查看: 27321|回复: 265
收起左侧

[讨论] 国内外12款杀毒软件启发及主防测试[原创][加入趋势,诺顿]

  [复制链接]
houtiancheng
发表于 2016-11-5 16:23:14 | 显示全部楼层 |阅读模式
本帖最后由 houtiancheng 于 2016-11-30 12:34 编辑

首先要说明的是,虽然标题看起来是一个横向对比测试,但是由于测试的一些不足,请大家谨慎对比,自行评判

本文的最重要的目的实际上是给大家展示一下,在新病毒出现到杀软入库之间的这段空档期里,杀软的表现到底如何,是否能给我们足够的保护。毕竟,就算有云技术的加持,我们还是有可能遇上新鲜出炉的病毒,这时候我们能依赖的就只有启发和主防了。而病毒/木马这种东西,不论平时(遇到旧病毒)的保护有多好,万一新毒,中招了,损失就会很大。(ps:其实我本来只是想了解下到底有没必要买个SB终身码,靠AV到底行不行的来着……)

发现还有是有人不理解我的测试啊,都在说断网测试无意义……
我只想说,我是在测AV对新威胁的应对能力。这种测试除了断网别无他法(参照AVC对启发主防测试要断网的解释)。
之所以断网是为了模拟你遇到新威胁的情景,而不是为了查看断网查杀率,这有本质的区别。(难道你遇到新毒的时候云一定已经入库?不见得吧,那么在没有云入库的情况下,断不断网有什么区别呢?病毒可不会等你二扫再发作)
如果不能理解就算了……看看就好……

测试方法介绍+关于的测试中一些不足的说明:
1、测试的方法是下载各个杀软最新离线安装包,然后断网安装测试(所以没有云加成)。因此,每个杀软的病毒库更新日期都有所不同,起点不同则结果可能不同,请周知。唯一确定的是,所有杀毒软件的病毒库日期都在10月20日之前。(如果反响好的话下次可以试试对齐毒库日期~)
2、启发测试的部分,所用的样本来自于卡饭上的精睿毒包,日期是1020,1021,2024,1025,1026,1027,1028,1031,1101,1102,1103,共11天,550个样本。精睿毒包的质量大家都清楚,一是它里面的样本很有可能不是最新的,在很久前就出现过,因此虽然所有包都是在杀毒软件更新之后发布的,不排除有一些样本已经被厂商所入库过(确实如此,有多样本都报的不是启发)。另一方面,有一些样本可能是误报,或者已经没有感染性,因此各家厂商的报毒敏感性上的差异也会导致结果的差异。
3、主防测试的部分,样本为10月20日之后的勒索病毒样本,具体url见附件。之所以是勒索,一是它最近很流行,二是其造成的损失确实很大。一般的病毒进行破坏,重装一下就好了。如果是盗号木马之类,有了密保手段,也可能可以找回。但是由于大部分人没有及时备份的习惯,因此一旦文件被加密,就完全跪了。
4、用的是虚拟机进行测试,系统为Windows 7 SP1 32bit 英文版,没有更新最新的补丁,存在漏洞被exploit利用的可能。(但是……勒索病毒真的有这么高级么= =)
5、其他问题……嗯……你们来加吧~

因此,本测试最佳食用方法是将此处的扫描结果和样本区用当天的毒库对精睿毒包的扫描结果进行对比,这样你就知道这些杀软在面对新威胁和稍旧的威胁时查杀率的区别了。

但是楼主也是为此测试忙了好多天,下载安装一堆杀软,一堆虚拟机snapshot,你们知道让BD既可以联网激活,又要保证病毒库不更新有多坑爹么TAT……然后扫完还要手动统计……所以……嗯……求不喷

参测杀软(病毒库更新日期):
1. Dr. Web  11(20161012)
2. ESET(EIS)(20161016)
3. AVG Free(20161013)
4. Kaspersky(KIS)(20160916……)
5. AVIRA(20161017)
6. BitDefender Free(20160928……)
7. Avast(20160818………………这个真的有点早了,结果看看就好,但也可用来看看日期长了会怎么样……)
8. 费尔(20161020)
9. 360杀毒(木有卫士)(20160913……虽然很早,但是结果很神奇……后详)
10. 火绒(20161020)
11. Norton Security(NS 22.8) (20160915……)
12. TrendMicro(趋势)(安装包签名是20160831,但毒库版本是8.137.95,应该是n年前的了,所以结果的参考性不大)

ps:如果乃们还有什么想测的,如果能提供签名在10月20日之前的离线安装包,那我也可以测试一下~

pps: 关于SEP14,通过迅雷离线曲折地下载到了1008-001的升级包。(感谢@rrorr)但是,升级的时候报错,扫描用的病毒库定义没有升级成功,所以没法测试扫描。不过主防应该是更新成功了,所以进行了主防测试,结果是在1-2的时候被加密,具体情况请参考下面的第二张图。不过这个结果有可能有问题:
@wangkaka: 诺顿sonar是云,主防,病毒库,启发联动,少了云sonar半残但还有用,少了毒库,sonar就完全废了

