走进杀毒软件的江湖

2022年6月2日08:01:48评论186 views字数 5061阅读16分52秒阅读模式

本期关键词：杀毒软件集成平台云沙盒

2021年8月22日，国际权威测评机构AV-Comparatives发布了2021年上半年企业终端安全产品（即杀毒软件，简称杀软）测评报告。全球有19家安全厂商的产品参加测试，测试内容涵盖动态保护测试、恶意软件防护测试、误报率测试和性能测试等各个维度。罗马尼亚公司的Bitdefender力压群雄，综合表现排名第一。

下面就让我们走进杀毒软件的江湖，看看一众杀毒高手究竟身手如何。首先将盘点用户群最大的四款杀毒软件，然后介绍virustotal这一目前最好用的在线杀毒软件集成平台和AnyRun这一在线云沙盒。

图片来源：百家号

用户群最广的几款杀毒软件

全球装机量很大的杀毒软件包括Avast、卡巴斯基、360和Microsoft Defender。

据媒体报道，2021年8月11日，美国杀毒软件开发商---诺顿LifeLock公司（其前身为赛门铁克，2019年，赛门铁克以107亿美元将企业安全业务出售给博通，然后更名为诺顿Life Lock）确定收购捷克杀毒软件开发商Avast，这笔交易的价值最高达到86亿美元。借助这笔交易，诺顿LifeLock将接触到杀毒软件行业最大的用户群之一。目前Avast拥有4.35亿“免费”用户。Avast的目标是利用免费的基础版产品吸引用户，然后用更高级功能来把免费用户转化为付费用户。

卡巴斯基由俄罗斯知名安全厂商卡巴斯基开发，是俄罗斯装机量最大的杀毒软件，卡巴斯基的免费版产品主要有KapaskyAnti-Virus、Kapaskey Internet Security和Kapasky Total Security。

360由中国安全厂商360开发，是中国装机量最多的杀毒软件，开创了中国免费杀毒软件的先河。

Microsoft Defender是微软公司windows操作系统自带的杀毒软件，目前可能是全球装机量最大的杀毒软件，只不过存在感不是很强。Microsoft Defender原名Windows Defender，曾用名Microsoft Anti Spy ware，内置在Windows Vista、Windows 7、Windows 8、Windows 8.1以及Windows 10中。在Windows 10中，Windows Defender加入了右键扫描和离线杀毒，根据最新的每日样本测试，查杀率已经有了大的提升，达到国际一流水准。2019年3月，微软将Windows Defender Advanced Threat Protection更名为Microsoft Defender ATP，随后微软将ATP引入Mac。2020年4月，微软更新了Windows安全中心应用，将其中的Windows Defender更改为Microsoft Defender。

免费的杀毒软件都有一些局限性，如果我们每个月拿出一点点钱花在高级杀毒软件上，这样能获得部分附加功能，如VPN、密码管理器、家长控制和暗网监测等。比如诺顿360主要提供了三种付费计划：诺顿360标准计划为每年39.99美元，Norton 360 Deluxe为每年49.99美元，最贵的付费计划是Norton 360 with Life Lock，但该功能仅面向美国用户开放。

免费的在线杀毒软件集成平台

相比传统的杀毒软件，VirusTotal等在线杀毒软件集成平台具有完全不同的商业模式---它们自己并不研发杀毒软件，而是把全球各种杀毒软件汇总到服务器上，然后提供一个Web界面给用户使用。如果用户怀疑某个文件有问题，可以把这个可疑的文件提交到该集成平台网站上进行扫描，然后平台会显示全球各大杀毒软件对这个文件的扫描结果以供用户参考。美国五角大楼、联邦调查局和国土安全部也在2020年2月联合发布了有关朝鲜使用的七种恶意软件的技术细节，并将恶意软件上传至virustotal共享。

