实战967种木马 木马清道夫2007评测
【IT168 软件评测】就国内目前的状况来说,木马程序和恶意软件是主要的威胁,2006年的全民反恶意风潮,使得恶意软件稍微地离我们远了一些。2007上半年时间内木马程序种类越来越多,严重威胁用户的信息、虚拟财产安全,安全厂商开始对木马程序的围剿。除了各个杀毒厂商外加强查杀木马的能力外,还有许多专门针对木马查杀的软件,今天我们测试的软件就是其中之一-木马清道夫2007。
 |
木马清道夫是由风云谷科技出品的一款针对木马程序的安全产品,除了专业清除木马外,还可以清除恶意软件和广告软件,用户对木马清道夫的评价很高。软件有着自己独创的技术,如:嵌入式杀马、未知木马探测。拥有6层的全面保护模式:
1.内存监控和实时监控
2.强大高速准确的硬盘扫描引擎
3.文件行为智能分析
4.网络规则监控与拦截
5.底层密码伪装保护
6.自身进程防删保护
| 软件名称 | Windows木马清道夫 2007 |
| 软件版本 | V10.1 |
| 软件分类 | 网络安全 |
| 软件容量 | 28.3MB |
| 软件语言 | 简体中文 |
| 应用平台 | windows2000/xp |
| 软件作者 | 风云谷科技 |
| 高速下载地址 | |
木马清道夫2007是一个套装软件,包含两个程序:木马清道夫和木马防火墙。上周木马清道夫推出了新版本:v10.1,从官方了解到,该次版本升级改进包括:
1.优化部分代码,重写探测可疑模块,探测引擎更先进。
2.增加NTFS数据流扫描技术,完美清除利用数据流特性隐藏的各类木马病毒。
3.增加时间锁定功能,防止系统时间被木马病毒非法修改。
4.增加系统诊断分析功能,国内先进的分析引擎,全面诊断系统问题。
5.带有自动化可选式超强修复功能,并可生成完整的诊断报告,方便高手为您分析。
6.增加对破坏安全模式和破坏隐藏文件选项的修复工具。
木马清道夫的主程序分为两种界面:简洁简洁界面和专业界面。
&picid=545499.jpg) |
| 简洁界面(点击查看大图) |
|
| 功能列表 |
简洁界面非常适合初级用户使用,软件的主要功能用大个的按钮明确标识,一目了然。如果某项功能有子级功能,点击后会弹出功能列表。
|
| 专业界面 |
专业界面使用windows标准风格,所有的功能都列在界面中,主要扫描功能还用数字序号着重标出。通过左侧的性能信息,可以清楚的了解到系统当前的运行状况;进程信息帮助用户查找可以进程,并可以使用右键菜单找到进程对应的模块信息和窗体信息;启动项的管理可以说是现在安全软件常规项目。
木马清道夫包含的功能非常丰富,可以对进程、启动项、硬盘文件、注册表进行扫描;并提供系统漏洞扫,自动进行下载修补;探测模块发现可疑的模块,防范未知的木马程序;
|
| 未知木马检测 |
对IE浏览器的各项功能进行管理;查看网络共享情况、端口扫描、修复网络;还可以对系统进行网络优化和垃圾清理。
|
| 各种保护、增强功能 |
碰到顽固的木马程序,软件还提供了程序卸载和强行删除工具DOS版。
|
| 很实用的强删工具 |
众多的功能帮助用户及时发现、消除安全隐患。软件还支持功能插件,针对一些流行的木马,提供专杀工具。使用插件功能,用户可以方便的扩充软件的功能。
&picid=545538.jpg) |
| 插件功能(点击查看大图) |
软件在对硬盘文件扫描上提供三种扫描方式:采用文件定位、采用特征码和最新版本增加的NTFS数据流,更全面的扫描木马程序,保证用户安全。
&picid=545553.jpg) |
| 全面的扫描方式(点击查看大图) |
软件的监控防御功能由木马防火墙实现,防火墙模块中提供了非常多的功能,使用标签页的方式显示。虽然所有的功能都列了出来但是显的比较杂乱。
|
| 专业但界面杂乱的防火墙 |
监控
防火墙提供了多种的实时监控功能:内存监控、实时监控、网络连接监控、网络程序监控、邮件监控、嵌入行为分析、网页木马免疫、注册表启动项监控、系统目录新建文件监控和注册表及IE浏览器监控,帮助用户抵御各种威胁,并提供多种提示方式通知用户。
设置
防火墙的设置项目很多,在设置界面上同时可以查看当前的状态,如实时监控、内存监控。软件的设置很详细,用户可以方便的设置成适合自己的防御状态。