为了太长不看的各位,首先上结果:


(启发)扫描测试:
每个杀软的第一行是实时防护的结果(开启了扫描所有文件类型的选项),第二行是手动扫描追加的结果

10201021102410251026102710281031110111021103小计修复总查杀查杀率
Dr.Web
10
5
4
9
7
12
7
11
4
8
4
81
 
89
16.18%
2
1
1
  
2
1
1
   
8
1
  
ESET
9
11
7
12
12
13
5
13
8
11
7
108
 
127
23.09%
5
1
3
3
1
1
 
2
2
1
 
19
   
AVG
6
12
10
6
7
9
5
14
9
7
8
93
 
105
19.09%
5
1
 
1
 
2
1
1
1
  
12
   
Kaspersky
4
5
3
1
4
6
 
9
6
5
3
46
 
60
10.91%
 
3
1
2
2
1
1
2
1
1
 
14
   
AVIRA
13
9
8
6
13
12
3
13
13
7
5
102
 
114
20.73%
3
  
1
 
1
3
2
1
1
 
12
   
BD Free
3
5
2
3
6
5
4
11
9
9
4
61
 
68
12.36%
 
2
 
1
1
1
1
1
   
7
   
Avast
0
2
4
4
7
4
2
8
5
4
5
45
 
48
8.73%
     
1
 
2
   
3
   
费尔
2
6
1
3
4
5
8
3
2
2
3
39
 
62
11.27%
2
2
4
2
1
1
1
1
1
2
6
23
   
360杀毒           
0
15
148
26.91%
13
13
12
13
14
13
8
19
16
11
16
148
   
火绒
12
7
4
6
12
4
2
6
6
5
4
68
78
14.18%
1
0
2
3
1
1
0
0
0
2
0
10
   
NS
0
88
16.00%
9
8
8
11
9
7
7
8
8
6
7
88
   
TrendMicro
1
1
1
3
1
7
7
1.27%
           
0
   



ps: NS和360的实时防护似乎都对.vir不感冒……
@zmyx279323199: 360不监控vir这类文件

主防(双击)测试:
只要被加密了文件就算失败,双击的顺序是按照样本发布在卡饭的时间,从早到晚编号为1~8,如1-2则是第1个包内的第2个样本。
按顺序,只要有一个被过了,就不再测试。

1-11-21-32-12-2345-15-2678
Dr.WebBBBBFailed-B       
            
ESETBBFailed-B         
            
AVGSSSBBBBBBBB
            
KasperskyBFailed-B          
            
AVIRA?SSFailedS       
            
BD Free?BBBBBBBBBBB
            
Avast?Failed          
            
费尔?Failed          
            
360杀毒?Failed          
            
火绒SSSSSFailed
            
NS?SBFailedS
            
TrendMicro?Failed-B


S=Signature,通过扫描(启发)直接防御
B=Behaviour,通过主防拦截
Failed,失败,文件被加密
Failed-B,加密后主防才弹出来删除病毒
?=AV没有弹框,但样本也貌似没有行为……(不知道是不是勒索downloader,断网就没动作了)


关于主防测试, 我知道很多人会说这里面有些根本没有主防, 那就就当双击测试看,但是结果仍然不乐观。
除了神器ATC和IDP,其他基本就是秒跪的节奏,这……我还是老老实实去用沙盘吧……
另外,蜘蛛的防勒索能力这次是出乎我的意料,本以为会更好一点的。
后来补充测试的NS也是出乎意料,可能SONAR防勒索在9月份还不是很行吧。


总结:
经过测试,我们可以看到,在遇到新威胁的时候,这些杀软全部没能很好地保护我们的电脑。
在扫描测试中,最高的查杀率也不过四分之一,这种比例与面对旧威胁时90%以上的比率形成了鲜明对比。
在AVC的测试中,最差的杀软也能达到90%,这种结果给了我一个错误的信号,让我以为当今的杀软已经能够有效面对任何形式的威胁,但明显,事实不是如此,四分之一的查杀率完全给不了我任何安全感。
这意味着,以如今的启发技术,离杀软厂商所宣称的保护级别还差得远。
这也是为什么我后来进行了主防测试的原因。我们面对未知威胁,除了启发,也只能靠主防了。
但是……就像你们所看到的那样,主防成绩也非常的不理想
除了BD的ATC和AVG的IDP,其他杀软都在cyber病毒的几个相似变种中被突破。考虑到cyber病毒应该早在今年年初就已经开始流行了,我认为带有8~10月份病毒库的杀毒软件并不能以病毒库更新不及时为理由为自己的失败开脱。
总结而言,我认为目前的"新威胁"防御技术仍有很大的进步空间,在面对新病毒的时候效果还很不理想。因此,我认为目前将沙盘在内的技术与杀毒软件结合使用才是防御新威胁的有效方法。


