司今年针对大中型型企业力推eTrust Threat Management8.0 的全方位防护组合,针对小型企业用户推广eTrust EZ Antivirus 7.0和eTrust EZ Firewall 5.5组合,这个组合小而强悍,占用系统资源也少。CA公司去年收购Tiny公司后,今年就把Tiny公司一批优秀的产品和技术集成到自己的安全家族中,特别是在个人防火墙测试中经常排名很靠前的Tiny Personal Firewall更是加强了它在个人安全市场的影响。
趋势的企业版主要针对的是大企业用户,功能组合多,产品线长,但是在个人用户市场相对低调的多。它的OfficeScan企业版实际表现要比它的个人版要好不少。不过今年没有发布大的升级。随着微软的让步,它支持Vista的版本也开始了测试。随着中国市场的发展,趋势会在2007年在中国设立研发中心,到时候会对国产病毒会有更好的反应。
从McAfee 到迈克菲,据McAfee相关人士介绍,采用迈克菲作为公司品牌的中文标识经过了深思熟虑,迈克菲是McAfee的中文音译,McAfee希望在世界各地人们均以同一种发声方式解读McAfee品牌。而“迈克菲”三个字也各有寓意。“迈”意为跨越,展示McAfee对公司的祝福及对未来的判断;“克”有克制、战胜之意,攻无不胜,战无不克,诠释说明了迈克菲的主要业务方向; “菲”形容草木茂盛丰美,包含了迈克菲对在中国市场发展前景的判断和美好预期。也许George Samenuk对于博大精深的中国文化没有太深的了解,对“迈克菲”三个汉字背后所蕴含的意义也无法深刻体会,但中国市场对McAfee的重要是它能够深深感受到的。迈克菲公司是到了年底才发布它产品线中的最重要的产品VirusScan Enterprise 8.5i。这个经过三年等待的产品确实不负众望,不但功能组合更加人性化,还在原先优秀的 File Defend(文件防御能力)基础上增加了Registry Defend(注册表防御能力)。这样就是对于不是非常熟悉系统的用户也可以设置 好,还可以获得更全面的系统安全。加上它的ePolicy orchestrator控制,可以在局域网内构建起一张安全大网。
欧洲军团百花齐放
安全厂商的垄断程度可能是软件领域最低的,虽然市场有四大巨头主导。但是二线厂商不但众多。在技术和市场运作上都各有千秋,特别是在新技术的开发和应用上二线厂商一直是领先的。
杀毒软件方面目前最为壮观强大的就是欧洲军团,其中俄罗斯双雄卡巴斯基、Dr.web尤为强大。卡巴斯基今年发布6.0,不但降低了系统资源占用,还集成了具有行为杀毒能力的主动防御的模块,对付未知威胁的能力有了本质的进步。它对于病毒的反应速度也是最快的,上报的病毒样本只要一二个小时后就可以杀除了!卡巴斯基在国际上影响很大, Aladdin 、 Nokia ICG 、 F-Secure 、 Sybari 、 GData 、 Deerfield 、 Alt-N 、 Microworld 和 Borderware等公司的软件产品都集成了它的杀毒引擎,特别是在这几年市场营销动作很大,不但逐渐巩固了在欧洲的市场,也在原来不太成功的北美市场也快速攻城略地,也是先和AOL合作,为AOL的用户免费推出基于卡巴斯基互联网安全套装 6.0 个人版设计的 Active Virus Shield,结果一举打开美国市场,促销活动也频频出手。其中在感恩节一天干脆免费发送个人版杀毒软件!在内地的市场由于利用中俄文化年的机会搞起了促销,加上它和奇虎360安全卫士免费捆绑、和网易合作推广50元正版以及和各大媒体的各种活动使得它的市场分额不断攀升,已经开始对国产杀毒软件的传统优势形成了挑战。今年年底的海地光缆中断事件中,卡巴斯基的快速反应以及积极应对也让它的影响力在天灾后不降反升!
Dr.web 由于是俄罗斯军方专业的杀毒软件,所以一直在市场推广上很低调。但是其高效的虚拟机启发杀毒使得它的资源占用很低和强悍的杀毒能力,继续得到追捧,早期被国人认识的金山首先在它的毒霸2002里面集成了它的引擎。同时,运用了它的引擎的驱逐舰在国际市场上也有很好的反响(没有Dr.web的启发技术的驱逐舰就可以在国内外有不错的表现,可以想像原汁原味的Dr.web有多强悍!)。今年发布的4.33版保持原来系统占用低,灵敏度高的优点情况下进一步改进了它的引擎,还针对个人用户推出了单文件的免费杀毒软件cureit下载试用,扫描功能和完整版完全一样。只是少了即时监控能力。
白俄罗斯的Vba32一直以启发杀毒出名,监控全面强大,和Dr.web的技术上有一定的交流,从去年的3.0版以后不断加强其特征码的收集。功能也越来越全面强大。今年也和Dr.web一样,新推出了免费的绿色版VBA32 Free Scanner。
罗马尼亚的BitDefender今年推出了10.0,依靠其强悍的杀毒能力和多达50万的海量病毒库加上今年在TopTenREVIEWS获得性价比第一的美名得到不少网友的追捧。它的老版本8.0现在可以免费提供。
捷克的AVG Anti-Virus是欧洲著名的杀毒软件,今年发布的7.5版本功能全面,无论是启发还是特征码杀毒技术都很成熟。让我惊讶的是它提供了功能缩水最少的免费版杀毒软件,只是有部分功能无法设定,其它都和收费版本相同!国内用户耳熟能详的杀木马软件ewido被它收购并集成在自己的安全组合里面。这样也为它赢得了不少关注。
捷克另外一款著名杀毒软件AVAST今年发布了4.7版,它有着非常全面的文件和网络监视功能。占用系统资源也很低,更有千变万化的换肤界面可以选择。它的免费版杀毒软件在市场上也很有名。
北欧冰岛的F-Prot Antivirus今年推出了6.0版,加强了监控能力。它的实时监控非常灵敏,界面简洁、功能全面,系统资源占用也很低,并且可以支持dos命令行杀毒,优秀的启发引擎可以轻松的识别不少新的威胁。
芬兰的四引擎(包括卡巴)杀毒软件F-Secure一直是国际各大杀毒软件评测前几名的常客,在它强大的四引擎监控下,很难有病毒能逃生。它今年主要发布了2007版的个人版和6.03企业版。有意思的是它的企业版官方提供6个月的试用版本下载!
