[測試]Kaspersky personal 5.0372 vs Zlock 2005 中毒環境下解毒實測

**alic63** · 2005-07-07, 02:48 PM

日期：2005-07-04 BY alic63
測試環境：
系統：windows xp sp1(漏洞全補，除了sp2)
瀏覽器:IE SP2
防毒程式：Kaspersky personal 5.0372
Zlock 2005(以上防毒程式，以更新至最新病毒碼後，先解除常駐)
防火牆：outpost 2.7

原廠網址：
KASPERSKY:www.kaspersky.com.tw
Zlock:www.ggreat.com.tw

測試樣本：
天堂木馬3隻

提起zlock或許有很多人多沒聽過，但有用過DOS系統的人，或許對這防毒程式不莫生，因為在那時代可是蠻流行的DOS版的防毒程式，而且是目前算碩果謹存的本土防毒公司，其防毒功能確實不錯，但進入WINDOWS時代，其也有發展出屬於視窗防毒程式，因為其公司廣告沒某家PXX的大和加上有更多的防毒軟體可以選擇，也漸漸的莫落，也許如它網頁所說的要保障其使用者為少數中毒使用者；至於KASPERSKY這名字目前我想也不用太多介紹了，因為目前為當紅的防毒軟體之一，其防毒能力，相信為其愛好者深信，或許大家為什麼會存疑？這兩種防毒程式怎麼可以相比呢？或許卡巴的病毒庫之多，偵測率也目前是排名第一的，但解毒能力，卻在有一次的無意中測試，發覺ZLOCK並不遜色於卡巴，情況會如下的實際測試中說明：

前言：
於相同環境下，並且確認已能偵測到此次的木馬，將防毒程式解除，並運行三隻天堂木馬，並於運行後，運行單一防毒程式，觀察其解毒殺毒能力。

(一)
測試1：ZLOCK 2005中毒環境解毒能力。
1、運行三個天堂木馬後於工作管理員情形。

2、首先將ZLOCK 2005常駐程式啟動，但同時也發現三隻天堂木馬生成的dll檔，將捆綁IE，將所得的資訊回傳至設計者，當然outpost 2.7也發現ie有異常變動，當然是要阻止其放行。

3、然後ZLOCK 2005 即時監控即發現在WINDOWS目錄下生成的三個天堂木馬EXE檔(這為之前所執行的三隻天堂木馬而生成的放置WINODWS系統下的可執行檔)，並且刪了它。

4、並且立即做全系統掃毒，掃到兩個\WINDOWS\SYSTEM32\*.DLL並顯示必須重開機清除。

5、並且運行掃除目前常駐的三隻天堂木馬，並刪除(中毒中仍然刪除)

6、然後於開機後用卡巴全系統掃毒測試確認已無中毒情況，目的，更加確認ZLOCK是否有將病毒清除乾淨。

(二)
測試2：Kaspersky personal 5.0372中毒環境解毒能力：

1、如同上面測試方式也將其三隻天堂木馬運行，讓其常駐於記憶體中。

2、如上運行kaserpsky 常駐程式，然後其木馬程式也如同測試一所述，生成的dll也要將捆綁IE，但OUTPOST也將其攔截，此時KASPERSKY發出中毒訊息，並問我是否刪除，當然選擇刪除，但一直無法刪掉，選擇重覆一直會出現警告視窗，這時我就選擇略過。

3、然後持續偵測到其他的DLL木馬程式，仍持續問是否要刪除，重覆上面2的情況，仍然無法刪除。

4、當放棄刪除其生成的DLL程式後，KASPERSKY又偵測到常駐的三隻天堂木馬，但仍無法刪除，只好選擇系統重開後刪除。

5、於重開後才順利解毒完成。

測試心得：
測試(一)
於此次的測試中，發覺ZLOCK能在中毒環境中殺掉病毒確實有其實力存在，但其監控能力似乎有點不是很穩定，反覆測試幾次後，有時監控非常敏感，執行ZLOCK常駐後馬上發現隱藏的所有木馬程式，如果沒發現時，如果直接運行中毒檔案，就能將常駐在記憶體中的木馬糾出來，否則只能靠手動全系統掃描的方式去掃除。

