对恶意文件的拦截查杀情况

    对于恶意文件的处理往往需要及时、准确并且明确的拦截、提示和清除。在此测试中笔者在系统中模拟下载威胁和释放威胁的恶意行为，检测五款杀软件的在对待这些恶意行为时有何不同表现，结果如下：

    模拟下载威胁的恶意行为的测试：

    卡巴斯基 7.0

    卡巴斯基的文件监控能比较准确的发现正在下载的威胁，并且提示用户是否删除。而且卡巴也会将正在下载威胁的恶意行为文件拦截后弹出提示气泡：有恶意的HTTP对象，检测到木马。

    诺顿 2008

    对于下载到的威胁，诺顿2008提示用户自动防护禁止了安全风险，对下载威胁的恶意行为文件没有处理。

    金山毒霸2008

    金山毒霸文件实时防毒准确拦截连续下载的威胁，并将正在下载威胁的flashget.exe发送至金山可信认证系统进行识别认证，之后返回并发现falshget.exe为正常文件，给出气泡提示用户；如果发现是未知的，会根据威胁的程度给出不同的处理方式。

    瑞星 2008

    在Falshget下载威胁时，瑞星并没有发现和拦截。在威胁下载完后进入存放病毒目录下，直到对威胁文件进行操作，瑞星的文件监控才能检测到威胁。

    KV2008

    江民 KV2008在Falshget下载威胁时也没有被发现和拦截，与瑞星同样要等威胁下载完后进入其存放目录下，对威胁进行操作才能监控检测到病毒。

    模拟释放威胁的恶意行为的测试：

    卡巴斯基 7.0

    在释放威胁时，卡巴斯基发现释放的威胁并将其拦截(如图)，但是并没有发现产生释放威胁行为的恶意文件。

    诺顿 2008

    诺顿拦截住了释放出来的威胁(如下图)，但是同样的，并没有发现释放威胁的恶意文件。

    金山毒霸2008

    金山毒霸文件实时防毒准确拦截释放的威胁，并将释放病毒的程序WinRar.exe发送至金山可信认证系统进行识别认证，后返回并发现WinRar.exe为正常文件，给出气泡提示用户(如下图)。如果发现是未知的，会根据威胁的程度给出不同的处理方式。

    瑞星 2008

    在释放威胁时，瑞星软件没有发现和拦截，只有对威胁进行操作时，瑞星文件监控才能检测到病毒。此时的恶意行为检测也并没有检测到释放威胁的恶意文件。笔者特意将设置中系统加固设置的系统目录勾选上，再进行模拟释放威胁到系统目录的测试，此时才发现瑞星的主动防御拦截住释放威胁的WinRAR，但需要用户自己识别这个程序是否可信及让用户手动加入白名单，这样的处理方式需要用户比较了解软件，对不太了解软件的用户，这个功能只能起到监控的作用。

    KV2008

    江民 KV2008在发现并拦截释放的威胁，但是并没有发现释放威胁的恶意行为文件。

    小结：在测试中，无论是利用Falshget.exe下载威胁或是利用WinRAR.exe释放威胁，在所有设置都保持默认的情况下，金山毒霸 2008都拦截住这两种情况的恶意行为文件，并且对其进行可信认证的校验及相应处理，其它四款杀软中，卡巴斯基7.0对下载威胁的恶意行为能识别到，但没有任何的处理，只是将拦截到的结果报告给用户，而其它三款杀软都没有识别到释放威胁的宿主文件。对于瑞星的主动防御系统目录，虽然有拦截到WinRAR正在释放威胁，但它对恶意行为文件的处理方式也不如金山毒霸2008，在这方面笔者认为金山毒霸2008的恶意行为拦截比其他四款杀软是略胜一筹的。

[1] [2] [3] [4] [5] [6] [7]