Norman今年的发布的5.0在原来强大的杀毒能力基础上增加了SandBox(沙盘)诱捕技术,可以查杀未知病毒了。个人感觉就是类似Dr.web、Nod32的虚拟机启发杀毒技术。
德国的著名Antivir(国内昵称小红伞)今年发布了7.0,其原来的系统占用低、扫描速度快等优点继续保持,其特色的强启发引擎继续有着不错的表现,网页监视能力特别是杀木马的能力突出。今年在瑞星参加过的德国的AV-test测试上基本保持第一第二的地位。它的免费版杀毒软件也只是少了很少功能,引擎和病毒库和收费版本完全相同。在国际上非常有名,在国内更是有着不小的影响。
德国另外一个著名的杀毒软件 AntiVirenKit今年有了很大的变化,原先它一直是依靠卡巴斯基和BitDefender双引擎以及启发技术来打天下。今年的2007版突然改为卡巴斯基和AVAST双引擎。在AV-test测试上2007版表现比2006版表现确实要好些,只弱于Antivir(它们这一段时间基本把持这个测试的前两名)。
英国牛津Sophos今年推出了Sophos Anti-Virus 6.5,功能全面,特别是网页监视能力强大。依靠独到的InterCheck技术,它即时监控功能占用系统资源很少。不过今年它最出名的是发布6.5版的时候声称可以绕开PatchGurad的封锁来监控系统。
西班牙的熊猫(Panda)在欧洲名气不小,也是著名的老牌安全厂商,由于它和微软、ICSA等有着很好的合作,使得它的产品在系统底层上得到了完整的支持。在中国和方正公司合作推广,今年的主要动作也是发布了2007安全套装。和方正的合作也对于它的入侵防护 TruPrevent企业版销售也不小的促进。
美国双雄
美国市场虽然有迈克菲、赛门铁克等巨头存在,但是也还有一些优秀的安全厂商在这有很好的发展。其中最著名的就是Eset的NOD32产品家族,它的产品线很长,在世界各地获奖无数!特别是在著名的 VB100%的测试中表现卓越,创造了44次参加仅仅三次失手神话!它常年在启发杀毒测试中领先,更重要的是它以虚拟机为基础的启发式扫描算法成熟稳定,所以误报率很低。四年来一直是微软labs御用的杀毒软件。今年重点发布的的2.7版是最早完全兼容Vista的杀毒软件,继续保持了原来占用系统资源小,扫描速度飞快的优点,还增加了Anti-stealth和反Active Rootkit tool,对活动的Rootkit也有很好的清除能力。今年在大中华区市场开始发力,从年中开始可以申请三个月的升级ID,这样就极大的推动了它的影响力。不过由于价格问题,感觉销售似乎一直不好,最近的海地光缆中断也影响了它的软件升级,它和卡巴斯基同一天做出了反应,它干脆提供了两个免ID的临时服务器给用户升级。据可靠消息,中国区的升级服务器很快也会推出!
由在美国的一批华裔成立的Fortinet(飞塔)公司也是著名的安全厂商,其核心产品是一系列的病毒防火墙产品,采用先进的行为加速和内容分析系统技术,到目前为止已经荣获了多个权威奖项。其FortiGate病毒防火墙是世界上唯一获得反病毒、防火墙、VPN、入侵检测四项ICSA认证的产品。目前它的病毒防火墙在国内和神州数码的合作推广也取得了不错的成绩。它们的杀毒软件杀毒能力优秀,启发杀毒灵敏度高(不过误报也稍高)。在一些安全评测中成绩也非常好,特别是在德国AV-test最新的十一月测试中仅仅排名在二个德国杀毒软件后面。
韩国双璧
我们的邻国韩国也有两款不错的杀毒软件,在韩国占主导地位的是安博士,目前在韩国的市场占用率高达70%,遥遥领先其它杀毒软件。依靠其专利引擎 WARP Engine的表现,在各个国际杀毒软件评测中也屡有斩获。主推的个人版V3产品和企业版APC(AhnLab Policy Center) 这两年在中国也逐渐有了不少用户。
驱逐舰是基于DR.web的强大引擎而设计的杀毒软件,也是在不少国际杀毒软件测试中获奖的常客。今年在国内市场开始发力,各种推活动不断,特别是最近和众多媒体多次举行送软件的活动为它赢得了不少人气。2007年会集成启发杀毒功能,杀毒能力会有进一步 的提高。
行为杀毒逐渐风行
今年杀毒软件技术发展上最大的新亮点就是行为杀毒技术的逐渐风行,所谓行为杀毒,就是在杀毒软件监控下,发现异常的程序或系统行为做出判断并提示用户。这种技术使得杀毒软件对付未知威胁的能力大大增加。目前有不错行为杀毒技术的厂商除了中国的微点还有下面 几个。
印度的Sanrasoft公司的Rudra可以说是行为杀毒的先行者之一。安装后系统的任何文件、配置、系统管理文件变更,以及应用程序文件作出的有威胁的改变,都会被Rudra评价威胁程度。任何改变一旦被发现有潜在的威胁将会马上的作出反应。软件会每3分钟对硬盘扫描一次。其不仅仅是会移除有潜在威胁的文件,而且还可以将系统还原为原始的未被感染前的状态。它的2005版在美国市场获得了不错的反响后。今年推出的2006版更是加强进一步了行为规则数据库。
美国新推出的Cyberhawk是很简单的杀毒软件。可以不要设置就可以直接安全使用,但是没有Rudra那种快速主动扫描的功能。经过长时间的测试,对以前的误报问题做了很大的改进。和其它软件的兼容也越来越好,它的定位比Rudra低调,是作为一些主流杀毒软件的补充,是为了对付主流杀毒软件不能发现的未知病毒。估计正式上市后会对Rudra的市场会有一定的冲击。
英国的Prevx1也是今年开始兴起的行为分析类的安全软件。不过行为数据库的收集和分析能力和上面两位还有一定的差距。误报和漏报也相对严重一些。
卡巴斯基今年集成的主动防御也是基于行为杀毒来设计的,作为它强悍的特征码杀毒技术良好的补充。确实提高了它的杀毒能力,今年卡巴斯基在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中表现卓越。
纵览世界上这些中小型安全软件厂商,大多都有自己的特色技术和功能。虽然目前大多不能和几大巨头抗衡,但是在各自的区域市场上都各领风骚。对于新技术它们也更加热衷引进试用。而迈克菲、赛门铁克等巨头厂商相对就保守的多,新技术不是很成熟不会引进,现在它们相当程度上依靠强大的资本力量收购一些新兴的厂商来获得它们成熟的新技术完善自己的产品。
中小型安全软件厂商中市场和技术方面数卡巴斯基和NOD 32最为强大,它们也一定程度上具备了和几大巨头对抗的实力,它们和迈克菲也是今年仅有的三个全部通过VB100%测试的厂商!今年进入杀毒软件的微软一出手就显示了强大的实力,在不少杀毒软件测试中也取得了不错的成绩,加上它当前比较低的价格,对所有的杀毒软件都形成了现实的威胁!加上Vista系统的开放疑云,以及各安全厂商和微软之间关系的扑朔迷离(NOD32第一个推出支持Vista系统的杀毒软件事件背后明显有微软的影子!),Vista的推出将使得一些中小型软件制造商更难于竞争。也促使行业主要厂商赛门铁克和McAfee纷纷降低产品价格!虽然开放了Vista核心编写保护程序部分的API程序,但是对于各个安全厂商特别是中小型厂商的分析技术也提出了要求,如果能力不够,也就意味者被Vista淘汰出局! 2007年市场的走向确实扑朔迷离……
软件防火墙
其实大部分著名的安全厂商无论是赛门铁克这样的巨头还是卡巴斯基这样的中型厂商,它们除了拥有杀毒软件外,也大多也有自己的防火墙等安全组合,其中有不少性能卓越。今年国际上防火墙的发展也是越来越全面,不但可以越来越有效的控制网络传输,甚至部分开始拥有了杀毒软件和HIPS软件的能力!下面介绍一下除了那些安全厂商软件组合内中防火墙外,今年在国际上最流行的几款独立个人软件防火墙。
今年最火的个人软件防火墙还是老牌的ZoneAlarm最出彩,在各种评测中多次获得第一的佳绩。对于用户要求也低,几乎不要进行复杂的设置,还有免费的版本提供。今年一直主推的6.5版不但有传统的全面防火墙功能,还增加了反间谍功能,同时可以和自己能够识别的杀毒软件进行配合操作。经过一段时间的测试最近刚发布了最新的7.0,其中最让我们的惊喜的是增加了基于HIPS技术的主动防御技术!其中的 ZoneAlarm Internet Security Suite 7.0套装更是增加了一个基于卡巴斯基引擎的杀毒软件!