一大波过程中的各种图片和记录(开始测试的时候没想到放上来,所以没截图):
全部虚拟机snapshot:
参测.JPG
SEP14的遇到勒索样本1-2后的情况:
failed-1-2.JPG
NS
scan.JPG
sonar.JPG
failed_2-1.JPG

Dr. Web
scan.JPG
AVG

IDP1.JPG
AVIRA
cure1.JPG
BD
1-3ATC.JPG
AVAST
failed_ransom.JPG
费尔
decompress.JPG
360
360quarantine.JPG
火绒
failed-3.JPG
趋势:
安装包签名为20160831
sig.JPG
装出来版本显示20161105……
def.JPG
scan.JPG
failed_1-2.JPG


另外,还有个问题……为何ATC拦截了病毒之后有时不删病毒文件?
@ccboxes: BD的评分制主防对刚刚超出评分线的疑似文件只结束不删除

ATC-non-delete.JPG


最后,给看到这里的童鞋的彩蛋~
在SandBoxie下面把所有勒索病毒同时打开!
run_all.JPG

各种勒索信
multicyber.JPG

红线的是前一个病毒的勒索信,被后面的病毒再次加密233333
上方是SB环境内的文件夹,下方是实际的文件夹,确实是完美防御无压力~
compare.JPG

不过中间SB的GUI被搞崩了……
stop.JPG



好了,暂时到这里,多谢各位的支持!










ransom_url.7z

351 Bytes, 下载次数: 92

评分

参与人数 18分享 +3 人气 +20 收起 理由
小小龙 + 1 很给力!
認真就輸了! + 1 N年没来了
送信Y + 1 版区有你更精彩: )
aice7837 + 1 版区有你更精彩: )
vocation1985 + 1 感谢提供分享

查看全部评分

wudimeisuowei
发表于 2016-11-5 16:27:38 来自手机 | 显示全部楼层
为什么没有诺顿?我感觉诺顿的启发和主防应该是所有杀软里的上等品
houtiancheng
 楼主| 发表于 2016-11-5 16:30:36 | 显示全部楼层
wudimeisuowei 发表于 2016-11-5 16:27
为什么没有诺顿?我感觉诺顿的启发和主防应该是所有杀软里的上等品

SEP14没找到完整毒库的包……
230f4
发表于 2016-11-5 16:31:35 | 显示全部楼层
本帖最后由 230f4 于 2016-11-5 17:00 编辑

楼主说:

在新病毒出现到杀软入库之间的这段空档期里,杀软的表现到底如何,是否能给我们足够的保护。毕竟,就算有云技术的加持,我们还是有可能遇上新鲜出炉的病毒,这时候我们能依赖的就只有启发和主防了。而病毒/木马这种东西,不论平时(遇到旧病毒)的保护有多好,万一新毒,中招了,损失就会很大。


赞同(๑˙ー˙๑)

ps:关于SEP14,我没找到完整毒库的包……如果谁有可以提供一下~而如果是缩水毒库版……扫描没试,但是主防在第二个勒索的时候就跪了……


这。。。(๑˙ー˙๑)
zmyx279323199
发表于 2016-11-5 16:49:39 来自手机 | 显示全部楼层
360不监控vir这类文件
a17273896
发表于 2016-11-5 16:50:46 | 显示全部楼层
铁壳,咖啡,趋势,应该加上任何一款吧!
来自安卓客户端来自安卓客户端
聆听落雨
发表于 2016-11-5 16:53:01 | 显示全部楼层
支持一下吧
fireherman
发表于 2016-11-5 16:57:22 | 显示全部楼层


佩服楼主的毅力和恒心,换着我就没这样的耐心。

一个杀软都能搞得焦头烂额。

rrorr
发表于 2016-11-5 17:01:28 | 显示全部楼层
houtiancheng 发表于 2016-11-5 16:30
SEP14没找到完整毒库的包……

前排支持
选暗网客户端应该就是完整裤了吧
离线病毒库更新也有的
星云劫
发表于 2016-11-5 17:01:45 | 显示全部楼层
支持楼主,辛苦了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|讨论汇| 卡饭论坛  

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.1( 苏ICP备07004770号 ) GMT+8, 2017-1-17 12:54 , Processed in 0.327941 second(s), 10 queries , Memcache On.

快速回复 返回顶部 返回列表