瑞星2010 网页挂马和杀毒能力测试

    测试瑞星程序版本：22.00.00.19

    2.1 代码测试

    首先给瑞星2010热热身，我们先用杀毒软件通用测试代码来测试一下瑞星的监控反映。

    [email=X5O!P%@AP[4\\PZX54]X5O!P%@AP[4\\PZX54]X5O!P%@AP[4 \\PZX54]X5O!P%@AP[4\\PZX54[/email]（P^）7CC）7}$EICAR-STANDARD-ANTIVIRUS- TEST-FILE!$H+H*

    该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。

    等级：

    特等：复制完代码后便提示内存有病毒

    优等：刚保存完就提示病毒（或者直接删除）

    中等：保存后几秒提示病毒（或者直接删除）

    下等：需自己启动病毒扫描查杀才提示病毒（或者直接删除）

    劣等：无论怎么扫描都无法提示病毒（或者直接删除）

    瑞星2010在笔者按下保存文件的一瞬间，便检查出该测试文件，依据测试等级，应该划分为优等，不过话说回来，几款着名的杀软，例如nod32和卡巴也是保存后才报警的。
 
    2.2 网页挂马测试

    接下来就是防网页挂马测试，在笔者测试的时候发 觉，病毒需要通过瑞星2010的文件监控、木马入侵防御、主动防御及应用程序加固防御的几重扫描与拦截才能达到入侵的目的，在笔者测试的十几个挂马网站 中，无一病毒木马可以逃脱瑞星的这几重防御体系。图片较多，就放上几个具有代表性的拦截截图。

    接下来笔者关闭了瑞星的文件监控与木马入侵防御，将IE浏览器用瑞星2010的应用程序加固功能加固后再测试。结果也顺利拦截了相关病毒。

    2.3 已感染病毒环境测试

    在系统无毒时，瑞星2010的表现良好，那么，如果用户在已经感染病毒的电脑上安装使用瑞星2010，那么瑞星2010能否顺利清除病毒还系统一个健康 呢？笔者先在一个没有安装任何安全软件的环境下，让系统感染病毒，然后再安装瑞星2010，以测试瑞星2010的自我保护和查杀能力。

    接着安装瑞星2010，看看瑞星能否挽救这可怜的系统。再安装瑞星2010时我意外发现之前提到的在设置向导中的无法选择防御级别的问题已经得到改善，新版安装文件已经可以选择级别了，瑞星工作人员的动作可真快呀。

    设置完毕，瑞星2010顺利启动，并且看上去运行正常，再下一城。接着，瑞星2010就发出一连串的报警，笔者选择清除病毒

    图36 报警信息

    接下来瑞星不断发出报警，而windows也不断发出错误信息

    接下来，用瑞星2010对系统盘来个全面的扫描

    测试结果，瑞星2010虽然成功清除了病毒，而且系统正常使用，但却对病毒破坏后的一些后遗症，比如测试中的图标显示不正常等问题无能为力，何不集成一些小工具方便用户修复被病毒破坏后的系统呢？

    接下来的对比中笔者为瑞星选了个对手--卡巴斯基全功能安全软件2009

    为了避免虚拟机的影响，此类测试不在虚拟机中进行。

    为了避免杀毒软件或系统的影响，笔者事先将系统用ghost还原到纯净状态，测试完一个杀毒软件后再进行另一杀毒软件的测试。

    2.4 改造木马测试
 
    把病毒木马加壳加花来逃避杀毒软件的测试是黑客们常用的伎俩，笔者制作了两个不同的经过加花的熊猫烧香和一个原版的熊猫烧香，来测试瑞星2010和卡巴2009的辨别能力。

    测试结果：可以看到，卡巴2009顺利识别出1个原版病毒和一个经过“改造”的病毒，却没有识别出另一个改造的病毒。

    而瑞星2010则顺利识别出原版病 毒，把另外两个设为可疑文件，并且自动上报给了云安全服务器，也就是说在瑞星下一次升级后，这两个文件就会显露原型了。可见瑞星的识别能力有了非常大的提升。

    2.5 病毒查杀率测试

    跟着测试病毒查杀率，测试前将两者都升级为最新的病毒库。由于两者的扫描病毒计数不同，所以我们以剩余病毒来算 总成绩，两者都是用默认设置，并且在杀毒时使用删除而不是清除操作。并且笔者特定把这些病毒又做了一个压缩包，以考验两者对压缩包的查杀能力。收集的病毒 为一些最近比较热门的病毒及这几年的几大毒王加上一些旧的病毒。

    测试结果：两者几乎打成平手，而且都顺利清除了压缩包中的病毒，而不是选择删除整个压缩包。瑞星2010仅仅用了一分钟时间便搞定了这些病毒，比卡巴的3分40秒快上了不少，查杀速度相当不错。

