如何有效确保终端安全

Kaspersky Total Space Security

　　这款产品，尤其是 Anti-Virus 6.0 for Windows Workstations 组件，与其它参评产品相比，具有相当大的功能优势。其所包含的功能从文件反病毒到主机入侵预防系统(即反黑客系统)，还包括了防火墙和包过滤功能。

　　不同之处

　　Kaspersky 是我们评测的众多安全软件中系统嵌入度较高的一款产品，他与Windows内核SSDT 区域的53个功能函数挂钩。这能够让它更好的控制系统并阻止恶意软件。

　　除了众多的 SSDT hooks, Kaspersky 还与Import Address Tables (IATs)中的不少功能有挂钩，包括诸如tcpip.sys等一系列内核驱动。

　　扫描结果

　　总体来说，Kaspersky在扫描测试中表现不错，在2297个恶意软件样本文件中仅漏掉了122个文件。

　　重新封装恶意软件扫描

　　在这项测试中，Kaspersky表现最佳，从全部27个重新封装的恶意软件包中检测出了17个。

　　商业后门软件扫描

　　Kaspersky在这项测试中表现一般，仅检测出CANVAS HTTP下载器代码(常见的HTTP下载器)。这个代码和很多恶意软件代码类似，主要用来从互联网下载可执行的代码。恶意软件作者经常使用这个技术将体积很小的下载器发送给受害者(比如通过邮件)，然后利用下载器下载最终的恶意软件。黑客们使用下载器的原因很多，比如获取访问权限，确保系统负载等。

　　在我们试图通过CANVAS调用可执行文件以及试图载入rootkit并窃取密码hashe文件时，均被Kaspersky阻挡。该防火墙如我们所期望的那样阻止了试图控制电脑的后台连接,同样也阻止了我们试图加载内核rootkit的动作。向LSASS.exe进程注入密码截取代码的工作也被Kaspersky发现并阻止。除此之外，Kaspersky还将CANVAS标记为可疑程序，以后每次运行都会给出风险提示。

　　防火墙测试

　　从某种角度上讲，Kaspersky是一款非常好的防火墙产品。它可以自动学习该系统上的常见操作，并且可以让用户手动进行规则设置。另外用户可以简单的将安全级别设置为“高度安全”，一旦有程序不符合安全规则，就会有提示给用户，让用户决定是否允许该程序执行。防火墙的手工设置过程非常简单。

　　Kaspersky防火墙也有不足之处。当面对大量数据包需要检测时，系统会有5-10秒的假死状态。而测试中的其它软件则没有这样的情况。

　　(Credit: Securus Global)