【转贴】对于反木马，“上帝们”必需晓得的本相

狼21

编者按：此文转自PConline软件论坛，有删省，点击此查看原文。
注释
　　当初的杀软更新真是快，2006的硝烟尚未散去，国产三巨头的2007版本便弹冠相庆了。各大杀软的优毛病想必广大用户通过许多媒体有了不少的了解，这里笔者无意去探讨杀软的资源占用，界面美不雅观和功效多少与否这些问题。今天只探讨杀软对加壳木马的查杀能力，这个对很多人来说，才是最主要的。
　　现现在的互联网堪称是木马横行，网银大盗和落雪等恶性木马的横行，让良多人深受其害，所以说，杀毒软件对加壳木马的查杀后果直接关联到宽大用户的信息跟个人隐衷的保险。
　　此次测试，笔者选取了时下较风行的灰鸽子2006VIP服务端做为样本，而后加了12种不同类型的主流壳（图1），分辨用不同的杀软对这12个文件进行查杀，以验证杀软的脱壳杀毒的才能。
图1 筹备用于测试的12个加壳木马
软件环境
　　Windows XP SP2+GHOST（为保障测试的公平性,每个杀软测试完以后，都用GHOST进行恢复后在装置另一个杀软）
一、金山毒霸 2007
图2 金山毒霸 2007的查杀情况
图3 金山毒霸 2007的根本情况
通过上面的截图，大家可以看到，笔者的金山毒霸2007已经是今天（10月9日）测试最新得病毒库了，但遗憾的时，只查出了eXPressor加壳后的木马，效果很不幻想。
二、江民杀毒软件KV 2007 下载版
图4 江民杀毒软件KV 2007 下载版的查杀情况
查出了五种壳的木马，效果还算不错。
三、瑞星 2007测试版
图5 瑞星 2007测试版的查杀情况
图6 瑞星 2007测试版的基础情况
虽然是测试版，但机能一点都不含混，查出了六种壳得木马。盼望它的正式版能带给大家更多的惊喜。
四、卡巴斯基个人版6.0.307
图7 卡巴斯基个人版6.0.307的查杀情况
图8 卡巴斯基个人版6.0.307的基本情况
做为杀软行业的领头羊，卡巴果然一点都不暧昧，轻松的查出了10个。
　　很多人都很爱好卡巴，但笔者感到卡巴斯基是一个被适度神话的杀毒软件。个人十分尊敬卡巴斯基的高水准，但说句瞎话，在不斟酌资源占用的情况下，卡巴斯基并没有什么足够的理由可能让笔者废弃诺顿，二者的程度并没有什么差别。在稳固性上，卡巴斯基比诺顿要差一些。
五、Symantec AntiVirus10.0
图9 Symantec AntiVirus10.0的查杀情形
图10 Symantec AntiVirus10.0的基本情况
　　做为杀毒软件中的元老，诺顿开创实时监控技巧，还领有微软的源代码。大家都说诺顿不好，其实诺顿的引擎很强盛。从最底层维护盘算机，所以运行起来不太快，只是杀毒理念不同，才让诺顿不适合个人用户。它重要以隔离为主，避免企业文件被删除。由于有些被病毒沾染了的文件基本不能完整杀毒。直接删除又会损坏文件，所以诺顿最合适企业用户取舍。
　　在此项测试中，诺顿企业版10.0查出了11种加壳木马。
PConline注：诺顿（Norton）是赛门铁克(Symantec)公司的个人产品品牌。“Symantec”则是用于企业产品的品牌。
六、Mcafee 8.0i 企业版
图11 Mcafeeve8.0i 企业版的查杀情况
图12 Mcafeeve8.0i 企业版的基本情况
McAfee 2006 个人安全套装
图13 McAfee 2006 个人平安套装的查杀情况
图14 McAfee 2006 个人安全套装的基本情况
　　很早前听过一个友人这样说过McAfee和诺顿的企业版杀毒能力比个人版好，为了廓清这种讹传，才做了上面的比较测试，用McAfee的企业版和个人版做了一个小对照，成果证实二者使用同样的引擎和病毒库的时候，杀毒能力也是一致的。
　　McAfee的表示和诺顿一样杰出，12个木马文件中只漏杀了一个，在加之其超强的内存监控，表现很优良。
七、Dr.Web 4.33
图15 Dr.Web 4.33的查杀情况
图16 Dr.Web 4.33的基本情况
　　DR.web是一个俄罗斯的杀毒软件，就是大家所说的大蜘蛛。和卡巴基本是一样的，但引擎和技术不一样，是俄罗斯官方和部队的采取的产品，在此项测试中，DR.web的表现和卡巴一致，也是查出了10个。
八、海内应用频率较高的几个木马查杀软件
图17 3721反间谍的查杀情况
图18 AVG Anti-Spyware 7.5的查杀情况
图19 木马克星的鸩杀情况
图20 木马杀客的查杀情况
说起AVG Anti-Spyware 7.5大家可能很生疏，但说起ewido确是无人不晓的，多少个月前ewido被捷克的Grisoft(AVG)收购，继而宣布最新平台，简而言之，就是AVG Internet Security Suite 是ewido得整合版本。
　　此论测试中，AVG Anti-Spyware 7.5查出了6个，3721反特务查出了2个，木马克星也是2个；最可悲确当数木马杀客了，未加壳的木马固然能够查到，但加壳之后的一个都不查出来，笔者猜想应当是其不支撑脱壳查杀的缘故。
图21 此次查杀情况的统计
　　综上所述，大家都各款杀软对加壳木马的查杀能力应该有了一个大抵的懂得，实在，这也就足够了。想必这对大家当前对杀软的抉择会起到一个参考的作用！