在十年前，有很多家采用汇总一堆杀软提供在线查毒的网站，如今硕果仅存的主要有VirusTotal和VirSCAN等几家。VirSCAN.org（地址：http://www.virscan.org/）目前集成了51款杀毒软件（见下表1）；VirusTotal（地址：https://www.virustotal.com/）是做得最好的在线杀毒软件集成平台，目前集成了72款杀毒软件（见下表2）。VirusTotal提供免费的病毒、蠕虫、木马和各种恶意软件分析服务，可以针对可疑文件和网址进行快速检测，最初由Hispasec维护。它与传统杀毒软件的不同之处是它通过多种杀毒引擎扫描文件，帮助用户们通过各杀毒引擎的侦测结果，判断上传的文件是否为恶意软件。事实上，没有任何一款软件可以提供100%的病毒及恶意软件检测率。VirusTotal可以通过电子邮件或直接上传的方式分析不大于128MB的文件。VirusTotal有一款名为VirusTotalUploader的外壳扩展，可以帮助方便的上传文件。VirusTotal的缺点是只能扫描提交的文件，无法对计算机进行全面的检查。

VirusTotal具有以下优势：

避免漏报

由于VirusTotal汇总了全球所有主流/知名的杀毒软件，因此，可以最大程度的降低漏报。说得直白一些：如果VirusTotal查不出来，你自己电脑上的杀毒软件更加查不出来。虽然VirusTotal汇总了全球主流的杀毒软件，它依然不是全能的。依然有可能出现某个恶意软件，VT上所有的引擎都没查出来（全部漏报）的情况。

识别误报

一般来说，误报属于某个具体的杀毒软件的缺陷—通常是其特征库在汇总某个特征时，没有做到独特性，才导致误报。由于VirusTotal汇总了全球所有主流/知名的杀毒软件，这么多杀毒软件，不可能同时都对同一个文件产生误报。因此，VirusTotal有助于帮你判断，某个文件的“报毒”到底是不是误报？

规模优势

2012年9月7日Google收购了VirusTotal，旨在增强针对自身互联网服务的保护措施。有了Google这个后台老板，VirusTotal可以获得更好的基础设施，比如更强悍的服务器集群；因此，它可以在免费的前提下，提供更好的服务。比如说：让你能上传更大的文件，而且扫描速度会更快。因为有了Google这个靠山，也会有更多的安全厂商主动要找VirusTotal合作，从而让前面两个优势更明显。

VirusTotal官网

免费的在线云沙盒

在线杀毒软件集成平台能够帮助用户判断文件是否为恶意程序，但是不告诉用户判断为恶意程序的原因。在线云沙盒为用户观察恶意程序行为提供了模拟环境，是需要某种交互时的最佳选择，尤其是对于一些需要用户点击执行的恶意程序。最知名的在线云沙盒是AnyRun，国内比较知名的是微步在线云沙盒。在线云沙盒可以帮助用户非常轻松地分析恶意软件样本，只需简单的注册一个账号，就可以使用该平台实时的对某个特定文件进行交互式的分析。

AnyRun项目最早是由安全研究员AlexeyLapshin于2016年创立。目前，该项目主要由团队五名致力于改进平台的专职开发人员共同负责。

AnyRun与其他沙盒分析工具的主要区别在于，AnyRun是完全交互式的。这意味着使用AnyRun你可以上传文件，并在分析文件的同时与沙盒实时交互，而不是传统的上传文件然后等待报告。除此之外的另一大好处就是，AnyRun允许你上传需要点击按钮，启用内容或宏的恶意文档程序。

例如想分析一个广告软件包，但安装前需要你手动点击确认各种安装提示。那么AnyRun可以做到这一点。首先，你需要创建一个新任务，然后选择要分析的文件或URL，为沙盒选择操作系统（Windows7/8.1/10），要使用哪些连接选项，应该预装哪些软件，以及交互式会话应持续多长时间。准备就绪后，点击运行按钮。然后，AnyRun将构建配置的环境，显示可与之交互的沙盒环境，启动所请求的程序。

