【第二弹】11款免费杀软启发和主防测试 +【下期20款测试预告】

houtiancheng

首先是预告：
上次那个测试最大的问题就是杀软的毒库日期不对齐，因此可比性很低。
这次我花了好几天，收集、安装和更新了20个国内外最知名的杀软，并对齐了毒库更新日期至12月12日，相差时间只有几个小时。
测试还是按照之前的套路，一方面是靠毒包来测试启发，一方面是通过行为明显的勒索病毒来测试主防，均在断网环境下测试，且为默认设置。

在接下来的一个月中将会陆续在样本区收集病毒和毒包来测试~

来看一下杀软综合症急性发作会发生什么事吧 ：


我感觉有点战斗力的杀软都在这儿了（EEK之类的小众杀软实在是懒得搞了……）。


其次是主菜：
免费杀软的测试，参测的全部为免费杀软（除了DrWeb，8元也基本算免费了）。
之所以只测免费，主要是精力问题，但同时我也觉得安全软件还用破解版实在是……自相矛盾……

测试的方法就是双击+精睿包，断网，默认设置，双击样本为样本区的勒索病毒。
整个测试分成两个部分，一个是1106病毒库的测试，一个是1206病毒库的测试，样本不同。测试系统为Win7 32bit 英文版，Virtual Box虚拟机测试（Windows Defender测试为Win10系统）。

测试之前，关于测试的方法（特别是断网）：面对最新的，刚刚编写出来的的病毒，云特征是无力的（云主防除外）。
断网不是目的，断网查杀率也不是目的。目的是要模拟遇见最新病毒的情形。
而要模拟遇到最新病毒的情况，连AVC这种专业机构也只能借助于锁库和断网。
我的测试理念和AVC的相同，所以就在下方摘录AVC2015年Retrospective/Proactive测试对于断网的说明。见Description段：https://www.av-comparatives.org/ ... c_beh_201503_en.pdf
如有质疑，请先阅读完这些文段，多谢。
ps: AVC的pdf不允许复制，所以只能以截图形式呈现，见谅。








废话不多说，那就开始吧~

测试结果对照表：

F	Failed，文件被加密
B	Behavioural，主防杀/行为杀
S	Signature，入库杀/启发杀
D	Delayed，加密后才杀
M	Missed，无反应，文件未
RD	Rollback(Dirty)，加密后成功回滚，文件恢复，但有残余病毒文件
(OL)	联网测试
-P	Partially，部分成功
AS	Auto-Sandboxed，自动入沙
W	Warning，弹出警告

ps：精睿包的结果表示查杀百分比，由于精睿包是50个，所以例如杀20个就是40%，那么结果那栏就写40.

参测杀软：
BDF=BitDefender Free
KIS=Kaspersky Internet Security
DW=Dr. Web Security Space
AVG=AVG Free
CIS=Comodo Internet Security
360SD=360杀毒（开启红伞和BD引擎）
360+360SD=360卫士+杀毒（杀毒开启红伞和BD引擎）
AVAST=AVAST Free AntiVirus
360TS=360 Total Security（开启红伞和BD引擎）
HuoRong=火绒
WD=Windows Defender(Win10)
KFA=Kaspersky Free Antivirus


一、全部杀软的更新日期都是11月6日的凌晨，相差2小时以内，所有样本均在升级时间之后发布。

ps: 当时BDFree死也自动升级，又无法手动，于是就直接用9月28日的旧毒库了，但是成绩依然傲人。Comodo我直接用了新毒库，反正它那个零查杀的毒库也没什么用……360TS也是新毒库，不过反正都是miss，新旧也就没区别了……
参测样本：

卡饭帖子ID	子文件名	发帖日期	类型
2067634		20161202215123	Ransome
2067428		20161201113139	Ransome
2067529	shade	20161202025033	Ransome
2067529	cerber	20161202025033	Ransome
2067525		20161202012418	Ransome
2067604		20161202180725	Ransome
2066887		20161126213256	Remote Control
2066985	SynTPHelpersView	20161127190116	Remote Control
2066985	信誉货价表	20161127190116	Remote Control

测试结果：

No.	BDF0928	KIS1106	DW1106	AVG1106	CIS1205	360SD1106	AVAST1106	AVIRA1106	360TS1129
2067634	B	B	B	B	AS, S	M	M	M	M
2067428	D	B-RD	D	D	AS	M	F	F	F
2067529	B	B	B	B	AS	S	B	S	M
2067529	B	B	B	M	AS	M	M	M	M
2067525	B	B	B	B	AS, B	S	F	F	F
2067604	B	M	B	B	AS	M	M	M	M
2066887	B	M	M	M	S-P	M	M	M	M
2066985	B	M	Ｍ	S	AS	M	M	M	M
2066985	B	B-P	Ｍ	S-P	M	M	M	M	M