&picid=545758.jpg) |
| 防火墙主要设置(点击查看大图) |
针对普通用户软件提供还默认方案,用户直接选择高、中、低三级安全系数进行快捷设置。
|
保护
保护功能分为两方面:对用户信息的保护和软件自身的保护。防火墙提供恶意网站过滤、IE修复、系统保护和密码伪装保护,帮助用户保护信息。为了防止软件自身被木马或者病毒破坏,防火墙可以对自己的进程进行保护,让系统一直处于防御状态。
&picid=545787.jpg) |
| 信息保护和自我保护(点击查看大图) |
测试环境
全新安装操作系统,安装windows XP 系统 并打上SP2补丁,其余更新不安装。木马样本上,我们从网络中搜集967个各种木马程序。
| CPU | Inter Pentium D 2.8 |
| 内存 | 2GB DDR |
| 主板 | 华硕 P5PL2(945PL) |
| 显卡 | Nvidia geForce 7600 GS |
| 系统 | Windows xp Pro SP2简体中文 |
|
| 我们使用的样本库 |
|
| 我们使用的样本库 |
性能测试主要针对样本库进行扫描,扫描测试分为5次,记录发现的木马数量,以及扫描时的内存占用:
1. 不开启木马防火墙,用木马清道夫对样本目录进行扫描。
2. 不开启木马防火墙,选择部分可执行木马程序进行安装,再用木马清道夫进行扫描清理。
3. 开启木马防火墙,访问样本目录。
4. 开启木马防火墙,运行木马程序。
5. 鉴于现在木马都会加上多种多样的壳来防止被杀掉,所以我们给一个样本加上一个比较强的壳,再用木马清道夫进行扫描。
防火墙
打开木马防火墙的实时监控后,我们浏览样本库,防火墙会不停的提示发现木马程序。开启QQ和MSN或者使用下载工具时,防火墙都会弹出窗口询问是否允许连接网络。通过网络连接规则和网络程序规则,用户可以设定更准确防火墙规则。
在资源占用上,木马防火墙的表现不错。监控时暂用12MB左右,在发现木马程序时,资源会有瞬间的上浮。不过会很快降回12MB。
|
| 木马防火墙资源占用 |
木马清道夫
在第1、2、3三种条件下,木马清道夫把样本库的967全部查到,无一漏网,表现非常不错。第4种条件下,运行样本时,防火墙会实时提示用户,并阻止木马运行。
&picid=545865.jpg) |
| 扫描结果(点击查看大图) |
在第5种条件下测试时,我们选择了一个没有加壳的木马程序,然后加上一个比较难脱的壳。结果比较失望,木马清道夫的正常扫描、木马防火墙的实时监控(运行木马样本)都没有检测到该木马程序。
|
| 对加壳的木马进行扫描 |
不过还好,使用可疑模块检测可以发现该加壳的木马程序。软件会提示该程序可疑程度70%,是否上报。可疑模块检测只是给用户一个参考,并不是完全准确的,如Aodbe的flash控件文件同样会被报可疑,并且可疑程度80%。
|
| 可疑模块检测到加壳木马 |
软件在扫描时,进程占用CPU较高,内存占用在30MB左右。木马清道夫的扫描速度很快,即使上万个文件也花费不了太多的时间,所以资源占用高但不会对用户造成太多困扰。
|
| 木马清道夫资源占用 |
【IT168评测中心观点】木马清道夫2007是一款专业的反木马安全产品,包含查杀和防火墙功能,针对不同用户群体的界面设计提升了软件的易用性;丰富、实用的功能帮助用户轻松的远离木马威胁;附带的木马防火墙性能十分不错,通过对规则的设定,可以替代部分传统防火墙。防火墙的自我保护功能使软件永不停止工作,始终保证用户的安全,只是界面设计简单了一些,过多的标签页让软件看起来杂乱。
一款好的反木马安全产品,第一要素就是要有好的清除效果。木马清道夫效果很好,可以帮助用户抵御绝大部分的木马程序。通过可疑模块检测,对未知木马的检测效果也不错。木马防火墙功能丰富,帮助用户及时发现系统中存在的安全隐患,消除安全隐患。
|
| 专业的反木马安全产品 |
总的来说,木马清道夫2007是一款不错的木马防杀软件,可以作为杀毒软件的一个辅助,运行实时监控和定期查杀提高系统防御力。软件的缺点是界面设计有些杂乱,虽然也分了简洁界面和专业界面,但给用户的体验不是很好,希望可以再进行改进。