装上杀毒软件就一定安全了吗？

为了保护自己的计算机，我们大部分人都会选择安装适合自己的杀毒软件。但是安装了杀毒软件就真的安全了吗？真的能保证你的计算机百分百不被攻击吗？2016年，西安四叶草安全公司下属的CloverSecLabs的安全研究员对此进行了为期两个月的漏洞挖掘与测试。经测试发现，全球主流25款杀毒软件中有21款均存在高危漏洞。在本次测试中，安全研究员从杀毒软件内核驱动入手，仅此一个点就发现了47个高危漏洞。据安全研究员反映，看到测试结果后连他们自己也震惊了，因为很多漏洞都是由于开发者的低级错误导致的，发现漏洞最快竟只花了不到10秒的时间。除了杀毒软件，防火墙等安防系统近年来也频频曝出漏洞，为黑客攻击内部网络打开了大门。

表1 VirSCAN集成的杀毒软件名称和开发厂商所在国家

杀毒软件名称	开发厂商所在国家	杀毒软件名称	开发厂商所在国家
AVAST!	捷克	GridinSoft	乌克兰
AVG	捷克	Hunter	美国
Alyac	韩国	IKARUS	奥地利
Arcabit	波兰	K7	印度
Authentium	美国	NOD32	斯洛伐克
Avira	德国	Nano	俄罗斯
BaiduAntivirus	中国	QQ手机	中国
Bitdefender	罗马尼亚	Quickheal	印度
ClamAV	N/A	SOPHOS	英国
Comodo	美国	Sunbelt	美国
Cyren	美国	Systweak	印度
Defenx	瑞士	TheHacker	秘鲁
Dr.Web	俄罗斯	Vba32	白俄罗斯
F-PROT	冰岛	ViRobot	韩国
F-Secure	芬兰	VirusBuster	匈牙利
Fortinet	美国	Xvirus	葡萄牙
GData	德国	emsisoft	奥地利
卡巴斯基(kavfs)	俄罗斯	nProtect	韩国
卡巴斯基(klms)	俄罗斯	熊猫卫士	西班牙
奇虎360	中国	瑞星	中国
安博士V3	韩国	百度杀毒	中国
安天	中国	费尔	中国
新华三	中国	赛门铁克	美国
江民杀毒	中国	趋势科技	美国
深信服	中国	迈克菲	美国
金山毒霸	中国

表2 VirusTotal平台上集成的杀毒软件

杀毒软件名称	杀毒软件名称	杀毒软件名称	杀毒软件名称
Ad-Aware	FireEye	Sophos	F-Secure
AhnLab-V3	Fortinet	SUPERAntiSpyware	Webroot
ALYac	GData	Symantec	Trustlook
Antiy-AVL	Gridinsoft	TACHYON	SentinelOne(StaticML)
Arcabit	Ikarus	Tencent	Symantec Mobile Insight
Avast	Jiangmin	TrendMicro	Trapmine
Avira(nocloud)	K7AntiVirus	TrendMicro-HouseCall	Cylance
Baidu	K7GW	VBA32	eGambit
BitDefender	Kaspersky	VIPRE	Elastic
BitDefenderTheta	Kingsoft	ViRobot	Emsisoft
BkavPro	Lionic	Yandex	eScan
CAT-QuickHeal	Malwarebytes	Zillya	ESET-NOD32
ClamAV	MAX	oneAlarmbyCheckPoint	Rising
CMC	McAfee	Zoner	SangforEngineZero
Comodo	McAfee-GW-Edition	MaxSecure	PaloAltoNetworks
Cynet	Microsoft	Acronis(StaticML)	Avast-Mobile
Cyren	NANO-Antivirus	Alibaba	BitDefenderFalx
DrWeb	Panda	SecureAgeAPEX	CrowdStrikeFalcon