|
江民新科技术有限公司(简称江民科技)成立于1996年,是我国老牌的安全软件厂商。笔者从KV300开始接触江民杀毒软件,当时带着一张KV300的杀毒软盘去到朋友家,帮朋友清除那著名的CIH病毒时,那满屏幕的清除病毒成功的情形依然历历在目。时隔多年,江民科技推出了《江民杀毒软件KV2009》,新的版本给我们带来了什么新的技术?查杀病毒的能力是否依然强悍呢?笔者对它进行一番详细的试用与评测。
点击高速下载:江民杀毒软件KV2009 相关文章推荐《抹杀病毒!带“沙盒”技术的江民2009上市》
图1 KV300主界面 你还记得它么? 我们先来看看《江民杀毒软件KV2009》(后简称江民2009)新增功能概览。江民2009创新推出了启发式扫描、“沙盒”(Sandbox)技术、虚拟机脱壳、内核级自我保护、智能主动防御、网页防木马墙、ARP攻击防护、互联网安检、系统安全检测、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术,具有防毒、杀毒、防黑、系统加固、系统一键恢复、隐私保护、反垃圾邮件、网址过滤等三十余项安全防护功能。 一、软件的安装与界面 江民2009的安装过程简单,安装时建议安装所有组件,以最大程度上的发挥江民2009的全部功能。
图2 选择安装组件 接下来可以选择是否进行安装前扫描病毒(江民2009将在初步判断系统没有被病毒感染后,再开始安装)、安装江民工具条、启用江民屏保等的额外安装选项,用户可以根据自己的要求来选择是否安装。
图3 额外安装选项 安装完毕,江民2009有个安装配置向导,将引导用户根据自己计算机环境的实际情况来配置江民2009。
图4 配置开机扫描病毒功能(全面扫描和完全扫描有何区别?)
图5 扫描病毒选项 在图5的选项中谨慎选择“对于不能清除的病毒,删除这个带毒的文件”这个选项。如果你勾选了“在扫描文件前,先扫描一遍内存中的病毒”这个选项的话,以后江民2009进行自定义病毒扫描时都会事先扫描内存。当然,安装完毕后你也可以在江民2009的设置选项中修改这一选项。
图6 配置文件监控
图7 配置网页监控及网络类型 这里笔者和其他网友一样有个疑问,就是配置“上网使用的浏览器”时,比如傲游或世界之窗这些使用IE核心的浏览器我们时应该选择“我使用windows自带的Internet Explorer”还是该选择“我使用其它浏览器”呢?这一点笔者在后来的“监控配置”中找到了答案,原来“我使用windows自带的Internet Explorer”包含了IE及使用IE核心的浏览器。
图8 配置主动防御 配置主动防御选项时江民2009为初学者(新手)与有经验的用户这两类用户准备的不同的主动防御方案。当用户勾选的是“不了解什么是进程”“不知道注册表编器”选项时,江民2009安装完毕后主动防御功能开启的就只有“未知病毒监控”,这时是没有相关的注册表修改提示选择框出现的。 安装完毕无需重启计算机就可以使用江民2009了,打开主界面,给人耳目一新的感觉,各大选项由原来的下拉菜单式为现在的选项卡式,新版的主界面划分了5个选项卡,让新手也能快捷的根据选项卡分类来找到自己需要的功能与进行设置。 江民2009与旧版一样支持迷你模式的“简洁操作台”,它包含用户最常用到的四项操作。
图9 江民2009主界面
图10 江民2009“简洁操作台”
图11 江民2008主界面 二、新增功能与变化速览 2.1 扫描选项 江民2009的快捷扫描选项对比江民2008有了几个变化,去除了“软盘”这个已经淘汰的存储介质选项,并且去除了以及“网上邻居”、“光盘”这两个快捷目标,取而代之的是“系统文件”、“移动存储”及“上网缓存文件夹”。笔者认为新版的快捷目标更能让用户快捷的找到自己需要的扫描目标。 相关文章推荐《江民奥运网络安保工作突出受有关部门表彰》
图12 扫描目标 在“扫描选项”中增加了“扫描速度”选项,用户可以根据自己的需求在扫描速度与系统资源占用之间作出相应的调整设置。
图13 扫描选项 2.2 监控选项 在江民2009中,“监视”选项是以独立的一个选项卡形式出现的,用户可以通过它方便的关闭与开启自己所需要的监控目标。需要注意的是,“即时通讯”和“脚本监视”这两个监控选项是默认没有打开的,建议用户开启这两项监控。
图14 监控选项 在“实时监控”的“参数设置”中我们可以选择: ◆ 监视的文件类型(测试版中的监视文件大小限制功能不知为何取消了?); ◆ 是否对广告程序、间谍软件、拨号器等程序进行监视; ◆ 设置不需要监视的文件夹; ◆ 设置网页监视模式(选择缓存模式可加快浏览速度,但会降低安全性); ◆ 是否监视邮件客户端软件收发的电子邮件。
图15 监视参数选项
