【第三弹】9款杀软启发及主防测试（BDF86.25%领先）

houtiancheng

第三弹终于来啦~
由于最近比较忙，所以现在采用随着测试的进程逐步发布结果的形式~
（所以可能更新比较慢……每次有新东西的话会修改标题，请持续关注~）

之前实在没空……帖子就烂尾在9款了，现在已改了标题。


没有看过前几弹的坛友们可以去瞧瞧：

国内外12款杀毒软件启发及主防测试[原创][加入趋势,诺顿]
http://bbs.kafan.cn/thread-2063566-1-1.html


【第二弹】11款免费杀软启发和主防测试 +【下期20款测试预告】
http://bbs.kafan.cn/thread-2068830-1-1.html


自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]
http://bbs.kafan.cn/thread-2069598-1-1.html


【第三弹测试热身】Cybereason RansomFree 防勒索测试
http://bbs.kafan.cn/thread-2071327-1-1.html




一、测试方法

参测杀软及病毒库信息：

缩写	全称	病毒库日期
KIS	Kaspersky Internet Security	2016-12-12
BDF	BitDefender Free	2016-12-12
Dr.Web	Dr.Web Security Space（大蜘蛛）	2016-12-12
CRF	CyberReason RansomFree	v2.1.1.0
AVIRA Free	AVIRA Antivirus Free（小红伞）	2016-12-12
HuoRong	火绒安全软件	2016-12-12
360TS	360 Total Security	2016-12-12
360+360SD	360安全卫士+360杀毒	2016-12-12
Filseclab	费尔智能杀毒 8	2016-12-12
AVG Free	AVG Free（大A）	2016-12-12
BG	Bull Guard	2016-12-12
FSCS	F-Secure Client Security	2016-12-12
HMPA	HitmanPro.Alert	v3.6.1 Build 574
TrendMicro	TrendMicro PC-cillin 2016（趋势）	2016-12-12
SEP	Symantec Endpoint Protection（铁壳）	2016-12-12
GDIS	GDATA Internet Security	2016-12-12
特殊参测者：
EIS	ESET Internet Security	2016-12-19
AVAST Free	AVAST Antivirus Free（小a）	2016-12-06
MES	McAfee Endpoint Security（麦咖啡）	2016-12-20
SSF	SpyShelter Firewall	2016-12-20
CIS10	Comodo Internet Security 10（毛豆）	2016-12-23
Emsisoft IS	Emsisoft Internet Security	2017-01-04

共16+3（毒库未对齐）+3（HIPS）=22款

Avast、Eset和ME由于虚拟机镜像错误，只能采用备份镜像，因此没有对齐病毒库到12月12日。
不过，由于测试周期一直到了1月12日，所以其测试结果也具有一定参考意义


此外，SSF、CIS10和Emsisoft由于是HIPS，种类有所不同，所以会在最后测试，如果没时间也可能暂时搁置……


样本信息：
收集期：2016年12月12日~2017年1月12日，共一个月的时间
来源：卡饭病毒样本区
类型：勒索病毒及远控木马（病毒类型的判断由样本贴跟帖的报毒名称确定，不确定的将不会纳入测试）
数量：80个（其中，勒索病毒62个，远控木马16个，键盘记录木马1个，QQ粘虫1个）


测试环境：
VirtualBox模拟的Windows 7 SP1 英文企业版（32位）
所有杀软采用默认设置：默认设置一般都是厂商平衡拦截率和误报率后的最优设置，以便给终端用户一个优秀的开箱即用体验。

测试方法：
从加密的压缩包中解压，如果实时防护不报毒，则双击测试主防。
对于没有运行后防御模块的杀软，则不进行双击测试，转为进行手动右键扫描测试。


测试时严格断网：
本测试目的不在测试各杀软的断网查杀能力（也即所谓企业局域网环境的查杀能力），而是通过将杀软的病毒库定格在12月12日，然后用其后一个月新出现的病毒进行测试，以此模拟杀软遇到未知病毒的场景，并得到杀软的未知威胁防御能力。

