查看: 33796|回复: 156
收起左侧

[技术原创] 【第二弹】11款免费杀软启发和主防测试 +【下期20款测试预告】

  [复制链接]
houtiancheng
发表于 2016-12-12 21:07:03 | 显示全部楼层 |阅读模式
本帖最后由 houtiancheng 于 2016-12-13 13:53 编辑

首先是预告:
上次那个测试最大的问题就是杀软的毒库日期不对齐,因此可比性很低。
这次我花了好几天,收集、安装和更新了20个国内外最知名的杀软,并对齐了毒库更新日期至12月12日,相差时间只有几个小时。
测试还是按照之前的套路,一方面是靠毒包来测试启发,一方面是通过行为明显的勒索病毒来测试主防,均在断网环境下测试,且为默认设置。

在接下来的一个月中将会陆续在样本区收集病毒和毒包来测试~

来看一下杀软综合症急性发作会发生什么事吧
参测杀软虚拟机截图.JPG

我感觉有点战斗力的杀软都在这儿了(EEK之类的小众杀软实在是懒得搞了……)。


其次是主菜:
免费杀软的测试,参测的全部为免费杀软(除了DrWeb,8元也基本算免费了)。
之所以只测免费,主要是精力问题,但同时我也觉得安全软件还用破解版实在是……自相矛盾……

测试的方法就是双击+精睿包,断网,默认设置,双击样本为样本区的勒索病毒。
整个测试分成两个部分,一个是1106病毒库的测试,一个是1206病毒库的测试,样本不同。测试系统为Win7 32bit 英文版,Virtual Box虚拟机测试(Windows Defender测试为Win10系统)。

测试之前,关于测试的方法(特别是断网):面对最新的,刚刚编写出来的的病毒,云特征是无力的(云主防除外)。
断网不是目的,断网查杀率也不是目的。目的是要模拟遇见最新病毒的情形。
而要模拟遇到最新病毒的情况,连AVC这种专业机构也只能借助于锁库和断网。
我的测试理念和AVC的相同,所以就在下方摘录AVC2015年Retrospective/Proactive测试对于断网的说明。见Description段:https://www.av-comparatives.org/ ... c_beh_201503_en.pdf
如有质疑,请先阅读完这些文段,多谢。
ps: AVC的pdf不允许复制,所以只能以截图形式呈现,见谅。
AVC_explaination_1.JPG


AVC_explaination_2.JPG
AVC_explaination_3.JPG



废话不多说,那就开始吧~

测试结果对照表:
FFailed,文件被加密
BBehavioural,主防杀/行为杀
SSignature,入库杀/启发杀
DDelayed,加密后才杀
MMissed,无反应,文件未
RDRollback(Dirty),加密后成功回滚,文件恢复,但有残余病毒文件
(OL)联网测试
-PPartially,部分成功
ASAuto-Sandboxed,自动入沙
WWarning,弹出警告

ps:精睿包的结果表示查杀百分比,由于精睿包是50个,所以例如杀20个就是40%,那么结果那栏就写40.

参测杀软:
BDF=BitDefender Free
KIS=Kaspersky Internet Security
DW=Dr. Web Security Space
AVG=AVG Free
CIS=Comodo Internet Security
360SD=360杀毒(开启红伞和BD引擎)
360+360SD=360卫士+杀毒(杀毒开启红伞和BD引擎)
AVAST=AVAST Free AntiVirus
360TS=360 Total Security(开启红伞和BD引擎)
HuoRong=火绒
WD=Windows Defender(Win10)
KFA=Kaspersky Free Antivirus


一、全部杀软的更新日期都是11月6日的凌晨,相差2小时以内,所有样本均在升级时间之后发布。

ps: 当时BDFree死也自动升级,又无法手动,于是就直接用9月28日的旧毒库了,但是成绩依然傲人。Comodo我直接用了新毒库,反正它那个零查杀的毒库也没什么用……360TS也是新毒库,不过反正都是miss,新旧也就没区别了……
参测样本:
卡饭帖子ID子文件名发帖日期类型
206763420161202215123Ransome
206742820161201113139Ransome
2067529shade20161202025033Ransome
2067529cerber20161202025033Ransome
206752520161202012418Ransome
206760420161202180725Ransome
206688720161126213256Remote Control
2066985SynTPHelpersView20161127190116Remote Control
2066985信誉货价表20161127190116Remote Control

测试结果:
No.BDF0928KIS1106DW1106AVG1106CIS1205360SD1106AVAST1106AVIRA1106360TS1129
2067634BBBBAS, SMMMM
2067428DB-RDDDASMFFF
2067529BBBBASSBSM
2067529BBBMASMMMM
2067525BBBBAS, BSFFF
2067604BMBBASMMMM
2066887BMMMS-PMMMM
2066985BMSASMMMM
2066985BB-PS-PMMMMM


2067428这个样本真是厉害了,竟然过了ATC!
除了卡巴靠回滚勉强防御住了意外,其他全部挂了。

二、这次全部杀软的更新日期都是12月6日的凌晨,相差2小时以内,所有样本均在升级时间之后发布。

参测样本:

卡饭帖子ID帖子名称发帖日期类型
2068080Crypt0L0cker Virus #2 8/56 16.12.06 20161206152225Ransom
2068034Crypt0L0cker Virus #1 #6/56 #16.12.0620161206093935Ransom
2068033Cerber #1 #6/56 #16.12.0620161206092728Ransom
2068036Cerber #2 #6/50 #16.12.0620161206094808Ransom
2068028精睿20161206Collection
2068130GoldenEye | Ransomware (a variant of Diskcoder.Petya)20161207014605Ransom
2068202Ransomware #NsisInject20161207184106Ransom
2068241Ransom.Petya20161208013723Ransom
2068306Ahpdate.exe Cerber 勒索20161208141920Ransom
2068485cerber刚刚更新,第二弹20161209211525Ransom
2068497Cerber #NsisInject20161209224153Ransom
2068420Cerber Ransom20161209112539Ransom
2068465cerber勒索(内有地址,免FQ)20161209175926Ransom
2068258精睿20161208Collection
2068393精睿20161209Collection



测试结果:

No.BD FreeAVG FreeDr.WebHuoRongCISKFAAVAST FreeAVIRA Free360TS360+360SDWD
2068080BBBMAS-W, MMMMMMM
2068034BBBSAS-W, MMMMMMM
2068033BBBFAS-W, BFFFFFF
2068036BBBFAS-W, BFFFFFF
2068028383224160403238243826
2068130BFF(OL) AS-W, B
2068202BBBF(OL) AS-W, BFFFFFF
2068241BFF
2068306BBB
2068485BBB
2068497BBB
2068420BBB
2068465BBB
2068258322016
206839320146


我一般不喜欢总结……请大家自己看客观的数据,然后从你看到的数据中做出自己结论吧~

但如果非要总结的话,那就是主防赛高。
没有主防的杀软都死得很惨,即使有卡巴引擎的KFA也不例外。

像是360这种云主防……断网真的就啥都没有了,miss那么多我都想骗保一下它的勒索先赔了2333。
以至于后来那些没主防的杀软我都懒得测试了,所以右边有部分空白。反正除非恰好入库了,否则都是防御失败的下场,毫无悬念。


有件有意思的事情,那就是CIS的自动入沙我觉得对Exploit之类的东西效果不会好,例如测试一最后一个样本,明面是运行了可执行的程序但是CIS毫无反应。

这次测试有个比较重要的发现,那就是AVG之所以在之前的测试那么厉害,很大程度上是因为它对Cerber系列的勒索特别敏感。而一旦对上新的勒索病毒,比如2068130和2068241的Petya病毒,就一下子不行了。这让我对AVG的防勒索效果有了新的认识,也让我再次感受到了ATC的强大……也正是这个原因,正在用AVG的本人综合症又犯了,所以才有了预告中的测试orz



懒癌发作,不想上过程图了,有空有心情的时候再补吧










评分

参与人数 15技术 +1 原创 +1 人气 +14 收起 理由
屁颠屁颠 + 1 16年年度奖励
Tarchia + 1 版区有你更精彩: )
pkuyzy + 1 辛苦了:)
windows7爱好者 + 1 我怎么没发现过此贴...
qftest + 1 楼主辛苦

查看全部评分

ELOHIM
发表于 2016-12-12 21:21:07 | 显示全部楼层
WD 真的很差。  辣么多的 F M..

Ming丶
发表于 2016-12-12 21:21:48 | 显示全部楼层
楼主精力真是旺盛哈哈哈,真想看看GD FS这些杀器的表现
chenxipg
发表于 2016-12-12 21:25:54 | 显示全部楼层
不要用破解版本的,如果做评测发个球激活码的帖子肯定有人给
我就是XXX
发表于 2016-12-12 21:34:31 | 显示全部楼层
AVG  AVG  AVG  
yushu280
发表于 2016-12-12 21:36:56 | 显示全部楼层
本帖最后由 yushu280 于 2016-12-12 21:39 编辑

楼主,能不能增加sep 14与fscs?建议sep14开启A杀
houtiancheng
 楼主| 发表于 2016-12-12 21:39:47 | 显示全部楼层
yushu280 发表于 2016-12-12 21:36
楼主,能不能增加sep 14与fscs?建议sep14开启A杀

已经有了
houtiancheng
 楼主| 发表于 2016-12-12 21:40:23 | 显示全部楼层
ELOHIM 发表于 2016-12-12 21:21
WD 真的很差。  辣么多的 F M..

WD现在在我眼中也就是个云杀软了
yushu280
发表于 2016-12-12 21:42:04 | 显示全部楼层

支持楼主,期待ing!
lghcx
发表于 2016-12-12 21:56:37 | 显示全部楼层
断网其实真没啥意义,现在电脑不联网的有多少,而且有的杀软比如360,趋势人家靠的就是云,你把人家的优势砍掉了,还说人家不行
来自安卓客户端来自安卓客户端
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-10-19 11:48 , Processed in 0.134489 second(s), 10 queries , MemCache On.

快速回复 返回顶部 返回列表