图16 网页监视选项 2.3 主动防御选项 江民2009增强了智能主动防御体系,对未知病毒实施多行为联动主动防御,根据病毒具有的多种行为特征,来进行对未知病毒进行报警以及拦截处理,更准确、更全面地防御未知病毒。 江民2009主动防御增加了未知病毒监控、以及ARP欺骗攻击防护等功能,而这些功能的开启与关闭操作不像“实时监控”选项中那样快捷,如果你想要单独的开启与关闭某一主动防御功能的话,需要进入“参数设置”中才能进行操作,较为不便。主界面上的“点击关闭”或“点击开启”只能批量开启与批量关闭主动防御所有功能。 江民2009中有个“安全强度”选项,它为用户设定了低、中、高、自定义的安全强度保护级别。用户可以根据自己的实际情况来设定不同的安全强度,让用户在更强大的防御能力与更好的兼容性之间灵活的切换。
图17 主动防御选项
图18 ARP欺骗攻击防护选项 江民2009的ARP欺骗攻击防护能够有效防范ARP病毒进行ARP地址欺骗,有效防范局域网内ARP病毒的大肆传播。并能够防范ARP病毒伪装成网关,通过在网页嵌入恶意代码的方式传播病毒。 笔者使用在另一台电脑上使用某网络管理软件对装有江民2009的电脑进行伪装网关的arp欺骗攻击,结果被江民2009顺利拦截,江民2009联网正常。在ARP欺骗攻击防护的设置选项中我们可以对IP/MAC地址进行绑定。
图19 ARP欺骗攻击拦截提示 而在“系统监控”选项中,江民2009的重头戏“沙盒”技术正隐藏在这里,“沙盒”技术是发现某程序有可疑行为时让该程序继续运行,当可以判定改程序是病毒时才终止。让程序的可疑行为在电脑虚拟的“沙盒”里充分表演,但是沙盒会记下它的每一个动作,在病毒充分暴露了其病毒属性后,“沙盒”则会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。这个技术不但可以拦截未知的病毒,而且还能在一定程度上避免主动防御技术带来的兼容性问题。
图20 系统监控选项 系统监控可以提供三种不同的监控模式。 ◆ 智能模式:采用沙盒技术,自动处理可疑行为(推荐) ◆ 规则模式:根据用户选定的规则的要求处理程序的可疑行为。在其“设置规则”选项中用户可以修改需要监控内容及创建自定义的监控规则。
图21 设置监控规则 ◆ 严厉模式:自动禁止对系统关键位置和信息的更改,将对某些软件的安装使用造成影响。(不推荐) 操作系统漏洞和第三方软件漏洞已经成为木马传播的两大最主要途径。江民2009能够自动检测并修复系统漏洞,阻止病毒通过漏洞传播。
图22 漏洞检查选项 2.4 工具选项 在工具选项中江民2009为用户提供了进程查看器、制作光盘启动杀毒病毒库(支持U盘)、制作江民硬盘修复王(支持U盘)、未知病毒检测工具、系统漏洞检查工具、江民安全检查等实用的免费小工具。 比如“清除保护密码”工具可以帮你在忘记江民2009的设置密码时清除保护密码,运行该工具需要提供序列号。
图23 工具选项 又比如安全工具选项中的“编辑样本库”功能,如果你确定某个文件是病毒,而江民2009没有扫描出来的话,你可以通过它把该文件添加到样本库中,这样江民2009就会自动对该文件进行处理了。
图24 未知病毒检测工具
图25 系统诊断工具
图26 系统漏洞检查工具 江民2009的系统安全检测工具对杀毒软件实时监控、主动防御、病毒库智能升级、防火墙是否开启安装,以及系统是否进行过漏洞修复、恶意代码和未知病毒扫描情况进行检测,并根据检测结果给出高、中、低三种安全级别,指出系统存在的不安全因素并提出对应的安全建议,方便用户及时掌握和修复系统存在的不安全因素和漏洞。
图27 安全检测工具 2.5 其它改进 在江民2009的设置程序的“常规”选项中还增加了“启用Internet文件验证”选项:启用该选项后,江民2009将自动联网验证windows 系统文件,以保证系统文件没有被恶意替换,同时防止误杀系统文件,加快扫描速度。
图28 常规选项 同时在“常规”选项中还有个“安全级别”的选项,江民2009预设了高、中、低三个安全级别,随着用户选择的不同级别,江民2009相应的保护选项也随之改变,这样用户就可以快速的根据自己电脑运行环境的变化而进行不同安全级别的切换了。比如用户在互联网冲浪时可以选择安全级别为高,以便最大程度上防范病毒,而在没有联网也没有安装其它软件及没有启用移动存储设备时的相对安全环境下可以选择安全级别为低,这样可以提高计算机性能。
图29 安全级别选项 在江民2009中还增加了“上网控制管理”功能,用户可以自行设置访问网站时的扫描形式,也可以禁止访问设定的网址。
图30 上网控制管理选项
图31 添加控制访问网址
