微软免费杀毒软件来了
热点直击
微软要推免费杀毒软件Morro,这消息一年前就掀起了一轮又一轮的激烈讨论,至今未消。近日,Morro测试版终于现身,Morro是否如传言中一样是一款全新的杀毒软件?它的表现如何?会不会改变现有杀毒软件的市场格局?
解读 Morro是Windows Defender的升级版?
目前微软已经开始公开测试这款免费杀毒软件,之前所说的Morro只是它的开发代号,而它的正式命名是Microsoft Security Essentials(为便于描述,本文仍称Morro)。此前微软已经有了免费的恶意软件清理工具Windows Defender,同样面向个人用户的收费杀毒软件Windows Live OneCare(以下称OneCare),作为新推出的免费杀毒软件,Morro是否和这两者有关联呢?
与Defender极度相似
“相似,相似,还是相似”,如果你熟悉Windows Defender,启动Morro后,这可能会是你首先产生的印象。Morro和Windows Defender在某些地方非常相似,或者说简直是一模一样:两者均提供了快速扫描、完全扫描和自定义扫描三种模式;除了部分描述性的文字有修改外,扫描过程的状态显示完全一致;扫描结果处理方式的选项也一样;从多数选项的设置和布局来看,也只有细微的差别。
接下来我们对Morro的文件进行了分析(见表),从表中可以看到Morro和Windows Defender更多的相似特性:在查杀引擎方面,从名字可以看出两者具有明显的同源性质,对二进制进行分析后也得出了类似的结论,也就是说,两者采用了同样的查杀引擎;在病毒特征定义库方面,Morro多出了两个文件;在产品技术架构方面,无论是进程通讯模式、COM组件、Office嵌入式扫描组件等,都可以看到文件名相同的现象,二进制的分析也证明具有同源特性。正是因为同源,所以才会出现Morro和Windows Defender大部分查杀设置都是一样的现象。
分析到这里,我们基本上可以认为Morro是Windows Defender系列的第二代产品。不过,要知道Windows Defender是不能算作杀毒软件的,到底还有哪些变化,让Windows Defender “升级”成了杀毒软件?
再次仔细对比两款软件,一个明显的差异浮出水面:在Morro设置选项里,实时保护(Real-time protection)的描述里面使用了监控(Monitor)和活动(Activity)这两个词汇,而在Windows Defender里面,使用的是扫描(Scan)这个词汇。
对于杀毒软件来说,监控是一个很敏感的词汇,既然微软选择了这个词汇来描述实时保护的设置,就意味着Morro在内部一定有了某些重大的变化,这会不会就是Morro最核心的变化呢?
从Defender到Morro的跨越
一个完整的杀毒软件,最本质的是查杀引擎和病毒特征定义库,但从产品角度来说,首先需要满足的是两个扫描机制:On-demand手动查杀扫描和On-Access实时监控。只有完善了查杀引擎功能以及病毒特征定义库的基础建设,再配合开发实现On-demand 手动查杀扫描和On-Access实时监控机制,一个完整的杀毒软件才能成形。这也是进入杀毒软件市场的主要门槛,而要迈过这个门槛,是需要经过相当长时间的积累的。
对微软而言,无论是早期提供的恶意软件清理工具(Malicious Software Removal Tool)还是后来推广的Windows Defender,均提供了针对恶意软件的查杀机制和可疑文件反馈机制,在Windows平台大量用户的帮助下,杀毒软件里面最关键的组件之一——查杀引擎以及杀毒软件的在线升级和用户反馈机制都得到验证。特别是在Windows Defender里面,已经形成了一套以查杀引擎为核心、恶意软件特征定义库为基础的查杀机制,初步具备了杀毒软件的雏形,只不过还未提供On-Access实时监控机制,不能算作一个完整的杀毒软件。
进一步分析后我们发现,在安装目录的Drivers文件夹中有两个驱动文件:mpfilter.sys和mpnwmon.sys。从这两个文件的属性可以得知,前者是文件系统过滤驱动,主要用于拦截文件操作,后者是网络过滤驱动,主要是用于拦截网络上的操作。再检查一下Morro的安装目录,会发现一个叫做MpRTP.dll的文件,根据这个文件的属性AntiMalware Realtime Monitor,证实了我们之前的推断:Morro加入了On-Access实时监控机制。
如此一来,Morro具备了查杀引擎和病毒特征定义库,也有了On-demand 手动查杀扫描和On-Access实时监控机制,一个完整的精简的杀毒软件诞生了。
Morro的杀毒能力分析
在增加了On-Access实时监控机制以后,Windows Defender “升级”成为一款最精简的杀毒软件Morro,那么,对于这款新生的杀毒软件来说,杀毒软件的关键性指标——查杀能力会有怎样的表现呢?是否会超越微软之前的收费杀毒软件OneCare呢?