关于断网主防及启发测试中断网的重要性，详细请参照专业杀软测评机构AV-Comparatives中同类型测试的说明。

如有质疑，请先阅读完这些文段，多谢合作。

全文见链接中测试报告的Description段：https://www.av-comparatives.org/ ... c_beh_201503_en.pdf

下方摘录AVC2015年Retrospective/Proactive测试对于断网的说明。
（AVC的pdf不允许复制，所以只能以截图形式呈现，见谅。）




结果符号说明：

缩写符号	英文	解释
F	Failed	防御失败(eg. 文件被加密)
B	Behaviour	行为防御拦截
S	Signature	特征/启发防御拦截
D	Delayed	行为防御弹窗(eg. 但文件已经被加密且没有回滚成功)
M	Missed	杀软无弹窗，但系统无明显变化(eg. 无明显被加密的文件）
附加符号	（以-接在前面的几个符号后）	（eg. D-RP）
RD	Rollback(Dirty)	文件回滚成功，但有病毒衍生物残留
RP	Rollbacked(Partial)	部分文件被加密而没有被回滚
AS	Auto-Sandboxed	自动入沙
W	Warning(HIPS)	HIPS特有：弹窗警告危险行为，不报毒，且可放行
FW	Firewall	防火墙弹窗拦截
,	Then	"然后"
->	if allowed	"如果允许，则"（eg. FW->F）
AW	AccessWarning	弹窗提示程序正在修改用户文件，但不是报毒

样本详细信息和下载方式：

将下面的网址中粗体部分替换为表格中的帖子ID即是样本的发布页面地址，可供大家下载测试。
http://bbs.kafan.cn/thread-2068830-1-1.html