Agnitum Outpost Firewall 是目前惟一支持插件的防火墙,它不但可以靠规则设定来防护系统,还支持不断通过插件来扩展功能,它支持的功能甚至包括了广告和图片过滤、内容过滤、DNS 缓存等功能。占用系统资源也小。今年推出的4.0关键是增加了前摄安全保护功能,利用全新的256位SHA算法来取代原来的MD5算法来验证已被识别的应用程序,进一步加强了数据进出的安全。
Look'n'stop 是一个非常专业的防火墙,体积很小,占用的系统资源更是少的惊人。今年一直是在2.0上进行改进升级,它的设计原理是先禁止所有本地和所有远程的连接操作,再设置安全规则来允许,在初始时不信任任何程序和操作,需要自己来进行设置,如果设置的好确实非常强大。所以对用户要求比较高,不是很适合普通用户。
BlackICE今年一直在3.6版上做改进,新增加了应用程序控制(Application Defend)技术。它拥有强大的入侵检测,分析以及防护功能,而且很容易使用,可以识别 200 多种入侵技巧,并且可以收集入侵者的信息,非常适合服务器的防护。
新兴的专业安全利器:HIPS
HIPS (主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。
HIPS的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系, File Defend(简称FD)文件防御体系三类。下面介绍几款今年比较流行的HIPS软件。
老牌的System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD功能。 System Safety Monitor(简称SSM)是目前最红的HIPS软件 .
ProcessGuardPortExplorer(简称PG)的操作最简单,可以直接拦截程序钩子和Rootkit,更适合普通用户使用。目前的3.X版已经很稳定强大了,它也拥有同时AD功能。不过可惜目前没有中文版提供。
Ghost Security Suite(简称GSS)今年发布的1.1版也很简单,资源占用低且灵敏,和SSM一样拥有AD和RD。兼容在HIPS软件中也是比较好的。
ProSecurity 是今年发布的新东东,当前的是1.25版。它占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。稳定也不错,对于AD控制采用了先进的SHA效验技术,也提供了免费版本,比专业版本少了底层磁盘控制、程序钩子监视、物理内存保护和防盗取密码等功能,功能界面组合的很好,比较容易上手。更有意思的是它目前只有英语和中文简体两种语言.
WinPatrol是老牌的系统安全软件,今年发布了10.0版。主要只有AD功能,可以实时监视系统服务,设置应用程序规则和黑名单功能。虽然功能不是很强大,但是它主要是面向中低端用户的产品,易用性很高,对用户的要求低。
SafeSystem 2006(简称SS)今年发布了2006版,是目前HIPS软件中相对较少拥有FD功能的软件,可以对你系统文件和选择的文件进行全面的保护。但是目前稳定和兼容偏差。
Safe'n'Sec Personal (简称SNS,国内昵称犀牛)俄罗斯的犀牛也是是HIPS新秀,还是目前惟一拥有AD、FD、RD等3D合一的HIPS软件!更难得的是它有行为智能判断能力,这样就接近行为杀毒的水平,不像其它的HIPS软件那样所有的操作都要询问一下,这可是本质的进步,也是它向更全面安全工具发展的基础。它还有一个带BitDefender杀毒引擎杀毒功能的个人版更是全面强大!
有趣的安全工具:影子系统
由于现在网络安全实在糟糕,就是一些大型的网站也会被黑并挂木马,层出不穷的病毒木马和流氓软件让网络已经成为一个步步陷阱的威胁区域。这种情况下,影子系统应运诞生,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中影子系统的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程序(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程序安装测试非常有用,不会因为安装卸载而产生垃圾文件!因此影子系统成为不少用户上网看网页的安全选择。也成了一些专业用户测试软件的好工具。
目前的影子系统最流行的是PowerShadow Master,当前版本是2.82。它是原联想部门经理鲍禹卿开发的,它开发出影子系统后,在国内共享软件难以见到收益的环境下,暂时放弃国内市场,开发英文版并在欧美市场采用代理方式销售后,现在软件认知度很高,国内渐渐也有很多用户。在2006年底,鲍禹卿决定将这款优秀软件打入中国市场,以获得更庞大的用户群,如果是个人用户使用,它还是免费的!
它有两种模式:一种是保护系统分区,一切对系统的更改在下次启动后全部无效,对非系统分区的更改是有效的,一种是全盘保护模式。它独创的影子模式让真正的系统具有隐身的能力,使你拥有一个真正自修复免维护的系统。
还有一个常用的影子系统是联想笔记本电脑自带的冰封系统,主要功能类似,不过没有PowerShadow Master全面。
由于影子系统的运用需要重新启动,对于需要在影子状态和正常状态经常切换的用户会比较麻烦。于是,一种类似微型影子系统的沙盘软件Sandboxie应运而生,只要用这个软件启动相应的程序,譬如IE,就会在IE的上面两边出现[#],然后你在IE中做的任何操作,包括存盘都是虚拟无效的,就是网页上有什么木马和病毒也只是虚拟感染,关闭就没有了。
总结:
对于安全软件,每个人都有自己喜欢和信任的。国际巨头的产品大多成熟而稳定,其它的厂商大多有自己的特色或独特的技术,在某些方面或者某些地区有自己的优势。国内厂商的本地化程度更高,虽然技术上和安全界领先有些距离,但是对国内的各自新的威胁反应相应要快的多。还有很多国际厂商大量推出长时间的测试版和同时提供缩减一些功能的免费版也是值得国产杀毒软件厂商借鉴的,不提供足够试用的机会,只靠广告恐怕也是难真正获得用户的忠诚度,金山毒霸的在内地和日本市场崛起除了广告恐怕就大面积长时间的免费试用打出来的影响力,2006年的卡巴斯基又一次用这种方法在国内和美国市场攻城略地……
在市场竞争如此激烈的今天,技术确实很重要,但是如果没有优秀的服务,也是会失去用户的,所以现在一些国际厂商的本地化工作现在也越来越好了,其中特别是卡巴斯基以其快速的病毒反应能力已经在国内用户中建立了信心。今年台湾地震引起海地通信光缆中断后,造成很多国际杀毒软件升级困难。虽然某些巨头级安全厂商对此或者顾左右而言它或者装聋作哑,国内三大杀毒软件厂商做出了非常负责任的表现,国际厂商卡巴斯基和NOD32也有不逊于国产三大安全厂商的表现!