由于查杀引擎和病毒特征定义库决定了一款杀毒软件的核心指标即查杀能力如何,因此对于使用Windows Defender查杀引擎的Morro来说,其引擎查杀效果和性能应该和Windows Defender差别不大,唯一的差别在于多了两个病毒特征定义库文件,因此可以多匹配一些恶意软件。
但是,Windows Defender引擎的能力实在不能令人满意,查杀速度、CPU占用率、内存占用等关键性的指标远远弱于目前主流的杀毒软件。由于Morro测试版使用的也是Windows Defender的查杀引擎,因此这些缺点也被Morro继承了下来。
此前我们也做过OneCare的测试,OneCare也具有查杀速度慢、CPU占用率高等同样的问题。当我们进一步对Morro和OneCare进行同源性分析后发现,Morro所采用的查杀引擎及病毒特征定义库和OneCare完全一样,因此Morro的查杀能力也应该和OneCare是一样的。它们最主要的区别在于界面交互的差异和一些非安全核心功能的减少,另外,免费也是Morro和OneCare的一个显著的差异。
综合以上的分析,我们可认为“Morro = OneCare的病毒库 + OneCare查杀引擎 + Windows Defender的UI”。仅就功能及性能而言,Morro测试版尚不足以对目前的杀毒软件市场造成冲击,但是Morro免费的性质和微软强大的技术实力,又令人不禁后怕,特别是最近微软的杀毒软件在业界各种国际评测领域里面频频取得较好的成绩。
实测 杀毒时出现严重的“水土不服”
从技术分析上,我们已经对Morro有了大致的了解,接下来我们将实际测试一下Morro的表现。
安装需正版验证,自我保护能力不强
Morro测试版目前只有英文版,软件的安装包很小(如XP版的只有7MB大小)。在安装的过程中要对系统进行正版验证,只有通过正版验证才能继续正常安装使用。安装完成后程序首先会进行病毒库的更新,不过此时我们已经可以看到Morro的界面,比微软以前的OneCare看起来简单多了。
安装后,我们首先测试了软件的自我防护能力。通过资源管理器进行查看,软件包括MsMpEng.exe和msseces.exe两个进程。当关闭MsMpEng.exe进程后,软件的监控功能就会被关闭。如果再关闭msseces.exe进程的话,则可以完整地将Morro软件从系统关闭。由此可以看出,Morro杀毒软件的自我防护能力非常差,不过这还只是个测试版,正式版应该不会出现这个问题。
病毒检测存在“水土不服”的问题
Morro的病毒检测效果怎么样,只有通过真刀真枪的测试才知道。首次测试用的是包含1049个病毒样本的压缩包(主要来自于金山和卡饭论坛,以木马病毒为主)。在压缩包解压的时候,Morro检测出病毒文件,并在桌面右下方弹出提示框。由此可见,Morro的检测功能还是非常灵敏的。点击“Clean computer”按钮就可以清除病毒,而点击“Show details”链接可以查看到病毒的详细信息。
关闭杀毒软件的实时监控,对文件夹进行完整解压后,再通过主界面的扫描功能进行扫描分析。测试中发现Morro可以对ZIP、RAR等常见压缩包中的内容直接进行分析查杀,而且还支持常见加壳信息的脱壳操作。最终236MB的病毒样本,花费大约25分钟的时间扫描完毕,一共分析出106个病毒样本,这个结果显然很难让人满意。
接下来我们又用5月份的Wild List病毒样本(VB100常用测试病毒库)进行测试,这次的结果比较让人满意,Morro几乎查杀了所有的病毒。
通过这两次表现悬殊的查杀可以得出结论,Morro的病毒查杀能力并不算弱,但是对国内的一些病毒样本分析能力很弱,很多时候显得束手无策,典型的“水土不服”。
接下来看看网络监测的情况,毕竟现在网站挂马是最常见的入侵方法。随意打开几个金山毒霸公布的挂马网站,发现有的进行了病毒提示有的则没有,同样也存在着“水土不服”的问题。
整个测试过程中,软件占用的系统资源基本可以接受:正常情况下,软件的监控不会影响用户的操作,没有出现卡的情况,但在进行磁盘扫描的时候,CPU占用率偏高,不过内存占用还相对比较平稳。
体验总结:杀毒能力尚可,但水土不服
通过测试可以看到,Morro拥有杀毒软件的基本功能,能满足一般的电脑安全保护需求,简洁的界面可以让用户快速上手,但对国内用户而言,Morro的实用性会大打折扣,因为众多的有国内特色的病毒,Morro都无法检测出来。
观察 Morro 不能确定的未来
免费的Morro来了,但杀毒软件领域厂商似乎并没有恐惧,他们表现出的更多的是满满的自信与不屑的神色,这种自信来源于年收费49.95美元的OneCare在市场中的失败,来源于Morro目前只是OneCare的简化版,低价的完整版尚不足以构成威胁,难道免费的简化版就能构成威胁吗?
但是,如果一个免费的、微软官方的杀毒软件已经具备了足够强大的杀毒功能,那些对金钱敏感但对电脑安全没有苛刻要求的用户,是否会转向Morro阵营,今后完全放弃购买杀毒软件呢?还好目前这只是一个假设,测试版Morro的病毒库还没有专业杀毒软件那么强大,可谁能保证微软不会随着时间推移,逐步完善Morro的病毒库呢?
虽然,微软推Morro更多的是为了强化目前日益严重的Windows系统安全问题,不过为了实现这个目标,Morro会不会最终出现在Windows Update中心,成为一个可供用户方便选择下载的组件?而Windows Update中心则绝对拥有一夜之间让Morro全球风行的访问量和能力。
这些显然都是影响其他杀毒软件厂商目前这种自信状态的条件,杀毒软件厂商能够承受的压力还会直接来源于Morro的市场占有率,如果有一天Morro真的风行全球,那么即便它依然是现在这样简单够用的普及版杀毒软件,恐怕也会遭到其他厂商的反垄断诉讼。
不过还好,现在Morro仍然是一款测试版的简化病毒查杀软件,仍然没有通过Update中心推广,仍然没有变得强大,仍然没有威胁到其他同类型产品,但是,它也仍然有一个谁都无法确定的未来。