图32 访问屏蔽网址时的提示 此外,江民2009还增加了强大的启发式扫描和虚拟机脱壳技术,增强了对未知病毒及加壳加花病毒的检测。在此基础上,江民2009还增加了“互联网安检通道”,该功能是指主动防御在拦截到可疑行为时,将接入服务器进行安全验证,基于“云计算”的可疑文件搜集和病毒自动分析系统,生成庞大的黑、白名单库,对可疑行为进行双重比证,如为正常文件则放行,如确认为病毒文件则拦截并提醒用户进行处理。 三、性能实测 声明:以下测试皆在真实系统中进行,非在虚拟机中进行。未免杀毒软件互相冲突,做完一个杀毒软件测试后进行系统恢复(Ghost)后再进行另一杀毒软件的测试。
3.1 扫描速度测试 笔者以完整扫描笔者系统盘所有文件作为测试项目,以江民2009与ESET Smart Security作为对比,两者皆为默认配置,皆为扫描所有文件类型。测试时不运行其它无关程序。
图33 扫描目标包含文件及文件夹数
图34 江民2009扫描用时
图35 ESET Smart Security 扫描用时 从测试结果可以看出,江民2009的扫描速度非常快,只用了5分多钟就完成了扫描,而经常在与其它杀毒软件比较扫描速度时胜出的ESET Smart Security,这次竟然落败了,扫描时间花了8分多钟。 3.2 病毒测试 我们先来个比较简单的EICAR 标准防病毒测试 EICAR标准防病毒测试文件是EICAR组织和全球反病毒公司共同推出的用于测试防病毒产品防毒功能的测试文件。用于测试用户安装的安全软件是否能够拦截住病毒,测试用户的安全软件实时监控功能是否正常,总共四个测试项目。
图36 com文件测试 pass
图37 txt文件测试 pass
图38 zip文件测试 pass
图39 双重压缩测试 pass 接着再进行病毒包测试 由于笔者没有可能弄到多而全的病毒来进行测试,而网上的打包病毒包也大多属于过于陈旧的病毒,甚至还包含了一些Dos病毒,所以作者只能自行在各大病毒社区收集最新的流行病毒样本190多个来进行测试。这次测试中收集了流行的一些病毒,其中包括了知名的机器狗、熊猫烧香最新变种、威金、磁碟机、灰鸽子等,并且加入了一些网友反映其使用的杀毒软件无法检查出来的但是另外的杀毒软件却可以检测出的疑似病毒。个人收集并不具有广泛性,所以此测试仅供参考。以之对比的著名杀毒软件ESET Smart Security。两者皆升级到最新版本的病毒数据库。 由于各杀毒软件计算文件方式不同,我们以扫描后剩余文件来做对比。而在扫描过程中两个皆使用的是“对发现的病毒进行删除操作而不是清除操作”。结果:ESET Smart Security扫描后剩余文件为 10个,江民2009扫描结果剩余15个。
图40 待测病毒包概况
图41 江民2009扫描结果
图42 ESET Smart Security扫描结果 3.3 自我保护测试 江民2009号称拥有“自我保护的金钟罩”,实际效果如何呢?我们来测试一下。 A 结束进程测试 首先用任务管理器对江民2009的相关进程进行结束进程操作。结果:无法结束进程
图43 无法结束进程 接下来用大名鼎鼎的IceSword 对江民2009的的相关进程进行结束进程操作,须知多少顽固进程都败在了IceSword 的手下。测试结果:无法结束进程 B 相关文件删除、修改测试 笔者尝试对江民2009安装目录下的文件进行删除、修改操作,以测试江民2009的自我保护能力,结果无法删除与修改相关文件,同时也无法在江民2009安装目录下新建文件。
图44 无法删除相关文件 C:关闭服务测试 笔者尝试是否可以禁用江民2009的服务。测试结果:拒绝访问
图45 禁用江民2009服务失败 从以上测试中我们可以看到江民2009的自我防护能力确实强悍。在这病毒喜欢先解决杀毒软件然后在搞破坏的大环境下,拥有“自我保护的金钟罩”的杀毒软件无疑为系统安全增添了一份保障。 3.4 资源占用测试 笔者重启计算机后让在五分钟内不进行任何操作以保证系统处于相对闲置的状态。而江民2009采用的是默认配置,笔者在Windows任务管理器中对江民2009在空闲时和忙时(扫描病毒时)的资源占用情况进行记录。
图46 静止时资源占用情况
图47 扫描病毒时资源占用情况 在扫描病毒时江民2009的资源占用情况为:高峰时cpu占用率为83% 高峰内存使用160MB 平均cpu占用率维持在30-40% 内存占用维持在130MB-140MB。 总结 经过一番试用与测试,笔者对《江民杀毒软件KV2009》总体感受是查毒速度快、自我保护能力强、智能主动防御功能可以顺利的防止病毒木马在操作系统中生根发芽。应用了“沙盒”技术的江民杀毒软件KV2009更是如虎添翼,为用户带来安全的计算机使用环境。 |
正在阅读:沙盒与金钟罩!江民杀毒软件2009评测沙盒与金钟罩!江民杀毒软件2009评测
2008-10-16 09:12
出处:PConline原创
责任编辑:zhangxinxin
