各家杀软的特点

幕小后

各家杀软的特点 个人观点

呵呵
经常"研究"木马的特征码
渐渐发现了各个杀软的一些特点
下面纯属个人胡诌

卡巴斯基:更新速度暴快,hourly级别的,查变种查的快,而且查杀恶意脚本很厉害.
但是其取的特征码很没有技术含量,常常是连续的一片字节.非常容易改掉pass.
这估计也是卡巴查那么多变种的原因吧 呵呵

瑞星:内存查毒值得赞一下
(为什么?因为和文件查杀用的特征码不一样,你虽然把文件查杀过了,但是一运行恶意程序,对不起,内存监控把你干掉),但查杀变种的能力就赶不上卡巴了,唯一值得说说的就是特征码取得还是有点搞头:
特征与特征之间都是间隔老远,选几个字节,使修改汇编代码pass瑞星有点挑战性.
但是查壳的能力太弱了,对一些偏壳,基本睁眼瞎.比如吗啡壳的变种壳.
还有杀脚本,太弱智了,在恶意脚本(就是那些看起来乱七八糟js和htm)
里面添加几个0x00打散字符串就pass了

瑞星还有些搞笑的东东,就是竟然去浪费时间查杀木马的客户端,拜托,黑客用客户端前,不会把你关掉?
卡巴就很明智,一般就查杀放在受害者主机的服务端
还有就是那头呼呼大睡的狮子,什么东西? ft 一点用的没有,你以为杀软是幼教软件 :-/

江民:病毒虚拟机,个人觉得比卡巴还厉害,
查壳的功力也很深厚,能解很多偏壳.看来江民不像某些厂商混娱乐圈的,技术底子比较好.
而且江民现在也有了内存查杀,但是比起瑞星内存查杀来,还有很多要学习的地方.
特征码取得和卡巴一样没有水准,很容易pass,而且病毒库更新又比不过卡巴.
查杀恶意脚本的能力一般.

诺顿:表现就像个醉汉,不好说它差,也不敢说它好.
有时候取的病毒/木马特征码很独特,基本无法让你修改汇编代码来pass
但有时候,又选取的特别弱智,改一个字节后,就pass了.
有时候还比较无耻,比如用吗啡壳加的正常文件,也认为是恶意程序.ft...

咖啡:
我用的是8.0i 呵呵 更新速度weekly级别:-)
原来以为很牛叉的杀软,后来发现原来它查杀木马病毒选取的特征码实在是太没有水平了:
比如有时取的是.data段的字符串,改改大小写就over,有时是PE的文件头,改改pe文件的入口点就pass.哎,唯一值得称赞的就是杀恶意脚本还厉害,反正只要它盯上的恶意脚本,基本别想改改就pass,看来咖啡查字符串的功夫在查恶意脚本上还派上了用场 :-)

至于金山,哎,不说也罢,反正要什么没什么.唯一亮点就是GUI 界面很靓丽

NOD32 据说很牛的杀软,没法子升级 所以没去研究过,有时间再说.