測試(二)
至於卡巴其監控能力確實很好，而且相當的穩定，大約常駐後，30秒至一分鐘左右，就可以糾出木馬，但唯一的卻無法在中毒環境中刪除木馬程式，須重開後才能全部清除，不過其能力相當不錯，用其當監控確實可以讓人蠻放心的。

PS.此次的測試只是要了解防毒殺毒能力，於力求公平情況下測試，或許不盡完善，謹供參考。

**阿土** · 2005-07-07, 05:57 PM

好久沒有聽過 ZLOCK 的消息 , 還以為已經消失了
看到上面的 ZLOCK 2005 GUI 介面
有蜻蜓 , 還有樹葉片片....實在有點難看
看起來專業的 GUI 設計 , 對軟體應該有加分效果 , 這方面該供司應也要下些功夫

您此篇文章若再多找幾套測試 , 尤其是常見的 PCC , NORTON 等常見的
我想對很多朋友來說一定會更具有參考價值

**alic63** · 2005-07-08, 03:35 PM

其實它的介面是可以更換的，不過.....好像也差不多吧@@"

其餘的防毒，會再找時間測試，也希望提供給大家另一個不同的方式，以最真實的呈現各個防毒軟體的能力^^

**im903405** · 2005-07-08, 03:56 PM

好棒的評比喔
完完全全都比較了出來了
太猛了!

**pingu** · 2005-07-09, 07:11 AM

問題在於Zlock資料庫太少，很多毒都掃不到

**alic63** · 2005-07-09, 10:24 AM

ZLOCK的病毒庫少是事實，之前有測試過一些流行的病毒，例如天堂木馬（含各種變種）發現對於流行病毒偵測率也不遜色哦＾＾

**TAIWAN** · 2005-07-09, 11:10 AM

測試時間是 04-07-2005
發表時間是 07-07-2005 02:48 PM
ZLOCK 病毒碼時間是

測試環境，必需是在O.S.灌完後就灌防毒軟體，且無其他防火牆軟體下才能得到正確數值，而且要有監看C.P.U.的運做，並看 MEM.PAGE 變化量。

所謂的木馬衍生的動態檔被尋獲，但並不表示在 BUFFER 內就無存在。

要抓木馬相當簡單，只要監看是否有封包要出門。詳細請看

http://www.pczone.com.tw/showthread.php?t=119847

**alic63** · 2005-07-09, 11:58 AM

１、其實這個測試在於７月４日於某微X論壇即發表，至於PCZONE是於７月７日才考慮發表分享給PCZONE會員。

２、因本人不是防毒公司也不是專業病毒測試者，所以在有限的資源提供一種簡易的測試，或許有太多未儘完善之處，但只是本著對於分享的心態，給與大家一種測試的參考。

３、除了封包的監測，一些系統安全軟體也多可以有效的觀察木馬、病毒的運作情況，例如：
TINY的TRACK'n'Reverse、SSM..等皆可以做到相關的監控。

４、一個優秀的防毒程式，不管在任何環境下，如單純環境，或者再複雜不過的環境下，我想其功能應該不至於或不應該受到任何的影響，否則，要防毒程式做什麼呢？沒有一個使用者，多是在單純的環境下中毒吧，所以認為除了TAIWAN大大所說的環境下測試是無可致疑的，但在其他的不同情況不同環境下的測試也未嘗是另一種特別的測試吧。

**hiyawu** · 2005-07-12, 12:48 PM

作者：ADMIN

有蜻蜓 , 還有樹葉片片....實在有點難看

我也是這樣認為
不過好像是國小生在用的非常好色

希望Zlock的介面設計可以專業一點

**redhung** · 2005-07-16, 12:06 AM

Zlock前一陣子的缺點就是病毒取樣慢，在打算推出新版程式之前幾乎沒有更新病毒碼，Zlock對破壞型病毒的防護力，個人認為是一等一，在即時解毒與維護文件完整性的能力也是一等一，但是.....現在不流行破壞型病毒了，現在的病毒都是跟你玩陰的(就是種木馬、做跳板)，沒人跟你搞破壞了，一搞破壞的話，他想偷的東西就偷不到了(帳號及密碼)，別以為帳號密碼沒什麼，如果你不小心一點的話，還會被偷到網路銀行的帳號密碼，那時管你加了十層百層密都沒有用，因為還沒加密前就從你的鍵盤上被偷走了。