计算机病毒、网络安全问题已经牢牢地粘住了我们,每天都有新病毒产生,每天都有机器感染,网络世界布满了陷阱,如何保证网络安全已成为现代网络越 来越突出的问题。事情也许没有那么可怕,既然有病毒,那就想办法除掉它、远离它,安全软件就是我们的好帮手!
目前市场上的安全软件种类比较多,国内外反病毒厂商的竞争非常激烈,产品更新换代速率也非常快。为了能更有效地应对日益严重的网络安全问题,很多产品都集成了防火墙、网络实时监控等功能,可以对付网络钓鱼、网银诈骗等常见的网络攻击手段,基本实现了立体化的计算机保护系统。
我们先来看看在网上经常出现的一些数据:(初步了解一下)
杀毒软件病毒阻杀率(2006.12.22):
Kaspersky Personal Pro version 5.0 .................. 97.93%
AVK version 15.0.5 ...................... 93%
F-Secure 2005 ...................... 97.55%
eScan Virus Control version ........................... 96.75%
Norton Corporate version ........................... 91.64%
Norton Professional version 2005 ............................ 91.57%
McAfee version 9.0 ........................... 89.75%
Virus Chaser version 5.0 ............................ 88.31%
BitDefender version 8.0 .......................... 88.13%
CyberScrub version ........................... 87.87%
Panda Platinum 2005 .............................. 87.75%
version ............................. 75%
Arcavir ............................... 87.73%
MKS_VIR 2005 ................................ 87.70%
RAV version ............................. 87.26%
F-Prot version .......................... 87.07%
AV-test十一月测试结果:
认识一下全球五大杀毒引擎:
1、诺顿:首创实时监控技术,杀毒引擎相当先进,综合防护性能很好。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。
2、咖啡:主要能力是防毒,也用了虚拟脱壳技术,基本所有壳都可以干掉.
3、熊猫:西班牙的,全球第一个自动升级的,引擎相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以国内用户觉得不太好用,占内存很大。
4、俄罗斯的卡巴斯基:卡巴斯基的引擎采用了所谓的单一形式的规则判断,其在文件标识比对病毒库的时候被认为有着很好的性能,充分利用了处理器的处理能力。卡巴斯基很少引用别的公司开发的技术,而是在不断的深化,改进自身的杀毒引擎,单从某些方面评论,卡巴斯基的引擎代表着业界最高水准,但并不是全部。
5、DR.WEB:也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。全世界最厉害的杀毒引擎,比卡巴斯基 都厉害。基本上可以杀所有的壳,用的是动态虚拟机脱壳技术。
那么现在就让我们回顾一下2006年的安全软件市场吧!
2006年的安全软件市场可以用四个字来形容:十分热闹,国内是木马和流氓横行。各大厂商纷纷出手打击,宣传大战也是此起彼伏,展示着具有突破性技术进步,以及在国际权威测试上获得的好成绩。新兴的几个厂商也携自己的一些独门绝技四处出击,加上诺顿、卡巴斯基、驱逐舰、Nod32等国际厂商在国内市场上攻城掠地,让2006年的国内安全市场竞争异常激烈!用“惨不忍睹”来形容也不过分 。
国际的发展最初相对平静,迈克菲、赛门铁克、CA、趋势等四大巨头继续强势表现,纷纷正常发布了自己的2007版产品,二线厂商以卡巴斯基、Nod32、 BitDefender等也是咄咄逼人,新的杀毒防毒技术也不断成熟,逐渐开始风行。随着所有安全厂商最可怕的对手微软今年年中也高调进入安全领域,并推出了成熟的产品。加上下半年围绕着Vista对各大安全厂商的开放问题,几乎所有的安全厂商都和微软较上劲了!国际安全市场的发展也开始暗潮汹涌,变得诡异莫测起来!
下面请看现代版的三国志吧 (国内三大厂商争雄):
今年国内的杀毒软件市场主要还是金山、江民、瑞星三大安全厂商占据的,它们今年都有不小的进步。金山和江民都在年中抢先发布了他们的2007版产品,瑞星年底才发布。现在流行的反钓鱼、电子邮件监控等功能在三大安全厂商的软件中都应有尽有,同时他们的杀毒软件都集成了自己的防火墙,其中尤以瑞星的防火墙在国内防火墙中评价较高。
金山在功能和易用性上优势比较明显,界面功能的划分与安排合理又清晰,功能比较全面、丰富。其病毒库更新频率增高,病毒检查速度非常快,实时监控程序也有了长足的进步,但在信息反馈功能上还是不太理想,不过从整体上来说,金山毒霸的综合优势还是非常明显的,性价比较高。金山的2007版在保持了原先的低系统资源占有等优点情况下,改进了他的对病毒脱壳的能力,加入了流行的反钓鱼技术。最关键改进是提出了全新的数据流杀毒技术,金山的解释是:基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
江民的2007版产品的进步也不小,杀毒引擎进行了更新,提供了流氓软件的清除工具,也对 Rootkit类病毒有了一些解决办法,不过最大的亮点还是新增加的系统级行为监控,启用了类似HIPS的监控技术(估计是目前没有智能判断能力的原因,正常的行为也报,如果全部打开这些监控,上网也会有些困难,电脑运行速度也下降了不少)。如果加强这个技术的智能判断,不再是看到什么都汇报,那就是目前国际上逐渐风行的行为杀毒技术了!希望江民2008年可以在此基础上真正实现行为杀毒方面的突破!
瑞星2007是三大杀毒厂商最后一个在年底才发布的,瑞星的发布气势很大,六国语言同步发行。高调宣布首先使用了虚拟机脱壳杀毒技术,用碎甲技术监控Rootkit入侵,且国际主流的启发杀毒技术也在2007版中出现。虽然他宣称的全球首创技术有人提出质疑,但是他确实是国产杀毒中第一个引进虚拟机技术的,2007版对加壳病毒的剿杀确实进步不小,启发杀毒引擎也有表现。不过估计是监控引擎没有根本的改进,占用系统资源很高的问题还是没有解决。
而近来,由于海地光缆被地震破坏。造成很多国外杀毒软件不能升级或者升级困难,瑞星断然宣布免费提供瑞星杀毒软件和防火墙一个月的软件下载升级服务,几乎同时金山宣布免费提供杀毒软件37天,江民也做出了类似的承诺。他们充分体现了一个负责任的厂商风范。也为他们赢得了非常好的口碑!
