找出破坏系统的黑手——4款安全检测软件能力大比拼

评测与体验

万立夫 · 2007年7月23日 第29期

揪黑工具该如何选择

每当用户的电脑一连上网络,系统就面对着数之不尽的网络威胁,包括恶意软件、病毒木马、和黑客入侵等。当我们面对这些威胁时,我们首先想到的是用杀毒软件保护系统。可是,AV终结者病毒再次证明了病毒更新永远超前于杀毒软件的道理。所幸,此时我们还可以利用安全检测软件来对付潜藏在系统中的威胁。

作为安全检测软件,它必须具备发现潜藏在系统中威胁的能力,让用户可以完全地了解系统中正在运行的所有程序。更进一步的,在发现威胁的时候,能够对付这些威胁。充分发挥它们安全辅助的能力。

本期我们特地选择了4款热门的安全检测工具分别从对付木马和病毒两方面进行评测,真实地反映出它们对付系统威胁的能力。让大家了解它们的功能,从而在合适的时候选择最佳的软件来为自己的系统清除威胁。

在木马检测方面我们选择的是大名鼎鼎的灰鸽子木马来进行测试,因为灰鸽子良好的隐藏性使得其他木马都相形见绌。在病毒测试方面我们选择的是最近十分流行的AV终结者病毒,因为该病毒集流行的病毒技术于一身,并会屏蔽一些杀毒和安全软件,甚至连含有杀毒字样的网页都进行了屏蔽。

参评软件简介

Icesword

29-f7-2.jpg

IceSword也就是人们常说的冰刃,它可以用于查探系统中的病毒木马并作出处理。使用冰刃的用户需要拥有管理员的权限,可以帮助用户查询隐藏进程、端口、注册表、文件信息。

Autoruns

29-f7-3.jpg

Autoruns是一款启动项目管理工具,不仅可以对各启动项目进行管理,还能直接控制注册表进行操作。此外软件可以直接利用Google和MSN对相关消息进行网上搜索。

System Repair Engineer

29-f7-4.jpg

System Repair Engineer,简称SREng。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。

WSysCheck

29-f7-5.jpg

WSysCheck可以对系统进程、服务驱动、SSDT强化等进行检测,另外还可以直接进行文件管理操作、注册表管理操作等。

谁让木马进程无处藏身

安全检测软件最基本的功能就是能够发现系统中的隐藏信息。而灰鸽子木马使用了Rootkit技术,木马服务端文件的隐蔽性很强,非常适合考验安全检测软件发现隐藏程序的能力。

IceSword:功能虽好,操作不便

在程序的进程列表中没有明显的提示,只有经过和系统任务管理器“进程”列表进行对比才能找到木马的相关进程。点击鼠标右键中的“结束进程”命令就可以结束它们。

接着在服务列表中发现了木马的启动服务,通过鼠标右键中的命令可以让“自启动”的服务改为“禁止”,只可惜在这里不能直接对选中的服务进行删除操作。

Autoruns:功能单一,操作简便

运行Autoruns后点击控制界面中的“服务”标签,很快就通过“发行商”栏目的空白发现了木马启动项的身影,通过右键菜单中的“删除”命令可以将该服务进行清除。但遗憾的是也只能够发现启动项的异常。

SREng:智能简便,功能不强

当SREng刚刚启动后马上就弹出一个提示窗口,来告知用户SREng已经检测到两个隐藏的进程。利用“智能扫描”获得隐藏进程的详细信息,可惜SREng没有成功的检测出隐藏的启动服务信息。

WSysCheck:功能全面,操作简便

在“进程管理”列表中通过红色标注非系统进程,以及通过粉色标注被恶意程序线程插入的系统进程,让用户轻松区分安全进程和非安全的进程,通过右键菜单中的“结束选择的进程”命令来结束它。

在“服务管理”列表中,发现以红色显示的非系统服务,通过右键菜单中的命令可以直接删除选中的服务。并且在“文件管理”列表中还可以对隐藏的文件进行操作,而且可以在不重新启动的情形下直接强行删除和服务端相关的文件。

小结:基本功WSysCheck最扎实

在以上测试中,WSysCheck不但功能全面,而且操作相当简便,用户可以轻松地清除系统中的木马。其次,IceSword也表现不错,不过操作上对普通用户来说稍显困难。其余的两款软件Autoruns和SREng则表现平平(评测结果详见后表1)。

29-f7-b1.jpg

对付强悍病毒谁最强

作为以安全辅助者身份出现的安全检测软件,能够发现病毒,并清除病毒带来的影响,那么就算是不错的了,下面我们来看看这些软件在对抗AV终结者时会有什么表现。

IceSword:被病毒屏蔽

利用IceSword对系统进行病毒检测,可惜的是IceSword在启动后很快窗口就自动消失了,很明显病毒对冰刃也进行了有效的屏蔽。因此利用该程序并没有起到任何作用。

Autoruns:映像劫持恢复功能突出

这款工具依然还是被屏蔽了,但是通过对它的程序名称修改后又可以正常运行,并且轻松地检测到病毒的启动信息。当病毒清除完成后,通过Autoruns程序的“映像劫持”功能,恢复被病毒劫持的相关内容从而恢复安全软件的正常使用。

SREng:轻松发现病毒行踪

程序同样被病毒屏蔽,不过SREng也可以利用修改程序名称来运行。通过SREng中的“智能扫描”功能可以对系统所有的启动项、正在运行的进程、API HOOK、隐藏进程等信息进行扫描,及时的发现了病毒的进程和启动项等信息内容。

WSysCheck:轻松发现、清除病毒

最后再利用WSysCheck进行病毒检测,这时病毒并没有对这个程序进行屏蔽。同时很容易就查找到病毒的启动项和相关进程,而且还可以轻松地清除磁盘分区中的病毒文件。

小结:WSysCheck对抗病毒能力优秀

我们在测试过程中可以看到这些工具在面对AV终结者时的表现,3款软件被屏蔽,这可能是因为这3款安全检测软件名气大的缘故。另外,WSysCheck的表现令人惊讶,不但能够发现病毒还能够清除病毒,可以说是本项测试中表现最突出的了(评测结果详见后表2)。

29-f7-b1-2.jpg

总结

通过上面的介绍以及相关的测试,我们可以看到这四款安全软件中,Autoruns的功能最为单一,但是自身的相关功能还是非常强大的。SREng的“智能扫描”能帮助用户更好的对系统进行检测,如果能对检测到的危险信息直接进行操作就更好了。这两款软件简单易用,适合中小网吧以及办公室定期进行安全检查时使用。

功能最完善的当属WSysCheck和IceSword,不过IceSword由于名气较大同时相对于普通用户比较难操作,因此增强其易用性是它改进的方向。而WSysCheck集合了IceSword和SREng的主要功能,在测试中表现非常不错。因为它们强大的功能,绝对符合家庭用户对自己爱机的保护需求,推荐家庭用户使用这两款软件。