帖子ID	帖子标题	子文件名	发帖时间日期	样本类型
2068873	#Cerber #Ransom 16.12.13		2016-12-13 09:09:30	Ransomware
2068910	远控木马		20161213152237	RemoteControl
2068911	学校机房抓到的		20161213161522	QQPass
2068962	远控木马。。	Start.exe	20161213234845	RemoteControl
2068962	远控木马。。	tasxw.exe	20161213234845	RemoteControl
2069207	时隔三天，重新抓到cerber		20161215192053	Ransomware
2069342	中了勒索病毒	exename.exe	20161216154906	Ransomware
2069342	中了勒索病毒	radE3CFF.tmp	20161216154906	Ransomware
2069342	中了勒索病毒	new 3.html	20161216154906	Ransomware
2069347	每天cerber系列		20161216161202	Ransomware
2069397	远控木马		20161216225024	RemoteControl
2069465	勒索病毒		20161217174732	Ransomware
2069479	每日cerber		20161217191703	Ransomware
2069557	远控木马	WmlPrvSE.exe	20161218143359	RemoteControl
2069557	远控木马	Install.exe	20161218143359	RemoteControl
2069584	今天的cerber似乎有些变化		20161218190834	Ransomware
2069658	今天cerber加了一个漂亮的图标		2016-12-19 12:38:01	Ransomware
2069713	今日cerber之第二弹		2016-12-19 19:22:25	Ransomware
2069730	远控木马小小变种		2016/12/19  21:31:07	RemoteControl
2069759	我也来个cerber		2016-12-20 04:55:56	Ransomware
2069778	Cerber Ransom 16.12.20		2016-12-20 10:35:47	Ransomware
2069804	本日cerber........		2016/12/20  13:34:55	Ransomware
2069805	高级远控		2016/12/20  13:58:22	RemoteControl
2069893	cryptolocker		2016-12-21 00:20:31	Ransomware
2069894	360搜索为木马做广告推广【凤凰山庄远控木马变种】	fhgame.rar->Install.exe	2016-12-21 02:45:15	RemoteControl
2069894	360搜索为木马做广告推广【凤凰山庄远控木马变种】	lobby.rar->WmlPrvSE.exe	2016-12-21 02:45:15	RemoteControl
2069901	每日勒索		2016-12-21 06:27:20	Ransomware
2069966	Cerber 16.12.21		2016-12-21 17:47:37	Ransomware
2070148	nopa2.exe		2016-12-23 11:03:03	Ransomware
2070462	rasphone.exe		2016-12-25 17:53:42	Ransomware
2070562	新品種？New Padlock Screenlocker		2016-12-26 13:18:55	Ransomware
2070744	勒索软件家族新成员——BadEncript		2016-12-27 18:25:55	Ransomware
2070786	derialock ransom		2016-12-27 23:43:31	Ransomware
2071028	一枚勒索		2016-12-29 20:11:34	Ransomware
2071205	远控木马		2016-12-30 22:22:15	RemoteControl
2071230	Cerber #3 (16.12.30)	1.exe	2016-12-31 01:52:56	Ransomware
2071230	Cerber #3 (16.12.30)	2.exe	2016-12-31 01:52:56	Ransomware
2071230	Cerber #3 (16.12.30)	3.exe	2016-12-31 01:52:56	Ransomware
2071271	两枚	a1	2016-12-31 13:33:41	Ransomware
2071271	两枚	mjvonjrzle	2016-12-31 13:33:41	Ransomware
2071330	远控木马		2016-12-31 19:59:00	RemoteControl
2071509	Cerber (17.01.01)		2017-1-2 01:16:27	Ransomware
2071510	Suspected a variant of Padlock		2017-1-2 02:33:54	Ransomware
2071591	远控木马		2017-1-2 18:16:02	RemoteControl
2071810	FSociety Screenlocker		2017-1-4 11:04:35	Ransomware
2071903	Merry Christmas Ransomware		2017-1-4 23:23:44	Ransomware
2072030	勒索		2017-1-5 21:14:26	Ransomware
2072070	Cerber X2	psuedoDarkleech/1st-run	2017-1-6 10:31:24	Ransomware
2072070	Cerber X2	psuedoDarkleech/2st-run	2017-1-6 10:31:24	Ransomware
2072070	Cerber X2	psuedoDarkleech/3st-run	2017-1-6 10:31:24	Ransomware
2072070	Cerber X2	malspam	2017-1-6 10:31:24	Ransomware
2072079	keylogger 病毒		2017-1-6 11:14:58	KeyLogger
2072111	QQi.exe #backdoor #ramnit		2017-1-6 14:31:36	BackDoor
2072208	【掛馬樣本】1.exe VT(9/56)		2017-1-7 01:28:12	Ransomware
2072435	Cerber (17.01.08)		2017-1-8 15:51:13	Ransomware
2072529	Merry X-Mas ransomware		2017-1-9 11:42:08	Ransomware
2072598	【掛馬樣本】1.exe VT(6/55) #Cerber		2017-1-9 19:55:39	Ransomware
2072604	远控一枚，玩法随意，调戏亦可……需要骗子QQ的可以PM		2017-1-9 20:30:59	RemoteControl
2072638	Cerber Ransomware 9X	1-of-3	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	2-of-3	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	3-of-3	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	example	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	1-of-5	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	2-of-5	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	3-of-5	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	4-of-5	2017-1-10 02:58:43	Ransomware
2072638	Cerber Ransomware 9X	5-of-5	2017-1-10 02:58:43	Ransomware
2072732	Dharma(Crysis) Ransomware		2017-1-10 17:54:09	Ransomware
2072733	MRCR1 Ransomware		2017-1-10 17:58:59	Ransomware
2072760	远程控制木马		2017-1-10 21:10:36	RemoteControl
2072799	Spora Ransomware (VT 1/56)		2017-1-11 01:57:07	Ransomware
2072801	【掛馬樣本】1.exe VT(10/55) #Cerber變種		2017-1-11 02:21:32	Ransomware
2072802	CryptoMix 3X	a.exe	2017-1-11 04:14:11	Ransomware
2072802	CryptoMix 3X	b.exe	2017-1-11 04:14:11	Ransomware
2072802	CryptoMix 3X	c.exe	2017-1-11 04:14:11	Ransomware
2072907	Spora Ransomware #2	1.hta	2017-1-11 22:13:49	Ransomware
2072907	Spora Ransomware #2	2.hta	2017-1-11 22:13:49	Ransomware
2072908	Shade Ransomware		2017-1-11 22:17:57	Ransomware
2073012	Ransom #2(17.01.12)	1.exe	2017-1-12 16:54:10	Ransomware
2073012	Ransom #2(17.01.12)	2.exe	2017-1-12 16:54:10	Ransomware

