瑞星2010新品使用测试

    瑞星2010新品，暴力公测，本人好热闹，以下是这几天的使用感受。另外，安装瑞星2010的计算机为奔腾4 2.4C打开超线程，1GB内存，安装ESET NOD32的机器为奔腾M 1.7，2GB内存，操作系统均为Windows XP SP3。

    在最一开始，找到了一个病毒样本包，解压后为文件名A.zip-Z.zip分别使用ESET NOD32和瑞星2010对其病毒扫描，结果是ESET NOD32可以查出3462个病毒，而瑞星2010则可以查出3528个病毒，明显在病毒是别的能力上瑞星2010要胜ESET NOD32一筹。详情如下截图：

（原始图分别为rising.png、nod32.png）

    其中瑞星2010显示查杀了7115个文件，而ESET NOD32只扫描了3591个，这并非瑞星2010做假，也非ESETN NOD32漏掉了很多，而是我的病毒样本都是打包在zip中，应该是瑞星2010把zip包和其中包含的文件都算作单独的文件，而ESET NOD32则是指计算了zip包（我的zip包确实是3591个，每个包含的样本文件不等），才有如此的差异。

    其次是巨大的时间差异，上面的结果很明显，不过两个机器的配置不同（奔腾4 2.4C其实没有奔腾M 1.7快），另外，在瑞星的电脑上，整个查杀过程cpu占用率仅有20% 上下浮动，如图：

（原图：rising-cpu.png）

    当时还看了一下“高清的”rmvb电影，完全不卡，同时还在写邮件；而ESET NOD32一直cpu占用100%，QQ中打字发送消息都困难，当然也很短暂，仅有38秒。不过我想，杀毒软件首要是能够识别、清除更多的病毒和木马，毕竟安全第一！另外，杀毒的同时不影响工作、娱乐，也是现在快节奏的生活得一个组成部分。

    然后我使用了欧洲的www.eicar.org网站提供的提供的测试方法。EICAR，欧洲计算机防病毒协会，是欧洲、甚至全世界非常著名的防病毒组织，各位要是感兴趣，可以在很多反病毒厂商的网站上找到EICAR推荐的方法。
   
    现在进入测试正题，打开http://www.eicar.org/anti_virus_test_file.htm，在网页的底部有两排链接，每排的四个链接分别指向了一个普通的文件，一个文本文件，两个zip包（打包方式有所不同），第二排的链接都指向了http ssl地址。所有文件都包含病毒特征，但是不具有攻击性，像我一样爱捣鼓的同学可以放心的试。当下载这8个链接时，瑞星2010均识别出来，如下图：

（原始文件：eicar.com.png）

    最后开始本人的“终极测试”，测试对未知病毒预防能力。本人编写了一个Windows的驱动程序，该程序很简单，能够进入所有的进程并查找其内所有打开文件的文件名，不具有攻击和破坏性，但“窃取”了其他程序的数据，可以归为Rootkit一类。效果如下图：

（原始文件：lof-res.png）

    这里我列举了所有在E盘被打开的文件，包括文件夹，前面的数字是进程的PID。其实这是一个很“危险”的事情，因为在一个程序内的数据（比如，正在编辑的文件）是不能轻易被其他程序得到的，这也是Windows的保护机制之一，否则就好比个人的信息被泄密一样。当然，我编写的这个程序，没有发布，只在我的机器里才有，肯定不在任何的杀毒软件的特征库里。现在用瑞星2010对其查杀，立刻“认为”是Rootkit，具体信息如下：

（原始文件：lof-rootkit.png）

    瑞星2010能够检查出这个程序具有rootkit特性，应该归功于对文件中代码的分析，当然，这可能导致一定程序的误杀，不过软件公司在发布类似的功能的软甲时，都会提前进行微软的和反病毒厂商的一些认证，保证系统的兼容性。

    在我的测试中，ESET NOD32没有类似的分析功能，所以没有能分析出该rootkit。

    本来这次的测试就到此为止了，没想到还出了个小插曲。本来认为完事儿了，就美滋滋的开装《红警2》，某大侠的改造版，结果来了个这个：

（原始文件：ra2.png）

    关掉瑞星后再安装得以继续，*&&*(^%$，大囧，那个用NOD32的机器玩这个《红警2》都N久了，看来还是国产的瑞星更适合国情呀。