测试：网银病毒全军覆没

  我们准备了一个病毒包，里面包含了随机挑选的100个高危病毒，病毒构成如下：25个针对不同网游的盗号病毒，25个网银病毒（其中Dyreza、Kronos两个病毒找到了Win10版），25个有窜改系统行为的广告病毒，25个蠕虫病毒，这也是当前主流的病毒种类——为了确保测试结果的准确性，在挑选时特意挑选了可以在Win 7上运行的病毒（这里要多说一句，Win 7的安全性其实也不是太差，至少不少Win XP平台的病毒就无法运行）。

      在电脑中安装一个纯净的Win 7（32位专业版）系统，安装后不修改任何默认设置，也不安装杀毒软件和安全辅助工具，再一一激活病毒，通过直观感受和系统监控软件冰刃记录病毒是否成功正常运行。然后在另外一台电脑中安装纯净的Win 10（32位专业版）系统，激活Windows Defender，用相同的方式记录监测数据。由于测试的病毒较多，为了防止病毒拖慢系统速度和相互之间出现冲突的情况，中途还原备份的纯净系统共25次，也就是一次测试一轮的网银病毒、网游病毒、蠕虫病毒和广告病毒。

  最终的测试结果如下：仅有21%的病毒在Win 10系统中成功运行、79%的病毒无法造成威胁。100%的网银病毒和蠕虫病毒无效，特别要说明的是，Dyreza和Kronos在Win 10中都被Windows Defender查杀了，表现不错；而网游病毒和广告病毒还做不到完全免疫。从这个测试结果来看，Win 10安全性远胜于Win 7。

关键：重构内核代码

  为什么Win 10安全性更好呢？Win 7内核是Windows 6.1，Win 10内核是Windows 10，看编号就知道差别巨大。变化的最大是内核中的Win32k程序，这个程序管理着系统的窗口显示、屏幕输出、消息传递、键盘鼠标触摸的输入输出等用户交互部分，同时也包括了图形设备接口和为DirectX提供的接口封装，这些也是病毒特别想染指的地方，微软曾经一个内核补丁就修复了30个Win32k漏洞，可见Win32k程序的安全性是有多差。

  缝缝补补三年又三年，如今已经有20多年历史的Win32k程序终于进行了代码重构，相当于“不按规则出牌”，重新制定一个游戏规则，于是把所有高级病毒弄懵了（蠕虫这种低级病毒就更不说了），导致要借助系统内核，特别是Win32k程序的高级病毒失效了，而网银病毒正好就是高级病毒的典型代表。

  总体而言，只要上网习惯好，Win10还是很安全的，尤其是网银病毒，想进入电脑门都没有（其实网银现在自己也有沙盒与安全机制）。

当然，制造病毒的人并不会善罢甘休，正在想办法攻破Win10，而微软也不会歇着，也会不断修补被发掘出来的漏洞并完善安全机制——不过，这就是后话了。

小贴士：在企业版本的Win10中，有一个Microsoft Hyper-V新功能，这个新的安全功能相当于给内核增加了一个保护套，大大增加了入侵难度，病毒的DLL文件想入侵内核就难上加难了。

亮点：虚拟分析技术保驾护航

        Win 10的虚拟分析技术是广告病毒减少的重要原因。如今笨的广告病毒越来越少，例如直接在桌面生成顽固图标，聪明的广告病毒越来越多，此类病毒都是模拟用户操作来传播广告了，杀毒软件很难辨别这个操作是用户主动操作的，还是病毒偷偷操作的，导致针对广告病毒的查杀率一直不够高。如今，Win 10对每一个软件或者APP对单独给予一个进程，也就是运行在一个独立的安全的虚拟环境中，一旦发现程序有不轨行为就立即终止，阻止广告病毒的发作。不过，实际测试中，依然有广告病毒可以成功运行，依然可以弹出广告页面或者下载广告页面，看来这个技术还有进一步改进的空间。

下期预告

       如果上网习惯不好，仅靠Windows Defender可以抵御全部安全威胁吗？下期我们就进行挂马网站、钓鱼网站、跨站攻击等测试，看看Windows Defender在复杂环境下是不是独挑大梁，已经对应的安全策略，敬请期待！