三大厂商为了体现自己的权威地位同时也是为了参加海外市场的角逐,今年也开始热衷于参与国际认证。瑞星在国内首次于今年六月通过了英国西海岸实验室的全部评测,六月开始也参与德国的AV-test测试,虽然排名不高,但是还超越了一些著名的厂商。一直不太参加国际评测的江民今年也参加了英国西海岸实验室的评测,9月评测全部通过后,最近又胜利全部通过了复检。金山选择了参加最困难的VB100%测试,可惜最终失败。瑞星和江民都宣称获得了微软的Api支持,都宣布推出或即将推出支持Vista系统的产品。
三大厂商对市场反应的能力相当不错,在反流氓大势已定的情况下,一直保持旁观的三大安全厂商突然纷纷出手,瑞星高调推出卡卡3.0,对流氓软件宣战,江民宣布在杀毒软件中加入反流氓模块。金山推出系统清理专家来对付流氓软件。这些真正有实力的专业选手终于也参与对流氓软件的斗争了,既为自己赢得了足够的眼球,也一定程度上是为了防止360安全卫士这样的软件崛起来威胁自己的江湖地位(360安全卫士免费捆绑卡巴斯基的运作方式确实对他们造成了不小的冲击)。
列强诸侯的冲击(二线安全厂商)
今年在三大杀毒软件之外,国产杀毒软件最火的就是光华和微点了。光华在国内的一些评测中表现惊人,在这些测试中他不但超越了国产的杀毒软件,甚至还超过了国际上著名的赛门铁克和卡巴斯基。它是国内唯一通过微软全球金牌认证,查杀速度也在国内领先,目前国内杀毒软件主流的监控及杀毒技术基本上都拥有。可惜它在参加权威的VB100%测试失利了。
微点虽然还没有正式上市,但是由于他是以国际上正在流行的行为杀毒技术为主,特征码为辅助的杀毒软件,从去年下半年一开始公测,就有很多安全技术爱好者纷纷下载试用,他的主动防御技术对于病毒特别是未知威胁的防护有很好的表现。经过一年多的公测,微点的稳定和兼容也有了不小的进步。经过一年的发展,现在在网络上也有了不少死忠的Fans,影响也逐渐越来越大。但是由于他主要运用的是目前前卫的行为杀毒技术,智能判断的算法还在完善中,所以对用户要求也相对比较高,有些情况下需要用户对他发现的威胁进行判断,防止微点的误报。他目前和很多杀毒软件的兼容也不错,还可以安装其他的杀毒软件来配合他。如果能够进一步提高智能判断的算法并加强行为规则库,并补充足够的病毒特征码,使之更加适合普通用户的操作。相信正式上市后会有良好的表现。
很多人都羡慕国外有免费的杀毒软件,其实国内也有。曾经在国内有一定影响的东方卫士现在就全面免费了,用他的免费序号注册还可以正常升级。他的功能也比较全面,操作简单。如果没有合适的杀毒软件,东方卫士也是一个不错的选择。“东方卫士”,采用了双码-安全码和特征码技术;独有的“一防二杀三恢复”的防毒理念,将完全解决各种新老病毒对您计算机的侵害,彻底改变病毒特征码检索和查杀的传统杀病毒原理,并改变传统杀病毒软件的思维悖论,对未知病毒具有极佳的反毒效果,可以有效的防御各种未知病毒的肆虐。
原来的市场领导者金辰公司和美国CA公司成立冠群金辰以后,实际上就一直用CA公司的产品来包装成自己的KILL安全胄甲防病毒系统,依靠CA公司的InoculateIT和Vet双引擎强大的杀毒能力,今年推出的KILL安全胄甲2006个人版获得了VB100%、ICSA实验室、西海岸实验室等全球18家权威认证。可惜由于种种原因,只是在企业级市场上有不错的表现。个人市场一直很安静,甚至购买也没有国产的主流杀毒软件方便。
今年最大的安全新闻就是流氓软件事件了,自从奇虎推出360安全卫士并免费捆绑卡巴斯基个人版,开始公开的对各种流氓软件宣,并引发了他和雅虎的论战,也把一直被隐藏的流氓软件危害问题揭露了出来,经过半年多的论战,各种对付流氓软件的软件和技术也纷纷出现。也逐渐舆论上形成对流氓软件的强大压力,并且逐渐得到了政府部门的关注和支持。最后也让国内的主流杀毒软件厂商参与了这场战争!
现在国内三大安全厂商的强势市场地位已经形成,如果没有非常好的机会和突破性质的技术进步,其他厂商目前很难对这些一线厂商的地位进行冲击。当年瑞星通过 CIH事件营销再加上江民的一些失误一飞冲天的故事现在比较难出现了。他们现在恐怕也不会给其他厂商这个机会了,今年的三大安全厂商的流氓软件攻略就生动的体现了这一切!
乱世出英雄(防火墙篇)
网络安全不能没有防火墙,传统安全软件架构主要就是杀毒软件和防火墙,防火墙在防止攻击和木马入侵方面起了非常关键的作用。如果拥有一个设置好的优秀的防火墙,电脑的安全可以得到相当的提升,是配合杀毒软件的重要工具。当前国内混乱的网络状况使得很多网友纷纷选用各种防火墙,国内的各种防火墙也大量应运而出。
国产防火墙软件目前最有名的就算是天网防火墙了,他一直有免费的版本提供,这几年来培养了不少忠实用户。天网防火墙可以对应用程序数据包进行底层分析拦截功能,内置了很多实用的规则,并且可以自动更新规则。今年推出的3.0版新增了应用程序 MD5值校验系统,发现原来通过的程序有变化就阻止并提出警告。
费尔个人防火墙是国内的新秀,他也是主要依靠对网络底层进行数据过滤来防护的,靠规则来防护各种威胁。他一直以免费策略,来进行市场推广。他今年发布的3.0在界面和功能上有了不小的进步。
以防止Arp欺骗出名的风云防火墙1.2、以防止DDOS出名的冰盾防火墙 v8.1、以防木马为主业的天盾网络防火墙2006等免费防火墙在2006也吸引了一些用户的关注。国产的杀毒软件中大多目前也都带有了自家的防火墙,和他们的杀毒软件配合可以得到不错的防护效果。在市场上也都有自己一批拥护者。
国际风起云涌,四大巨头的合纵连横
迈克菲、赛门铁克、CA、趋势等四大安全巨头今年最初的发展一直很平稳,基本都在差不多的时间发布了自己的2007个人版杀毒产品。由于它们和微软以前一直有不错的合作,都拥有微软操作系统部分源代码,它们的产品更加稳定并且兼容性很好。
赛门铁克今年发布了它的企业版10.0以及 Symantec Client Security3.0,作为首创即时监控技术的厂商,虽然系统资源占用越来越大,但是依靠它全面且稳定的防护能力还是取得了不少用户的青睐。下半年为了和微软的Vista兼容,不但开始开发兼容Vista2007版产品,岁末首先推出了支持Vista的10.2企业版,还似乎为了和微软赌气,还推出了兼容Vista的诺顿360产品的测试版。
CA 公司今年针对大中型型企业力推eTrust Threat Management8.0 的全方位防护组合,针对小型企业用户推广eTrust EZ Antivirus 7.0和eTrust EZ Firewall 5.5组合,这个组合小而强悍,占用系统资源也少。CA公司去年收购Tiny公司后,今年就把Tiny公司一批优秀的产品和技术集成到自己的安全家族中,特别是在个人防火墙测试中经常排名很靠前的Tiny Personal Firewall更是加强了它在个人安全市场的影响。
趋势的企业版主要针对的是大企业用户,功能组合多,产品线长,但是在个人用户市场相对低调的多。它的OfficeScan企业版实际表现要比它的个人版要好不少。不过今年没有发布大的升级。随着微软的让步,它支持Vista的版本也开始了测试。随着中国市场的发展,趋势会在2007年在中国设立研发中心,到时候会对国产病毒会有更好的反应。