二、测试结果：

No.	SubFileName	BDF	AVG	KIS	SEP	Dr.Web	FSCS	Filseclab	GD	CRF
2068873		B	B	B	S	B	F<-FW	F	D	B
2068910		S	S	M	S	M	M	S	S
2068911		S	S	S	S	S	M	S	S
2068962	Start.exe	M	S	M	M	M	M	M	M
2068962	tasxw.exe	S	S	S	S	M	M	M	S
2069207		B	B	B-RD	B	B	B	B	D	B
2069342	exename.exe	B	B	B	S	B	B	F	F	B
2069342	radE3CFF.tmp	M	M	M	M	M	S	M	M	M
2069342	new 3.html	M	M	M	M	M	M	M	M	M
2069347		B	B	B-RD	S	B	B	B	D	B
2069397		S	S	B	M	B	M	M	S
2069465		S	S	S	S	S	B	B	S	B
2069479		B	B	B	S	B	B	B	D	B
2069557	WmlPrvSE.exe	B	M	M	M	M	M	M	M
2069557	Install.exe	M	M	M	M	M	M	M	M
2069584		B	B	B-RD	B	B	B	F	D	B
2069658		B	B	B	B	B	B	F	D	B
2069713		B	B	B	B	B	B	F	F	B
2069730		S	S	B	M	S	M	M	S
2069759		B	B	B	B	B	B	B	D	B
2069778		B	B	B	B	B	B	F	D	B
2069804		B	B	B	B	B	B	F	D	B
2069805		B	B	B	B	B	B	B	B
2069893		B	B	B	S	B	B	M	B	M
2069894	fhgame.rar->Install.exe	B	M	M	M	M	M	M	M
2069894	lobby.rar->WmlPrvSE.exe	B	M	M	M	M	M	M	M
2069901		B	D	B-RD	S	D	B	F	D-RP	B
2069966		B	B	B	B	B	B	F	F	F
2070148		B	M	M	S	M	M	M	M	M
2070462		B	D	B	D(VM crash)	D	F	S	S	B
2070562		S	S	F	F	F	B	F	S	F
2070744		B	M	M	M	M	M	M	M	M
2070786		F	F	F	F	F	F	D-RP	F	B
2071028		B	B	B	B	B	F	F	F	F
2071205		M	M	M	M	M	M	M	M
2071230	1.exe	B	B	B	B	B	F<-FW	B	F	F
2071230	2.exe	B	B	B	B	B	F<-FW	B	F	F
2071230	3.exe	B	B	B	B	B	F<-FW	F	F	F
2071271	a1	B	B	B-RD	F	D	F	F	D-RP	D-RP
2071271	mjvonjrzle	B	B	B	S	B	F<-FW	F	F	F
2071330		S	B	M	S	M	M<-FW	M	S
2071509		B	B	B	S	B	F<-FW	D-RP	F	F
2071510		S	S	B	B	F	F	F	S	F
2071591		B	M	B	S	M	M	M	B
2071810		S	S	B	F	F	B	F	S	F
2071903		B	B	B	F	B	F	B	B	B
2072030		M	B	M	S	M	M	M	M	M
2072070	psuedoDarkleech/1st-run	B	B	B	S	B	B	F	F	F
2072070	psuedoDarkleech/2nd-run	B	B	B	S	B	B	B	F	F
2072070	psuedoDarkleech/3rd-run	B	B	D-RP	B	B	B	B	F	F
2072070	malspam	B	B	B	S	B	B	F	F	F
2072079		M	M	M	M	M	M	M	M
2072111		B	M	B	B	B	B	B	B
2072208		B	B	B	S	B	B	B	F	F
2072435		B	B	B	B	B	B	B	F	F
2072529		F	B	B	B	B	F	F	B	B
2072598		B	B	F	B	B	B	B	F	F
2072604		B	M	M	M	M	M	M	M
2072638	1-of-3	B	B	B-RD	B	B	B	F	F	F
2072638	2-of-3	B	B	B-RD	B	B	B	D-RP	F	F
2072638	3-of-3	B	B	B-RD	B	B	B	D-RP	F	F
2072638	example	B	B	B	B	B	B	D-RP	F	F
2072638	1-of-5	B	B	B	S	B	B	F	F	F
2072638	2-of-5	B	B	B	S	B	B	F	F	F
2072638	3-of-5	B	B	B	B	B	B	D-RP	F	F
2072638	4-of-5	B	B	B	B	B	B	D-RP	F	F
2072638	5-of-5	B	B	B	B	B	B	D-RP	F	F
2072732		B	B	B	S	B	F	S	B	F
2072733		F	S	B	S	B	F	B	B-AW	B
2072760		S	S	S	S	S	B	M	S
2072799		M	M	M	M	M	M	M	M	M
2072801		B	B	B	S	B	B	B	F	F
2072802	a.exe	B	B	B	S	D	B	B	B	B
2072802	b.exe	B	B	B	S	D	B	B	B	B
2072802	c.exe	B	B	B	S	D	B	B	B	B
2072907	1.hta	B	B	B	S	B	B	B	B-AW	B
2072907	2.hta	S	B	B	S	B	B	F	B	B
2072908		B	B	B	B	B	M	B	B	M
2073012	1.exe	B	F	B	B	F	B	B	F	B
2073012	2.exe	B	M	M	M	M	M	B	M	M
	结果统计	BDF	AVG	KIS	SEP	Dr.Web	FSCS	Filseclab	GD	CRF
	Signature/Heuristic	12	12	4	31	4	1	4	12	0
	Behaviour	57	49	55	28	46	42	24	14	24
	Miss	8	15	17	15	19	22	21	15	9
	Delay	0	2	1	1	6	0	8	11	1
	Fail	3	2	3	5	5	15	23	28	28
	Tested Total	80	80	80	80	80	80	80	80	62
	Protection Rate	86.25%	76.25%	73.75%	73.75%	62.50%	53.75%	35.00%	32.50%	38.71%

