关于360网马扫描和网站安全狗网马扫描比较测评
网马扫描功能一直以来都是服务器安全软件的重要组成部分,也是评判服务器安全软件好坏的重要关键点之一。但是网马扫描性能过高和过都至关重要,业界对网马扫描功能的评定还是有一定参考的,谁的功能更完善,谁的使用更加便捷,笔者将全面展示360漏洞扫描和网站安全狗网马扫描能力,通过360漏洞扫描和网站安全狗病毒标准样本包进行查杀测试,所得到的扫描结果作为网马扫描能力强弱的参考;查杀速度测试,对目标文件进行扫描,所消耗的时间;系统资源占用情况分析,性能的提升,会不会造成对电脑系统资源占用的提升,我们将通过测试来共同探求;优缺点总结,总结360和网站安全狗的优点所在和不足之处,让用户对这两款网马扫描软件知根知底。
那么我们在接下来的这一个部分的测试中,将会和大家一起来对360漏洞检测和网站安全狗的网马扫描能力进行测试。
测试环境:
参评软件:360漏洞检测、网站安全狗
评测项目及评测数据:
操作简易度
首先说下360漏洞检测,需要先到360的webscan.360.cn注册一个帐号,然后添加站点,添加了站点。还有对站点进行管理员认证,认证结束还要下载一个php漏洞扫描文件到站点目录下(目前360只支持php的扫描)。在网站安全狗方面,直接安装网站安全狗,即可支持自定义路径扫描、自定义网站、全站扫描多功能扫描。
在抽检360二级域名中,用了一个花生壳的动态免费二级域名,这个在360无法添加。通过进一步咨询客服,对方回答要收取一定的费用,不支持二级域名,带端口域名也一样不支持。添加开始检测,提示检测失败,360网站安全检测客服让我进行重新覆盖安装,覆盖后还是出现一样的问题。
站点深度
一、扫描范围
1、360多站点扫面功能,要扫描几个站点就要添加几个站点认证,每个站点都要下载一个php的后门漏洞扫描文件,不支持任意扫描等用户自主简洁的操作扫描方式。
2、网站安全狗采用一键安装,扫面覆盖面是*选取,什么站点都任意扫描,自定义站点、自定义路径,全站扫描。
二、支持的站点类型:
360的站点认证,网站安全狗也是有这个认证过程的,网站安全狗的云安全中心的web漏洞扫描这块也需要这样一个站点认证的过程。网站安全狗的认证支持*域名,支持二级域名,支持带端口的域名,相对来说支持更广,360只支持www的*域名的站点。
谈到这个,我们回顾360的网站漏洞扫描,据了解是通过拿上一次扫描结果基础上直接进行新的扫描的,所以扫描速度相对来说很快。网站安全狗的云安全中心的漏洞扫描,是实时进行扫描虽然在速度上没有360快,但在准确率上,实时的扫描应该是比通过历史记录查杀来的可信。
在扫描的内容中,360目前支持php类型的网马扫描,什么asp、aspx、html,黑链、挂马、畸形文件(夹),均不支持,网站安全狗在这方面就比较全面,均可扫描。
1)360只支持php语言的网马文件,其他语言编写的网马后门是无法扫描的。而网站安全狗支持所有类型的网马扫描。
2)先就360支持的网马扫描做一个对比,同一个目录下php网马扫描做一个对比:
360:
图1
网站安全狗:
图2
对比结果:
同一个目录下的php网马,网站安全狗均可扫描出来,360只扫到4个。图上框起来的网马文件,大家注意到,网站安全狗的扫描类型跟360的扫描类型不一致。查看该文件,该文件的最后一行包含一句话木马特征,但是一句话特征之前已经有其他的网马特征了,网站安全狗先行匹配到了所以显示的不是一句话木马,这个说明的网站安全狗支持的网马特征库比较全面。
3)进一步测试,把刚才的一些网马取一些出来修改了后缀名,看下扫描结果:
360:
图3
网站安全狗:
图4
对比结果:
360只扫描出1个,网站安全狗把所有后缀类型的网马都扫描出来。360只能识别到php后缀类型的网马文件,把图3中的webshell.php的后缀改为asp,结果就扫描不出来。修改后的各种后缀类型网马,网站安全狗均可扫描到,这证明网站安全狗应该不是单单根据后缀类型来扫描,而是根据文件里面的网马特征来匹配。不管什么样的后缀类型,都可以扫描出来。网站安全狗还可以到网马查杀-扫描设置-目标文件来指定需要扫描的后缀类型文件,自主选择扫描范围。
再来一组加密文件跟一句话变形的网马扫描结果对比:
360
图5
网站安全狗:
图6
图7
对比结果:
加密后的文件、一句话变形文件,360都无法扫描出来。加密文件、一句话木马变形,网站安全狗都可以扫描出来。图7,网站安全狗还支持畸形文件的扫描;有兴趣童鞋的可以自己弄几个样本试一下,对比下结果。而且图5中的扫描结果的文件修改时间肯定是个bug,不知道是根据什么时间来取的,反正结果不对。
总评
综合这两款软件的测试成绩我们可以看到,在扫描结果方面,360只支持扫描不支持对扫描结果进行处理,扫描结果只能查看,不支持在线处理。这点网站安全狗可以直接进行处理、隔离、添加白名单,网马上报等等操作,灵活许多,相对优于360。 360通过web方式扫描,速度慢,而且还会占用一定的带宽,站点一多如果同时扫描多个站点肯定会影响服务器的一些性能,而网站安全狗则在这方面限制没那么多,性能略优
上一篇: Adore-ng-0.56源码分析
下一篇: 在百度每一次大小更新的时候我们做一些什么