从McAfee 到迈克菲,据McAfee相关人士介绍,采用迈克菲作为公司品牌的中文标识经过了深思熟虑,迈克菲是McAfee的中文音译,McAfee希望在世界各地人们均以同一种发声方式解读McAfee品牌。而“迈克菲”三个字也各有寓意。“迈”意为跨越,展示McAfee对公司的祝福及对未来的判断;“克”有克制、战胜之意,攻无不胜,战无不克,诠释说明了迈克菲的主要业务方向; “菲”形容草木茂盛丰美,包含了迈克菲对在中国市场发展前景的判断和美好预期。也许George Samenuk对于博大精深的中国文化没有太深的了解,对“迈克菲”三个汉字背后所蕴含的意义也无法深刻体会,但中国市场对McAfee的重要是它能够深深感受到的。迈克菲公司是到了年底才发布它产品线中的最重要的产品VirusScan Enterprise 8.5i。这个经过三年等待的产品确实不负众望,不但功能组合更加人性化,还在原先优秀的 File Defend(文件防御能力)基础上增加了Registry Defend(注册表防御能力)。这样就是对于不是非常熟悉系统的用户也可以设置 好,还可以获得更全面的系统安全。加上它的ePolicy orchestrator控制,可以在局域网内构建起一张安全大网。
欧洲军团百花齐放
安全厂商的垄断程度可能是软件领域最低的,虽然市场有四大巨头主导。但是二线厂商不但众多。在技术和市场运作上都各有千秋,特别是在新技术的开发和应用上二线厂商一直是领先的。
杀毒软件方面目前最为壮观强大的就是欧洲军团,其中俄罗斯双雄卡巴斯基、Dr.web尤为强大。卡巴斯基今年发布6.0,不但降低了系统资源占用,还集成了具有行为杀毒能力的主动防御的模块,对付未知威胁的能力有了本质的进步。它对于病毒的反应速度也是最快的,上报的病毒样本只要一二个小时后就可以杀除了!卡巴斯基在国际上影响很大, Aladdin 、 Nokia ICG 、 F-Secure 、 Sybari 、 GData 、 Deerfield 、 Alt-N 、 Microworld 和 Borderware等公司的软件产品都集成了它的杀毒引擎,特别是在这几年市场营销动作很大,不但逐渐巩固了在欧洲的市场,也在原来不太成功的北美市场也快速攻城略地,也是先和AOL合作,为AOL的用户免费推出基于卡巴斯基互联网安全套装 6.0 个人版设计的 Active Virus Shield,结果一举打开美国市场,促销活动也频频出手。其中在感恩节一天干脆免费发送个人版杀毒软件!在内地的市场由于利用中俄文化年的机会搞起了促销,加上它和奇虎360安全卫士免费捆绑、和网易合作推广50元正版以及和各大媒体的各种活动使得它的市场分额不断攀升,已经开始对国产杀毒软件的传统优势形成了挑战。今年年底的海地光缆中断事件中,卡巴斯基的快速反应以及积极应对也让它的影响力在天灾后不降反升!
Dr.web 由于是俄罗斯军方专业的杀毒软件,所以一直在市场推广上很低调。但是其高效的虚拟机启发杀毒使得它的资源占用很低和强悍的杀毒能力,继续得到追捧,早期被国人认识的金山首先在它的毒霸2002里面集成了它的引擎。同时,运用了它的引擎的驱逐舰在国际市场上也有很好的反响(没有Dr.web的启发技术的驱逐舰就可以在国内外有不错的表现,可以想像原汁原味的Dr.web有多强悍!)。今年发布的4.33版保持原来系统占用低,灵敏度高的优点情况下进一步改进了它的引擎,还针对个人用户推出了单文件的免费杀毒软件cureit下载试用,扫描功能和完整版完全一样。只是少了即时监控能力。
白俄罗斯的Vba32一直以启发杀毒出名,监控全面强大,和Dr.web的技术上有一定的交流,从去年的3.0版以后不断加强其特征码的收集。功能也越来越全面强大。今年也和Dr.web一样,新推出了免费的绿色版VBA32 Free Scanner。
罗马尼亚的BitDefender今年推出了10.0,依靠其强悍的杀毒能力和多达50万的海量病毒库加上今年在TopTenREVIEWS获得性价比第一的美名得到不少网友的追捧。它的老版本8.0现在可以免费提供。
捷克的AVG Anti-Virus是欧洲著名的杀毒软件,今年发布的7.5版本功能全面,无论是启发还是特征码杀毒技术都很成熟。让我惊讶的是它提供了功能缩水最少的免费版杀毒软件,只是有部分功能无法设定,其它都和收费版本相同!国内用户耳熟能详的杀木马软件ewido被它收购并集成在自己的安全组合里面。这样也为它赢得了不少关注。
捷克另外一款著名杀毒软件AVAST今年发布了4.7版,它有着非常全面的文件和网络监视功能。占用系统资源也很低,更有千变万化的换肤界面可以选择。它的免费版杀毒软件在市场上也很有名。
北欧冰岛的F-Prot Antivirus今年推出了6.0版,加强了监控能力。它的实时监控非常灵敏,界面简洁、功能全面,系统资源占用也很低,并且可以支持dos命令行杀毒,优秀的启发引擎可以轻松的识别不少新的威胁。
芬兰的四引擎(包括卡巴)杀毒软件F-Secure一直是国际各大杀毒软件评测前几名的常客,在它强大的四引擎监控下,很难有病毒能逃生。它今年主要发布了2007版的个人版和6.03企业版。有意思的是它的企业版官方提供6个月的试用版本下载!
Norman今年的发布的5.0在原来强大的杀毒能力基础上增加了SandBox(沙盘)诱捕技术,可以查杀未知病毒了。个人感觉就是类似Dr.web、Nod32的虚拟机启发杀毒技术。
德国的著名Antivir(国内昵称小红伞)今年发布了7.0,其原来的系统占用低、扫描速度快等优点继续保持,其特色的强启发引擎继续有着不错的表现,网页监视能力特别是杀木马的能力突出。今年在瑞星参加过的德国的AV-test测试上基本保持第一第二的地位。它的免费版杀毒软件也只是少了很少功能,引擎和病毒库和收费版本完全相同。在国际上非常有名,在国内更是有着不小的影响。
德国另外一个著名的杀毒软件 AntiVirenKit今年有了很大的变化,原先它一直是依靠卡巴斯基和BitDefender双引擎以及启发技术来打天下。今年的2007版突然改为卡巴斯基和AVAST双引擎。在AV-test测试上2007版表现比2006版表现确实要好些,只弱于Antivir(它们这一段时间基本把持这个测试的前两名)。
英国牛津Sophos今年推出了Sophos Anti-Virus 6.5,功能全面,特别是网页监视能力强大。依靠独到的InterCheck技术,它即时监控功能占用系统资源很少。不过今年它最出名的是发布6.5版的时候声称可以绕开PatchGurad的封锁来监控系统。
西班牙的熊猫(Panda)在欧洲名气不小,也是著名的老牌安全厂商,由于它和微软、ICSA等有着很好的合作,使得它的产品在系统底层上得到了完整的支持。在中国和方正公司合作推广,今年的主要动作也是发布了2007安全套装。和方正的合作也对于它的入侵防护 TruPrevent企业版销售也不小的促进。
美国双雄
美国市场虽然有迈克菲、赛门铁克等巨头存在,但是也还有一些优秀的安全厂商在这有很好的发展。其中最著名的就是Eset的NOD32产品家族,它的产品线很长,在世界各地获奖无数!特别是在著名的 VB100%的测试中表现卓越,创造了44次参加仅仅三次失手神话!它常年在启发杀毒测试中领先,更重要的是它以虚拟机为基础的启发式扫描算法成熟稳定,所以误报率很低。四年来一直是微软labs御用的杀毒软件。今年重点发布的的2.7版是最早完全兼容Vista的杀毒软件,继续保持了原来占用系统资源小,扫描速度飞快的优点,还增加了Anti-stealth和反Active Rootkit tool,对活动的Rootkit也有很好的清除能力。今年在大中华区市场开始发力,从年中开始可以申请三个月的升级ID,这样就极大的推动了它的影响力。不过由于价格问题,感觉销售似乎一直不好,最近的海地光缆中断也影响了它的软件升级,它和卡巴斯基同一天做出了反应,它干脆提供了两个免ID的临时服务器给用户升级。据可靠消息,中国区的升级服务器很快也会推出!
