金山毒霸2011 “云”的秘密

安全维护

2010年5月3日 第17期

杀毒软件一年一个新版本已成惯例,但2009年,本该推出的金山毒霸2010版并未如期发布。直到最近,金山毒霸新版本正式发布,版本号却直接跳到了2011。从2009到2011,金山毒霸究竟有何跨越?金山宣称的“更快更轻巧、全球首款应用可信云查杀”的2011版只是云杀毒概念的炒作还是确有实质性突破?让我们一探究竟。

具备云软件小、快的特点

金山毒霸2011安装简单,一直点击“下一步”即可,默认会安装金山网盾3.5.1,金山网盾可以提升网页木马的拦截率、能对诈骗网站发出警示,我们建议用户默认此选项。

安装后的金山毒霸2011的主界面如图1所示,在界面左上部分有一个醒目的风险提示标志,如果电脑是安全的,标志是绿色的,如果电脑存在风险标志就会变成橘黄色,点击标志下的“修复”按钮可以修复潜在的安全风险(常见的安全风险有系统未打漏洞补丁、开启了Guest账号等)。这个安全风险提示,最早在金山毒霸极速版中出现,所以比金山毒霸极速版还要早的金山毒霸2009没有此提示。

在左侧有四类功能,分别是“病毒查杀”、“防御监控”、“安全百宝箱”和“互联网服务”,这些功能可以很好地帮助用户应对安全风险。其中的“安全百宝箱”提供了6个安全辅助工具,这个模块是新添加的。

在杀毒软件中集成安全辅助工具是当前的主流趋势,卡巴斯基、瑞星、江民等或多或少都集成得有。金山毒霸2011的此设计符合主流趋势,集成的安全辅助工具对用户而言非常有用,例如“系统修复”功能可以帮助用户快速修复系统的注册表和被窜改的IE首页,“进程管理器”帮助用户识别哪些进程是安全的,哪些进程是可疑的。

经过简单地试用,我们认为金山毒霸2011具备云软件小、快的特点。金山毒霸2011的安装包约20MB,为其他主流杀毒软件的1/4~1/3,安装后,电脑无操作的时候,金山毒霸2011内存占用约为19MB,而2009版在电脑无操作的情况下内存占用为49MB。为什么新版本在体积和内存占用上会有如此大的变化?

在我们看来,这应该和金山毒霸2011的“云杀毒”有一定的关系。金山毒霸2011的本地病毒库比较小,该病毒库主要收录的是当前主流病毒,它将更多的杀毒工作交付给了云端的服务器处理(它也为不方便联网的用户提供了离线的病毒库,约为32MB)。

本地病毒库小了,自然安装包就大大减小,内存占用也会相应减少。同时,金山毒霸2011版采用的蓝芯II云引擎也得到了优化,该引擎核心部分大小不足500KB,而2009版杀毒引擎核心部分大小接近4MB,这也有利于资源占用的降低。

我们准备了一个病毒包(有1200个病毒),用金山毒霸2011扫描它,花费约4分钟的时间就完成了扫描,在杀毒率相差不大的情况下,这个速度远远快于卡巴斯基和小红伞。

为什么金山毒霸的扫描速度会这么快?究其原因是因为蓝芯II云引擎的计算量相比前一代引擎大幅减低,计算量降低了,扫描速度就相应提高了。

16-g05-01.jpg
图1

安全小百科>>

从1999年金山毒霸诞生开始,每年都会推出新版本,每个版本都有自己的特点(见表)。

16-g5-b1.jpg

金山毒霸2011的杀毒完整流程:先确认文件是不是可信文件,如果不是可信文件再用本地病毒库扫描,如果不是本地病毒库中的当前主流病毒,就为该文件创建一个指纹,发送指纹到云端服务器,云端服务器有一个指纹数据库,如果指纹数据库中有该指纹,就判定为病毒,如果指纹数据库中没有该指纹且文件为可执行文件就发送到云鉴定器中进行鉴定。

云杀毒能力测试

所谓云杀毒,就是将部分杀毒任务交与云端服务器完成。我们准备了一个含有60个当前主流病毒的病毒包,用金山毒霸2011对它进行查杀。

本次扫描,金山毒霸2011共杀出53个病毒,其中6个病毒是在云端查出来的(图2)。同样的病毒包,小红伞、卡巴斯基、NOD32杀的病毒都在55个左右,几款杀毒软件的杀毒率差不多。检查金山毒霸2011未杀的病毒,主要是PDF木马和广告病毒。

16-g05-04.jpg
图2

金山毒霸2011扫描是每个文件核对病毒库后再进行云端鉴定,360杀毒软件是所有文件全部核对病毒库后再对疑似病毒的文件进行云端鉴定,瑞星、卡巴斯基等杀毒软件云端服务器主要是分析病毒,杀毒还是在本地完成(依靠病毒库更新)。

金山毒霸2011相比其他杀毒软件的云杀毒,主要区别有两个,一是云端实时杀毒,二是上传的不是病毒样本,而是体积更小的病毒指纹。金山毒霸2011的杀毒模式减少了内存占用和扫描时间,但对云端服务器病毒指纹数据库的建设和新病毒的分析要求特别高。

网页木马拦截测试

国内用户上网最大的威胁是什么?当然是无孔不入的网页木马,所以拦截网页木马的能力是衡量杀毒软件的重要指标。金山毒霸2011的网页木马拦截任务,主要是交给默认安装的金山网盾完成。

金山网盾共有4个拦截模块,分别是恶意网址防御模块、恶意代码行为分析引擎、shellcode防御模块、木马下载防御模块。打开网页时,恶意网址防御模块根据黑名单判断网站是不是有问题;看到网页的内容时,shellcode防御模块判断网页是不是存在溢出攻击代码,恶意代码行为分析引擎判断网页中是不是有挂马代码。如果网页自动下载文件,木马下载防御模块会对该文件进行分析。

我们从“黑榜”中随机挑选了一批挂马网站进行测试,发现金山毒霸2011对约80%挂马网站报警并进行了拦截,我们对不报警的挂马网站进行了分析,发现挂马代码经过多重加密、所挂的病毒进行过高强度的免杀。

我们从“黑榜”中挑选了一批诈骗网站,涉及网银、炒股、网游、网上交易、网络中奖5个方面,发现这5类诈骗网站金山毒霸2011都可以拦截,测试中有部分诈骗网站没有被拦截,对它们进行分析发现都是新出的,还没有被金山网盾收录。

总结

整体来看,金山毒霸2011有以下优点:具备云软件小、快的特点;网页木马拦截能力突出,在所有杀毒软件中排名靠前。

经过我们多次测试,金山毒霸2011查杀的病毒中云杀毒只占10%~20%,绝大多数病毒还是靠本地病毒库查出来的,金山毒霸对本地病毒库还是有较大的依赖性。

此外,金山迫切需要做的是对云杀毒概念的宣传,让更多人知晓什么是云杀毒、云杀毒的好处是什么,打消部分用户对云杀毒的疑虑,只有这样做,金山毒霸2011才能真正被广大用户接受。

我们认为,依靠不断升级病毒库防御不断新出的病毒,这种模式在未来会被主动性更强的云杀毒所取代,用户将依靠更为强大的云端服务器来抵御新病毒。

此外,由于更多依靠云,杀毒软件的安装包大小和内存占用会逐渐减少。