Protection Rate的计算方法是：S+B/(S+B+M+D+F)，即总有效保护率，无论是特征杀还是主防杀，而Miss也算作防御失败。

鉴于测试的杀软品种较多，测试过程截图暂时不放出，待全部测完后以打包的形式上传。

目前正在测试的火绒和HMPA，敬请期待~



三、评论

私货环节~


卡巴：
对一个月之后的新病毒有70%+的防御能力，很不容易，值得点赞~
不过从测试中可以看出，卡巴很依赖回滚，很多时候都能看到文件先被加密，然后等卡巴报毒之后再变回来。
回滚强大是好事，但太依赖回滚，而不是像ATC那样及早防御，有时候就会出问题……
例如，样本2072070，卡巴就是回滚的时候漏了一个文件……这就比较尴尬了。


GDATA：
测试中可以看到GD的主防还是很有存在感的，很大部分样本它都会弹窗。
然而，由于GD的主防太过滞后，又没有像卡巴那样优秀的回滚——
所以结果中就出现了一堆D（11个，目前最多）：等病毒加密完了它才报毒……
检测率可以，但拦截点靠后，所我觉得GD是有很大的改进空间的。

Dr.Web：
蜘蛛作为坛子里推荐的防勒索三大杀软，在我的历次测试中应该都算不错，这次也不例外。
62%的防御率，在其查杀常年徘徊在基准线附近的对照下，突出了其主防的强大。
测试中，其主要问题是其对流畅性影响较大，特别是解压和打开程序时，有明显的滞后。

我曾实机使用蜘蛛，也有此感受，且主要特征就是伴随着cpu上升，流畅性开始下降，而SSD的IO和RAM等方面并没有特别大的占用。
除此之外，蜘蛛在拦截勒索的时候大部分都是报的“拦截注入”。
这让我有些担心其对正常注入行为的误会很高（当然，实机使用的时候感受到的误报并不高）
而远控木马仅有一个被蜘蛛的主防拦下，也从侧面证明了其主防不够完善：对注入等很敏感，但对其他类型的威胁仍有待提高。

Cybereason RansomFree：
作为一个新兴的专门防御勒索的软件，在前一段时间的测试中获得了极高的防御率，让我对其抱有很大期待。
但是，实际的结果是非常不理想的。
究其原因，我只能认为其所依赖的“mi-guan法”已经被勒索病毒作者知晓，因此在新的勒索面前失效了。