由在美国的一批华裔成立的Fortinet(飞塔)公司也是著名的安全厂商,其核心产品是一系列的病毒防火墙产品,采用先进的行为加速和内容分析系统技术,到目前为止已经荣获了多个权威奖项。其FortiGate病毒防火墙是世界上唯一获得反病毒、防火墙、VPN、入侵检测四项ICSA认证的产品。目前它的病毒防火墙在国内和神州数码的合作推广也取得了不错的成绩。它们的杀毒软件杀毒能力优秀,启发杀毒灵敏度高(不过误报也稍高)。在一些安全评测中成绩也非常好,特别是在德国AV-test最新的十一月测试中仅仅排名在二个德国杀毒软件后面。
韩国双璧
我们的邻国韩国也有两款不错的杀毒软件,在韩国占主导地位的是安博士,目前在韩国的市场占用率高达70%,遥遥领先其它杀毒软件。依靠其专利引擎 WARP Engine的表现,在各个国际杀毒软件评测中也屡有斩获。主推的个人版V3产品和企业版APC(AhnLab Policy Center) 这两年在中国也逐渐有了不少用户。
驱逐舰是基于DR.web的强大引擎而设计的杀毒软件,也是在不少国际杀毒软件测试中获奖的常客。今年在国内市场开始发力,各种推活动不断,特别是最近和众多媒体多次举行送软件的活动为它赢得了不少人气。2007年会集成启发杀毒功能,杀毒能力会有进一步 的提高。
行为杀毒逐渐风行
今年杀毒软件技术发展上最大的新亮点就是行为杀毒技术的逐渐风行,所谓行为杀毒,就是在杀毒软件监控下,发现异常的程序或系统行为做出判断并提示用户。这种技术使得杀毒软件对付未知威胁的能力大大增加。目前有不错行为杀毒技术的厂商除了中国的微点还有下面 几个。
印度的Sanrasoft公司的Rudra可以说是行为杀毒的先行者之一。安装后系统的任何文件、配置、系统管理文件变更,以及应用程序文件作出的有威胁的改变,都会被Rudra评价威胁程度。任何改变一旦被发现有潜在的威胁将会马上的作出反应。软件会每3分钟对硬盘扫描一次。其不仅仅是会移除有潜在威胁的文件,而且还可以将系统还原为原始的未被感染前的状态。它的2005版在美国市场获得了不错的反响后。今年推出的2006版更是加强进一步了行为规则数据库。
美国新推出的Cyberhawk是很简单的杀毒软件。可以不要设置就可以直接安全使用,但是没有Rudra那种快速主动扫描的功能。经过长时间的测试,对以前的误报问题做了很大的改进。和其它软件的兼容也越来越好,它的定位比Rudra低调,是作为一些主流杀毒软件的补充,是为了对付主流杀毒软件不能发现的未知病毒。估计正式上市后会对Rudra的市场会有一定的冲击。
英国的Prevx1也是今年开始兴起的行为分析类的安全软件。不过行为数据库的收集和分析能力和上面两位还有一定的差距。误报和漏报也相对严重一些。
卡巴斯基今年集成的主动防御也是基于行为杀毒来设计的,作为它强悍的特征码杀毒技术良好的补充。确实提高了它的杀毒能力,今年卡巴斯基在专门测试杀毒软件对付未知病毒能力的奥地利AV-Comparatives测试中表现卓越。
纵览世界上这些中小型安全软件厂商,大多都有自己的特色技术和功能。虽然目前大多不能和几大巨头抗衡,但是在各自的区域市场上都各领风骚。对于新技术它们也更加热衷引进试用。而迈克菲、赛门铁克等巨头厂商相对就保守的多,新技术不是很成熟不会引进,现在它们相当程度上依靠强大的资本力量收购一些新兴的厂商来获得它们成熟的新技术完善自己的产品。
中小型安全软件厂商中市场和技术方面数卡巴斯基和NOD 32最为强大,它们也一定程度上具备了和几大巨头对抗的实力,它们和迈克菲也是今年仅有的三个全部通过VB100%测试的厂商!今年进入杀毒软件的微软一出手就显示了强大的实力,在不少杀毒软件测试中也取得了不错的成绩,加上它当前比较低的价格,对所有的杀毒软件都形成了现实的威胁!加上Vista系统的开放疑云,以及各安全厂商和微软之间关系的扑朔迷离(NOD32第一个推出支持Vista系统的杀毒软件事件背后明显有微软的影子!),Vista的推出将使得一些中小型软件制造商更难于竞争。也促使行业主要厂商赛门铁克和McAfee纷纷降低产品价格!虽然开放了Vista核心编写保护程序部分的API程序,但是对于各个安全厂商特别是中小型厂商的分析技术也提出了要求,如果能力不够,也就意味者被Vista淘汰出局! 2007年市场的走向确实扑朔迷离……
软件防火墙
其实大部分著名的安全厂商无论是赛门铁克这样的巨头还是卡巴斯基这样的中型厂商,它们除了拥有杀毒软件外,也大多也有自己的防火墙等安全组合,其中有不少性能卓越。今年国际上防火墙的发展也是越来越全面,不但可以越来越有效的控制网络传输,甚至部分开始拥有了杀毒软件和HIPS软件的能力!下面介绍一下除了那些安全厂商软件组合内中防火墙外,今年在国际上最流行的几款独立个人软件防火墙。
今年最火的个人软件防火墙还是老牌的ZoneAlarm最出彩,在各种评测中多次获得第一的佳绩。对于用户要求也低,几乎不要进行复杂的设置,还有免费的版本提供。今年一直主推的6.5版不但有传统的全面防火墙功能,还增加了反间谍功能,同时可以和自己能够识别的杀毒软件进行配合操作。经过一段时间的测试最近刚发布了最新的7.0,其中最让我们的惊喜的是增加了基于HIPS技术的主动防御技术!其中的 ZoneAlarm Internet Security Suite 7.0套装更是增加了一个基于卡巴斯基引擎的杀毒软件!