2067428这个样本真是厉害了，竟然过了ATC！
除了卡巴靠回滚勉强防御住了意外，其他全部挂了。

二、这次全部杀软的更新日期都是12月6日的凌晨，相差2小时以内，所有样本均在升级时间之后发布。

参测样本：

卡饭帖子ID	帖子名称	发帖日期	类型
2068080	Crypt0L0cker Virus #2 8/56 16.12.06	20161206152225	Ransom
2068034	Crypt0L0cker Virus #1 #6/56 #16.12.06	20161206093935	Ransom
2068033	Cerber #1 #6/56 #16.12.06	20161206092728	Ransom
2068036	Cerber #2 #6/50 #16.12.06	20161206094808	Ransom
2068028	精睿20161206		Collection
2068130	GoldenEye | Ransomware (a variant of Diskcoder.Petya)	20161207014605	Ransom
2068202	Ransomware #NsisInject	20161207184106	Ransom
2068241	Ransom.Petya	20161208013723	Ransom
2068306	Ahpdate.exe Cerber 勒索	20161208141920	Ransom
2068485	cerber刚刚更新，第二弹	20161209211525	Ransom
2068497	Cerber #NsisInject	20161209224153	Ransom
2068420	Cerber Ransom	20161209112539	Ransom
2068465	cerber勒索（内有地址，免FQ)	20161209175926	Ransom
2068258	精睿20161208		Collection
2068393	精睿20161209		Collection

测试结果：

No.	BD Free	AVG Free	Dr.Web	HuoRong	CIS	KFA	AVAST Free	AVIRA Free	360TS	360+360SD	WD
2068080	B	B	B	M	AS-W, M	M	M	M	M	M	M
2068034	B	B	B	S	AS-W, M	M	M	M	M	M	M
2068033	B	B	B	F	AS-W, B	F	F	F	F	F	F
2068036	B	B	B	F	AS-W, B	F	F	F	F	F	F
2068028	38	32	24	16	0	40	32	38	24	38	26
2068130	B	F	F		(OL) AS-W, B
2068202	B	B	B	F	(OL) AS-W, B	F	F	F	F	F	F
2068241	B	F	F
2068306	B	B	B
2068485	B	B	B
2068497	B	B	B
2068420	B	B	B
2068465	B	B	B
2068258	32	20	16
2068393	20	14	6

我一般不喜欢总结……请大家自己看客观的数据，然后从你看到的数据中做出自己结论吧~

但如果非要总结的话，那就是主防赛高。
没有主防的杀软都死得很惨，即使有卡巴引擎的KFA也不例外。

像是360这种云主防……断网真的就啥都没有了，miss那么多我都想骗保一下它的勒索先赔了2333。
以至于后来那些没主防的杀软我都懒得测试了，所以右边有部分空白。反正除非恰好入库了，否则都是防御失败的下场，毫无悬念。


有件有意思的事情，那就是CIS的自动入沙我觉得对Exploit之类的东西效果不会好，例如测试一最后一个样本，明面是运行了可执行的程序但是CIS毫无反应。

这次测试有个比较重要的发现，那就是AVG之所以在之前的测试那么厉害，很大程度上是因为它对Cerber系列的勒索特别敏感。而一旦对上新的勒索病毒，比如2068130和2068241的Petya病毒，就一下子不行了。这让我对AVG的防勒索效果有了新的认识，也让我再次感受到了ATC的强大……也正是这个原因，正在用AVG的本人综合症又犯了，所以才有了预告中的测试orz



懒癌发作，不想上过程图了，有空有心情的时候再补吧

ELOHIM

WD 真的很差。  辣么多的 F M..

Ming丶

楼主精力真是旺盛哈哈哈，真想看看GD FS这些杀器的表现

chenxipg

不要用破解版本的，如果做评测发个球激活码的帖子肯定有人给

我就是XXX

AVG  AVG  AVG  

yushu280

楼主，能不能增加sep 14与fscs？建议sep14开启A杀

houtiancheng

yushu280 发表于 2016-12-12 21:36
楼主，能不能增加sep 14与fscs？建议sep14开启A杀

已经有了

houtiancheng

ELOHIM 发表于 2016-12-12 21:21
WD 真的很差。  辣么多的 F M..

WD现在在我眼中也就是个云杀软了

yushu280

houtiancheng 发表于 2016-12-12 21:39
已经有了

支持楼主，期待ing！

lghcx

断网其实真没啥意义，现在电脑不联网的有多少，而且有的杀软比如360，趋势人家靠的就是云，你把人家的优势砍掉了，还说人家不行