主防作为一种本地技术，在千万病毒作者的尝试下总会被攻破。
因此，主防规则的更新确实体现了其必要性。

AVG：
作为我现在的主杀，大A确实没有让我失望~
76.25%，我觉得是非常好的成绩了。
经过这几次测试，我可以肯定，AVG是对勒索下了功夫的。
精准的主防报毒名称，对cerber系列任何变种的秒杀等都在显示着这一点。
所以我觉得卡饭以后有人问起来什么杀软防勒索厉害，不应该是三剑客，而是四君子啦~
功能几乎不打折扣的Free版，很好找的IS版key，都是加分项。
除IDP主防外，从12个S中就可以看出来，AVG主杀毒引擎的启发也是非常优秀的。
不过大A怎么就被收购了呢……明明无论是IDP还是引擎都更好……


SEP：
目前而言，SEP的成绩排第二，但是其给我的震撼是最大的，甚至大于第一的AVG。
为什么呢？因为它极高的启发率。相比起其他几个杀几个十几个的启发杀，SEP启发了32个。
这还是按默认设置没有开启万物杀A杀时的结果：你在统计中看到的S，都是SEP的B杀造成的。
SEP给我的感觉与卡巴刚好相反：
卡巴依赖回滚，经常都是恶意行为已经做出了，然后靠主防和回滚来还原；
而SEP则靠启发防范于未然——这种运行前防御如果做得好，确实比“行为分析->回滚”的复杂流出要可靠得多。
有人说SEP对的启发敏感度调得比别高，平时杀破解什么的误报也很厉害，所以才能有如此好的结果。这点我不否认。
但是，即便我一直强调（本地）主防的重要性，在实际测试中，解压杀的冲击力要远大于双击杀。
特别是我确信这些样本SEP都没见过时，还没运行就能判断出其恶意性，确实厉害~

费尔：
即便天天传来停止更新的噩耗，但作为国内唯一坚守本地主防的老牌杀软，我还是对其抱有了比较大的期望。
然而，长久以来主程序和主防规则的更新滞后，让费尔的拦截率远低于预期。
测试中35%的拦截率，特别对主流cerber系列的全线崩溃，使我已经难以将其划为一二线杀软。
从功能上讲，费尔的主防是本地的，且带有回滚，挺不容易。
但从结果上看，大量的“D-RP”显示了其回滚精度还是不够，经常只能回滚部分被加密的文档，其他的不翼而飞。
需要特别说明的是，此处采用了费尔默认的防御设置，如果将主防调至高，拦截率会有不小的提升。
但我一直认为，默认设置就是厂商在平衡了拦截率和误报率做出的最佳设置。
因此，要求将敏感度调至非默认来测试是不合理的——何况其他家杀软的设置如果设高肯定也有所提升。


Bitdefender Free：
终于测了BDF，该说什么好呢……
只能说，BD果然不愧是BD，ATC的这种逆天级别的防御能力真的是……厉害。

在开测之前就猜测它是第一了……果然……
不出意外的话，凭借86.25%的防御能力，它就是第一了~
要知道这可是一个月之后的全新威胁，竟然能拦截85%+，真是可怕。
关于BD，几乎没什么好说的，它代表的就是一流的防御能力，而ATC就是目前最好的本地主防（卡巴可能有点不服2333）~


FSCS：
FSCS的界面属于小清新类，所以一开始就对它有好感，而它的DeepGuard在坛子里也属于经常被拿出来说的优秀主防之一
不过鉴于DG属于半云主防，所以本次断网测试对其的评估会偏差，这可能解释了其仅有53.75%的防御率
不过，值得注意的是，FSCS自带了防火墙，在测试中许多cerber样本其实是被防火墙成功拦截了的
只不过本测试主要测试主防和启发，不测防火墙，因而全部选择了允许，这样样本才加密成功
这提醒了我，即便是勒索，防火墙有时也能起到最后一道防御的作用，而远控木马就更是如此了。

