评测安全产品是离子翼信息安全实验室重要的工作之一,为了透彻的了解每种安全产品的特性以及公正的发布安全信息,离子翼信息安全实验室在2004年上半年组织了一次较大规模的防病毒软件测试,主要针对各种软件的防病毒能力,测试对象是经过我们精心挑选的、在业界受认知程度较高的、在以往测试中综合表现较强的7种防病毒软件产品,分别是卡巴斯基、诺顿、趋势科技、江民、金山、熊猫杀毒和瑞星出品的防病毒产品,本次公布的测试内容为对这些公司个人版产品的测试。网络版及其它类型产品的测试结果暂不公布,如需要其测试数据,请另行与我们联系。
首先,我们建议用户对防病毒软件的测试有一个客观的认识,评测本身只是在尽可能公平的条件下对防病毒软件的基本能力进行一些观察,给防病毒产品的特性分析提供一些佐证,在实际的应用环境下,用户的操作习惯、病毒的传播性、客观环境的复杂性都会对软件的表现产生影响,也提出更多的要求,我们希望此次评测有助于广大用户能够进一步了解防病毒产品的一些性能指标和技术细节,也希望广大反病毒厂商在提高反病毒产品技术能力的同时,能够更多地考虑到用户层面的内容,不断开发出更有实效,更符合用户习惯的优秀产品。
评测环境说明:
P4 1.7GHz
128M DDR内存
40G硬盘[7200转/2M缓存]
Microsoft Window XP 个人版
系统默认安装,除评测中使用的压缩软件、加壳程序等无任何其它程序及启动服务。
参测软件名称
卡巴斯基5(桌面版)
诺顿防病毒软件2004
KV2004
瑞星2004
金山毒霸6
趋势防病毒精灵2004
熊猫卫士铂金版
评测病毒库说明:
病毒样本数目:10006
其中共包括DOS病毒、Windows病毒、蠕虫病毒、脚本病毒、恶意代码、变形病毒、共生病毒、病毒制造机、异构病毒、腐败文件等多个类型。
测试过程说明:
测试集中在两个工作日内完成,以确保所有软件的病毒库升级时间基本相同。每测试完一个防病毒软件之后,将系统恢复到原始状态,以保证每个测试循环之间不会发生干扰。我们仍然遵循行业惯例,分别对每款防病毒产品的On-Access Scanner(监控器)和On-Demand Scanner(扫描器)进行测试;其中测试项目主要集中在性能和精度两个主要的方面,最后我们还对所有参加测试的防病毒软件的病毒清除能力进行了评估。
监控器测试
一.
性能测试:
该项测试主要反映了防病毒软件监控程序的系统资源占用情况,在CPU占用率方面,所有产品在系统没有操作的状态下基本相同,只在0%到1%之间波动,只有瑞星在测试过程中出现间歇性CPU占用率略微升高的现象,不过幅度非常小;内存占用方面,无论是各款防病毒软件处于默认设置还是处于我们统一规定的设置之下,卡巴斯基都获得了领先。不过,从主观感觉上,卡巴斯基相对于其它产品来说对机器启动速度有一定的影响。在此项测试中,诺顿2004的表现也相当出色,有望破除用户对诺顿防病毒性能方面的微辞;
总体上,对于目前的硬件配置水平来说,防病毒产品的监控进程对用户的正常操作已经基本没有影响了。
二.
精度测试:
监控程序的精度测试主要包括了监控的途径和监控的病毒种类两个主要项目;在监控途径的测试中,各款防病毒软件表现良好,对于本地驱动器、网络驱动器可移动媒体、电子邮件等数据访问途径的监控全部支持;在进行监控病毒种类的测试时,测试结果再次让我们兴奋不已,所有软件对所有类型的病毒都可以实现监控,看来防病毒软件的监控器技术经过若干年的发展,已经真正成为和病毒扫描器具有同等重要地位的功能模块了。
AVP5
诺顿
KV2004
瑞星
金山
趋势
熊猫
本地驱动器
√
√
√
√
√
√
√
可移动媒体
√
√
√
√
√
√
√
网络驱动器
√
√
√
√
√
√
√
电子邮件
√
√
√
√
√
√
√
应用程序
√
√
√
√
√
√
√
注意:在该测试中仅表示软件的监控中心能否监视到来自以上途径的病毒,并不等于该软件具备扫描以上领域的功能。比如卡巴斯基5桌面版虽然不具备扫描网络驱动器的功能,但是如果用户通过局域网传输的文件含有病毒话,卡巴斯基5的监控中心仍然可以发出警报。
扫描器测试
必须首先说明的是,扫描器测试部分进行了相当多的项目,每进行一个测试项目我们就记录下耗费的时间和测试结果,所以扫描器部分的性能测试和精度测试的结果通常是同时产生的,我们在下面的描述中将以测试项目为顺序提供我们的测试结果,另外需要说明的是,由于启发式查毒还不是一种实用的值得信赖的技术,所以虽然我们在测试过程中也进行了相关的测试,但并不将其做为有效结果纳入该评测报告。