    2.6 资源测试

    之前已经看过了瑞星2010在空闲时刻的资源占用率不错，接下来笔者趁着测试杀毒时间的时候，也来看看瑞星2010在扫描病毒时的资源占用率又如何。

    测试结果：瑞星2010在扫描病毒时，cpu占用率在40%-55%之间，而内存占用率在90M到100M左右。成绩还算理想。

    2.7 主动防御效果测试

    接下来笔者对瑞星2010做个不太公平的测试，把瑞星2010的实时监控给关闭了，然后再运行病毒木马程序，看看瑞星的主动防御效果如何。

    测试结果：运行的木马病毒都给瑞星2010的木马行为防御给拦截了下来，可见瑞星2010的主动防御非常强悍，病毒即使逃过了瑞星的实时监控，也无法逃脱瑞星的木马行为防御。

    接下来更不公平的测试，笔者把瑞星2010的木马行为防御也给关闭了。结果病毒木马顺利进驻，资源管理器无法打 开，不断弹出广告窗口，系统资源占用100%，无奈重启电脑，系统重启后，瑞星2010的实时监控已经无法自动打开，但是还是可以通过手动开启的，笔者随 即用瑞星2010为系统做了个全面扫描，结果如下。

    测试结果：瑞星2010的木马行为防御效果非常不错，顺利拦截了测试的病毒木马的入侵。在笔者关闭实时监控及木马行为防御后，病毒顺利进驻，并且阻止了瑞星实时监控的启动。瑞星2010在随即的全面病毒扫描中，顺利查找并清除掉了趁其不被而入侵的木马病毒。

    2.8 染毒文件修复测试

    有些病毒木马会感染用户硬盘上的文件，这就导致了用户如果开启这些已感染文件时会重复感染的问题，而有些杀毒软件无法顺利清理这里感染的文件，只能把这些感染的文件删除了事，那么又导致了一个严重的问题，杀毒后用户文件资料丢失。

    那么，瑞星2010能不能顺利为这些文件解毒，让这些染毒的文件恢复原貌呢？笔者特地把几个软件的安装文件感染了某病毒，然后测试瑞星的解毒能力。

    测试结果：失败，瑞星没有修复染毒文件，但是笔者在nod32中测试结果也和瑞星的一样，nod32也是选择了直接删除染毒文件。

    2.9 自我保护测试

    现在的许多病毒木马，入侵用户计算机时，第一时间要做的就是用各种方法终止安全软件的正常工作，所以安全软件的自我保护能力也是一项重要的指标，接下来笔者来考验一下瑞星2010的自我保护能力。

    2.9a  首先是进程自我保护

    先用任务管理器尝试终止瑞星2010相关进程

    测试结果：无法终止瑞星2010相关进程，瑞星2010弹出自我保护提示。

    接着用Taskkill命令尝试结束瑞星2010相关进程。

    测试结果：无法终止瑞星2010相关进程，瑞星2010弹出自我保护提示。

    Advanced Process Termination 测试

    Advanced Process Termination 是一款强大的进程终止软件，它提供12种用户模式，2种内核模式，2种致命崩溃模式，2种暂停技术，多样化的进程终止技术十分强大，使软件可以用于安全软件的测试和顽固程序的终止。

    测试结果：瑞星相关进程顺利通过了kill 1-12 的终止测试，也通过了kernel kill1的测试，最后失败在kernel kill 2的测试下。这样的成绩相对有许多杀毒软件而言都是比较强悍的。

    接下来请出冰刃，许多杀毒软件都倒在了冰刃之下，瑞星2010能否幸免呢？

    测试结果：顺利结束瑞星相关进程

    2.9b 接着是文件删除测试

    首先，用普通方法尝试删除瑞星2010安装目录下的文件。未免有漏网之鱼，笔者采用了比较笨的方法，逐个删除文件。

    测试结果：删除文件失败，瑞星提示自我保护生效，新建文件失败。

    接下来用Unlocker尝试删除瑞星安装目录下相关文件。

    测试结果：无法删除瑞星相关文件

    2.9c msconfig

    有许多用户会用msconfig来设置关闭无需开机自动运行的程序和服务，那么瑞星可以阻止用户的这些操作么？

    测试结果：无法取消瑞星开机自启动程序，无法取消瑞星系统服务。

    用msconfig失败，那么用超级兔子之类的系统优化软件又如何呢？

    测试结果：使用超级兔子无法取消瑞星开机自启动程序，无法取消瑞星系统服务。

    测试总评：经过几天的测试，瑞星2010给了笔者非常深刻的印象，给笔者的感觉，瑞星相关研发人员非常的用心 的在开发测试这款产品，而且积极的吸纳与改进用户提出的问题与建议。云安全反映迅速让未知病毒木马的可生存时间越来越短，启发式杀毒让变种及新病毒无处可 藏，木马行为拦截让侥幸逃过实时监控的病毒木马显出原型。强大的自我保护能力、急速的高效的杀毒效率，并且在测试病毒时，完美的查杀率给用户带来了一个全 新好用的瑞星，瑞星2010我看好你哦！