fireherman

一袋葵瓜子，一瓶喜力，一张真皮沙发；美滋滋地观看楼主测试。

PS：等待ESET的成绩单。

PS2：启发不是用 H 来表示更好吗？Heur

倾世长安

小白感觉看不大懂，占个楼，支持楼主

houtiancheng

fireherman 发表于 2017-1-22 18:58
一袋葵瓜子，一瓶喜力，一张真皮沙发；美滋滋地观看楼主测试。

PS：等待ESET的成绩单。

主要是杀软太多，我搞不太清哪些是启发，哪些是入库杀……

kerlee

蜘蛛的成绩似乎比想象的好

fireherman

houtiancheng 发表于 2017-1-22 19:15
主要是杀软太多，我搞不太清哪些是启发，哪些是入库杀……

的确如此…… 而且各家的报法还不一样，有的甚至相距甚远。

pal家族

卡巴主防，如果是断网检测率，绝对是很low的。我一直这么认为。
也可以遇见某些产品在本测试中检测率可能接近于0，有些事本就没有智能主防，有些是需要连接云来使用云端的信息来判断（半云主防），
还有的，，，，，，，，，，，它在本地就几乎没有任何特征库。。。。2333333

houtiancheng

pal家族 发表于 2017-1-22 19:20
卡巴主防，如果是断网检测率，绝对是很low的。我一直这么认为。
也可以遇见某些产品在本测试中检测率可能 ...

大丈夫，某伞启发不错啊，某数字可以测查杀（好歹有个OEM），某趋可以测测勒索防护（虽然很low……）

yangres

前排，这个测试模拟的场景感觉很实用啊

pal家族

houtiancheng 发表于 2017-1-22 19:24
大丈夫，某伞启发不错啊，某数字可以测查杀（好歹有个OEM），某趋可以测测勒索防护（虽然很low……）

启发再好，落后一个月的特征，如果要针对的话，很容易过。
不过某些厂商可能是启发足够强，或是没有被针对，落后一个月特征来扫描也能杀一些。（一般这些厂商误报比较多，eset除外。）

vm001

提一点360的问题，360的行为防御第一需要云查询文件状态，断网查不到360为了避免误报有些行为是放过（因为不可能无限的挂起进程）第二，360的行为防御有些需要和下载保护联动。没通过下载保护有些会被视为本地产生的文件，并没有在网上流传（因为断网查不到状态）这也是360对抗免杀作者的一种手段----比如你用一些远控（如大灰狼）在本地生成客户端，扫描他是不报毒的，但是你一传出去，到了另一端就会被报毒拦截。。

MENGXIUYUAN

浩大的工作量啊，楼主辛苦了

裂空我爱杰

楼主辛苦了

houtiancheng

vm001 发表于 2017-1-22 19:36
提一点360的问题，360的行为防御第一需要云查询文件状态，断网查不到360为了避免误报有些行为是放过（因为 ...

360有本地主防组件吗？
我之前的测试里一次都没弹窗……

vm001

houtiancheng 发表于 2017-1-22 19:57
360有本地主防组件吗？
我之前的测试里一次都没弹窗……

有啊，组建都在本地，只是规则大部分在云端。弹窗拦截的只是云查询状态是黑的和灰的。。查不到状态就是未知的，未知程序在没云的状态下拦截，那估计得把人弹死，所以一般这类会选择放过。
一般云主防都是这个逻辑

猪头无双

只想说，带IDP的avast测试版出来了·······

wangkaka

pal家族 发表于 2017-1-22 19:20
卡巴主防，如果是断网检测率，绝对是很low的。我一直这么认为。
也可以遇见某些产品在本测试中检测率可能 ...

不太认同你的观点哦。
大概半年多前吧，我测试了一段时间卡巴主防，用的2015的光盘版本，虚拟机断网，没有升级。对样本还是有不错防御的，即使2015勒索还没有流行，卡巴没有针对调整主防规则，都能用主防拦截部分勒索威胁。不过国内特色qq粘虫，流氓这些没有太大动作的基本没用。还有就是精锐包50个中基本主防只能报4-7个左右23333，但样本区真正行为明确的威胁报的还是不错的。
至少我这样认为。

houtiancheng

猪头无双 发表于 2017-1-22 20:15
只想说，带IDP的avast测试版出来了·······

明明引擎也是大A好……

猪头无双

houtiancheng 发表于 2017-1-22 20:22
明明引擎也是大A好……

然而还是合并了··· ···

houtiancheng

vm001 发表于 2017-1-22 20:05
有啊，组建都在本地，只是规则大部分在云端。弹窗拦截的只是云查询状态是黑的和灰的。。查不到状态就是 ...

组件(文件)当然在本地……
我是说本地主防规则和判断能力，按照你的说法其实还是没有吧？