首先我们进行了海量扫描测试,我们在测试用机上专门开辟了一个2G的分区,其中包含有各类文件1.8G左右,其中包含一些染毒文件;我们只记录第一次扫描时的时间,因为很多防病毒产品在第二次扫描时将不会对未发生修改的文件进行扫描;在所有参测软件中,熊猫、金山和诺顿包揽了前3名,并且有相当的领先优势,可以看到,熊猫能够获得这样的市场影响力,确实有独到之处;值得注意的是,目前全球的反病毒厂商在自己的产品中应用的扫描策略各不相同,已经很少有防病毒产品对每个文件的所有成分进行扫描了,所以出现较大的扫描时差也在情理之中。
海量文件扫描
AVP5
诺顿
KV2004
瑞星
金山
趋势
熊猫
扫描用时
49:31
21:05
32:12
24:44
20:09
58:35
20:04
扫描文件
85433
79630
85401
84978
81002
85326
85429
扫描存档
0
0
0
0
0
0
0
扫描压缩包
17
17
17
17
17
17
17
随后进行的测试是对病毒样本进行的扫描测试,目前对病毒样本比较通行的一种划分是Wild 和Zoo,Wild是指一个由权威病毒组织和专家定期报告和维护的病毒列表,其结果是按月发表一个确认有实际传播和感染行为的病毒清单,而Zoo是相对Wild而言的更大范围的所有具有活性的病毒感染体,我们在该项目中使用了Zoo模式的测试,对我们预先准备的所有病毒样本进行扫描。测试结果显示,金山是唯一一个在2分钟以内完成测试的产品,而熊猫再次取得了好成绩,位列第二,诺顿的成绩也相当的不俗,耗用的时间都没有超过3分钟。这个测试的更重要的结果是每个产品的病毒识别率,卡巴斯基以超过99.5%的成绩证明了自己的技术底蕴,可以看出广大病毒收集者和国际安全领域的研究人士对该产品如此推崇的确是有理由的,以98%的识别率获得第二名的江民KV2004也有着优异的表现,国内最早涉足计算机病毒技术研发的江民公司仍然是技术派的杰出代表。紧随其后的是趋势和熊猫,趋势防病毒软件在前面两项性能测试中的表现不尽如人意,但在病毒识别方面的表现还是可圈可点,这可能与趋势的产品相对文件进行彻底的检查有关。
在测试中,我们把所有软件的扫描功能全部调整到最高等级,下面的结果就是每个软件的最高查毒能力状态下的表现。而国内相当著名的瑞星杀毒的表现相当令人诧异的原因我们在接下来的分类扫描测试中给大家做了分析。
Zoo扫描
卡巴斯基
诺顿
江民
瑞星
金山
趋势
熊猫
扫描用时
3"
2"27
3"42
6"24
1"57
9"47
2"5
已知病毒
9963
9241
9769
7388
9304
9502
9357
未知病毒
0
3
42
624
0
0
133
识别率
99.57
92.38
98.05
80.07
92.98
94.96
94.84
为了更好的反映病毒查杀率这一最重要评测指标所产生结果的深层次原因,我们在全部病毒样本扫描测试的基础上对每类病毒分别进行了一次扫描,大部分软件的分类扫描识别率忠实的反映了其总体的识别率,但仍有几点值得留意,一是金山对蠕虫病毒的识别率不足90%,在当下蠕虫病毒成为主流感染体的情况下,这个成绩实在不能令人满意;有些出乎我们的意料,而瑞星的总体成绩比较偏后,在分类测试中我们发现瑞星对病毒制造机、异类病毒、共生病毒等相对比较“罕见”的病毒类别基本束手无策,而DOS病毒的识别率也不是很高,据说瑞星在其查杀引擎中去掉了大量在Windows平台不会感染的病毒的特征码,可能是造成这种结果的主要原因,至于这种处理是优是劣,就是仁者见仁、智者见智了;而熊猫在检查Windows病毒时的表现与在检查其它分类时有较大差距,也是值得注意。
分类扫描
卡巴斯基
诺顿
江民
瑞星
金山
趋势
熊猫
DOS病毒
99%
91.71 %
99.4%
74.13%
96.98%
98.29%
98.34%
Windows病毒
100%
86.49 %
96.19%
70.3%
86.64%
92.51%
79.97%
蠕虫病毒
99%
93.25%
91.54%
60.65%
76.91%
91.06%
93.5%
脚本病毒
100%
93.16%
99.19%
68.78%
94.62%
95.8%
95.88%
恶意代码
99%
88.99%
94.55%
53.55%
74.98%
86.37%
82.67%
变形病毒
100%
72.24%
100%
51.6%
93.59%
98.58%
96.44%
共生病毒
66.95%
22.03%
61.02%
13.56%
50.85%
87.63%
50%
病毒制造机
100%
71.43%
98.05%
34.42%
85.71%
87.01%
96.1%
异构病毒
100%
79.67%
97%
56.67%
86