Agnitum Outpost Firewall 是目前惟一支持插件的防火墙,它不但可以靠规则设定来防护系统,还支持不断通过插件来扩展功能,它支持的功能甚至包括了广告和图片过滤、内容过滤、DNS 缓存等功能。占用系统资源也小。今年推出的4.0关键是增加了前摄安全保护功能,利用全新的256位SHA算法来取代原来的MD5算法来验证已被识别的应用程序,进一步加强了数据进出的安全。
Look'n'stop 是一个非常专业的防火墙,体积很小,占用的系统资源更是少的惊人。今年一直是在2.0上进行改进升级,它的设计原理是先禁止所有本地和所有远程的连接操作,再设置安全规则来允许,在初始时不信任任何程序和操作,需要自己来进行设置,如果设置的好确实非常强大。所以对用户要求比较高,不是很适合普通用户。
BlackICE今年一直在3.6版上做改进,新增加了应用程序控制(Application Defend)技术。它拥有强大的入侵检测,分析以及防护功能,而且很容易使用,可以识别 200 多种入侵技巧,并且可以收集入侵者的信息,非常适合服务器的防护。
新兴的专业安全利器:HIPS
HIPS (主机入侵防御体系),也被称为系统防火墙,今年开始在比较专业的用户中开始流行,甚至一些杀毒软件厂商研究新病毒的时候都用它们来最终分析。HIPS可以控制限制进程调用,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时,这个行为就会被所HIPS检测,然后弹出警告,询问用户是否允许运行。如果用户拥有足够的软件和系统进程方面知识的情况下,利用HIPS软件能非常有效的防止木马或者病毒的偷偷运行。如果运用的好甚至可以摆脱对杀毒软件的依靠!(现在开始风行的行为杀毒其实就是HIPS功能的智能化)。
HIPS的功能分类有Application Defend(简称AD)应用程序防御体系, Registry Defend(简称RD)注册表防御体系, File Defend(简称FD)文件防御体系三类。下面介绍几款今年比较流行的HIPS软件。
老牌的System Safety Monitor(简称SSM)是目前最红的HIPS软件,经过几年的开发,现在SSM2.2已经基本成熟了,系统资源占用也越来越少,它拥有AD和RD功能,可以察看运行程序的父子关系,就是界面设计的有些烦琐,上手比较麻烦,拥有MD5和更强大的256位SHA效验算法可以选择。同时也有中文语言包,虽然价格比较高,但是还有免费的版本提供,不过少了磁盘底层写入监视和RD功能。 System Safety Monitor(简称SSM)是目前最红的HIPS软件 .
ProcessGuardPortExplorer(简称PG)的操作最简单,可以直接拦截程序钩子和Rootkit,更适合普通用户使用。目前的3.X版已经很稳定强大了,它也拥有同时AD功能。不过可惜目前没有中文版提供。
Ghost Security Suite(简称GSS)今年发布的1.1版也很简单,资源占用低且灵敏,和SSM一样拥有AD和RD。兼容在HIPS软件中也是比较好的。
ProSecurity 是今年发布的新东东,当前的是1.25版。它占用系统资源很少,设定也很简单。同时拥有了AD和RD功能。稳定也不错,对于AD控制采用了先进的SHA效验技术,也提供了免费版本,比专业版本少了底层磁盘控制、程序钩子监视、物理内存保护和防盗取密码等功能,功能界面组合的很好,比较容易上手。更有意思的是它目前只有英语和中文简体两种语言.
WinPatrol是老牌的系统安全软件,今年发布了10.0版。主要只有AD功能,可以实时监视系统服务,设置应用程序规则和黑名单功能。虽然功能不是很强大,但是它主要是面向中低端用户的产品,易用性很高,对用户的要求低。
SafeSystem 2006(简称SS)今年发布了2006版,是目前HIPS软件中相对较少拥有FD功能的软件,可以对你系统文件和选择的文件进行全面的保护。但是目前稳定和兼容偏差。
Safe'n'Sec Personal (简称SNS,国内昵称犀牛)俄罗斯的犀牛也是是HIPS新秀,还是目前惟一拥有AD、FD、RD等3D合一的HIPS软件!更难得的是它有行为智能判断能力,这样就接近行为杀毒的水平,不像其它的HIPS软件那样所有的操作都要询问一下,这可是本质的进步,也是它向更全面安全工具发展的基础。它还有一个带BitDefender杀毒引擎杀毒功能的个人版更是全面强大!
有趣的安全工具:影子系统
由于现在网络安全实在糟糕,就是一些大型的网站也会被黑并挂木马,层出不穷的病毒木马和流氓软件让网络已经成为一个步步陷阱的威胁区域。这种情况下,影子系统应运诞生,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中影子系统的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程序(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程序安装测试非常有用,不会因为安装卸载而产生垃圾文件!因此影子系统成为不少用户上网看网页的安全选择。也成了一些专业用户测试软件的好工具。
目前的影子系统最流行的是PowerShadow Master,当前版本是2.82。它是原联想部门经理鲍禹卿开发的,它开发出影子系统后,在国内共享软件难以见到收益的环境下,暂时放弃国内市场,开发英文版并在欧美市场采用代理方式销售后,现在软件认知度很高,国内渐渐也有很多用户。在2006年底,鲍禹卿决定将这款优秀软件打入中国市场,以获得更庞大的用户群,如果是个人用户使用,它还是免费的!
它有两种模式:一种是保护系统分区,一切对系统的更改在下次启动后全部无效,对非系统分区的更改是有效的,一种是全盘保护模式。它独创的影子模式让真正的系统具有隐身的能力,使你拥有一个真正自修复免维护的系统。
还有一个常用的影子系统是联想笔记本电脑自带的冰封系统,主要功能类似,不过没有PowerShadow Master全面。
由于影子系统的运用需要重新启动,对于需要在影子状态和正常状态经常切换的用户会比较麻烦。于是,一种类似微型影子系统的沙盘软件Sandboxie应运而生,只要用这个软件启动相应的程序,譬如IE,就会在IE的上面两边出现[#],然后你在IE中做的任何操作,包括存盘都是虚拟无效的,就是网页上有什么木马和病毒也只是虚拟感染,关闭就没有了。
总结:
对于安全软件,每个人都有自己喜欢和信任的。国际巨头的产品大多成熟而稳定,其它的厂商大多有自己的特色或独特的技术,在某些方面或者某些地区有自己的优势。国内厂商的本地化程度更高,虽然技术上和安全界领先有些距离,但是对国内的各自新的威胁反应相应要快的多。还有很多国际厂商大量推出长时间的测试版和同时提供缩减一些功能的免费版也是值得国产杀毒软件厂商借鉴的,不提供足够试用的机会,只靠广告恐怕也是难真正获得用户的忠诚度,金山毒霸的在内地和日本市场崛起除了广告恐怕就大面积长时间的免费试用打出来的影响力,2006年的卡巴斯基又一次用这种方法在国内和美国市场攻城略地……
在市场竞争如此激烈的今天,技术确实很重要,但是如果没有优秀的服务,也是会失去用户的,所以现在一些国际厂商的本地化工作现在也越来越好了,其中特别是卡巴斯基以其快速的病毒反应能力已经在国内用户中建立了信心。今年台湾地震引起海地通信光缆中断后,造成很多国际杀毒软件升级困难。虽然某些巨头级安全厂商对此或者顾左右而言它或者装聋作哑,国内三大杀毒软件厂商做出了非常负责任的表现,国际厂商卡巴斯基和NOD32也有不逊于国产三大安全厂商的表现!
