运行样本实测FS710，结果与卡巴对比惊人！！

sjducker

本来这个帖子前几天我发到FS区的，但是想想也应该发在这里一下，FS公司又总能拿到卡巴的最新正式引擎和病毒库，所以大家也可以选择爱上FS。（测试时间2007.11。25）今天没事到样本去玩，发了一贴：http://bbs.kafan.cn/viewthread.php?tid=161851&extra=&page=1
觉得不够，玩了两个上瘾了，顺便测试下FS：
样本如下：

http://bbs.kafan.cn/viewthread.php?tid=161857&extra=page%3D1
(5个样本：扫描报了4个，一个系统控制HIPS直接DENEY)
http://bbs.kafan.cn/viewthread.php?tid=161693&extra=page%3D1
（扫描不报，系统控制HIPS直接DENEY）
http://bbs.kafan.cn/viewthread.php?tid=161318&extra=page%3D1
（扫描不报，系统控制HIPS直接DENEY）
http://bbs.kafan.cn/viewthread.php?tid=161818&extra=page%3D1&page=1
（扫描不报，沙盘报已知）
http://bbs.kafan.cn/viewthread.php?tid=161380&extra=page%3D1
（扫描不报，沙盘报已知）
http://bbs.kafan.cn/viewthread.php?tid=161428&extra=page%3D1
（扫描不报，沙盘报已知（基本上的杀软都被过了））
http://bbs.kafan.cn/viewthread.php?tid=161476&extra=page%3D1
（别人发的可能是误报文件的文件，除了微点不报，FS不报）
http://bbs.kafan.cn/viewthread.php?tid=161681&extra=page%3D1
（扫描监控报）
http://bbs.kafan.cn/viewthread.php?tid=161796&extra=page%3D1
（扫描不报，应用程序控制警告）
http://bbs.kafan.cn/viewthread.php?tid=161785&extra=page%3D1
（扫描不报，应用程序控制警告）
http://bbs.kafan.cn/viewthread.php?tid=161799&extra=page%3D1
（扫描不报，沙盘报已知（基本上的杀软都被过了）
http://bbs.kafan.cn/viewthread.php?tid=161685&extra=page%3D1
（扫描不报，沙盘报已知）
http://bbs.kafan.cn/viewthread.php?tid=161816&extra=page%3D1
（扫描监控报）
http://bbs.kafan.cn/viewthread.php?tid=161811&extra=page%3D1
（扫描不报，系统控制HIPS直接DENEY）
http://bbs.kafan.cn/viewthread.php?tid=161809&extra=page%3D2
（两个EXE扫描监控报广告，其余5个DLL未报）
http://bbs.kafan.cn/viewthread.php?tid=161704&extra=page%3D2&page=1
（扫描不报，系统控制HIPS直接DENEY）
http://bbs.kafan.cn/viewthread.php?tid=161750&extra=page%3D2&page=1
（扫描监控报）
http://bbs.kafan.cn/viewthread.php?tid=161890&extra=page%3D1
（扫描不报，系统控制HIPS直接DENEY）
http://bbs.kafan.cn/viewthread.php?tid=161891&extra=page%3D1
（扫描监控报）
http://bbs.kafan.cn/viewthread.php?tid=161721&extra=page%3D2[
（不好意思，被过了，好像有人说报Contains suspicious code HEUR/Malware我运行了也没有发现扫描异常的）
http://bbs.kafan.cn/viewthread.php?tid=161805&extra=page%3D1
（扫描不报，系统控制HIPS直接DENEY）

已经测试目前为止本论坛今日的新鲜样本如上：共26个（还有5个广告样本中的DLL，该包中的两个EXE已经被监控报了已知）样本，其中：
1.监控报了已知的共10个（好像有点少了），基本归功与AVP吧；
2.扫描不报，沙盘报已知的共5个，其中有两个样本基本很少很少有杀软报的；
3.扫描不报，系统控制HIPS直接DENEY的共7个，其中有非常危险的病毒，包空删除系统文件之类的
4.扫描不报，应用程序控制警告的共2个；
5.别人发的是否为误报测试文件，FS未报，很少有报的，估计为误报。
6.漏网的1个，运行了未见有异常行为；
系统：XP
FS版本：F-Secure Client Security 7.10 build 209
F-Secure Anti-Virus 7.40 build 13330
F-Secure Automatic Update Agent 8.22 build 2096
F-Secure User Interface 7.01 build 1080
F-Secure Management Agent 7.55 build 10071
F-Secure Internet Shield 6.18 build 32
F-Secure Email Scanner 6.00 build 379
F-Secure System Control 2.04 build 139
F-Secure Online Help 1.34 build 1030Customization
病毒最新：


样本数：26个威胁数：25个FS阻挡威胁数：24      所以结果是惊人的，卡巴的病毒库已经够强大了，才报了10个，其他很多杀软估计连10个都报不到，而加上最那个可能是病毒但是漏网的共
有25个病毒，FS710除了AVP的10个已知外还自己发现并阻止了额外的14个共24个威胁，结果当然惊人！！！   

       检测率大家都知道AVP和FS都已经名列前茅了，而FS整合的其他技术又如虎添翼啊……我很早就用FS了，也知道FS很强大，但是我自己也没有想到它竟然如此强大，另外还没有测试它的墙，听说它的墙也满吊，有人测试过没有啊?   

       以上结果虽然说好像FS针对今天的样本区样本表现，但是我觉得可见一斑了……        没有其他安全辅助软件，我就直接把样本运行了，也比较胆大了，呵呵，好不容易测试完。

      另外更正许多错误的认识：FS7系列已经是7个引擎了，而不只是四个引擎
具体F-Secure公司和它的多引擎杀软可以参加帖子：（由于这是公共区，所以就不方便太详细的介绍FS了）
http://bbs.kafan.cn/viewthread.php?tid=147153&highlight=%D2%FD%C7%E6

[ 本帖最后由 sjducker 于 2007-11-29 12:15 编辑 ]

levyking

呵呵，支持一下就走。

wlbol

楼主果然试样狂人，FS区放完毒又来大区放毒啦～～

wanglp1975

四引擎的杀软果然是厉害啊

lx1234

请问一下LZ,7引擎是哪7个呢???

sjducker

F-Secure 引擎简介

    1、Libra（天秤座）-- 购买 -> 自主开发
  
    早期的 F-Secure Anti-Virus 4.0 只有两套引擎，F-Prot 和 AVP。当时FRisk 的 F-Prot 毒库文件主要有三个MACRO.DEF、SIGN.DEF、SIGN2.DEF，而 FS 的 F-Prot 的毒库文件为 FSMACRO.DEF、SIGN.DEF、SIGN2.DEF，除宏病毒部分FS稍做修改外，其它则保持一致。这一情况贯穿了 FS 4 一代的产品。

    Orion 诞生的初期，FS 仍保留“F-Prot engine”这一称呼。

    之后，F-Secure 决定不再购买 F-Prot 新的引擎，于是用 fsscript.def 来取代 Sign.def、Sign2.def，并将整个引擎称为 Libra。从此 F-Secure Libra engine 取代了原来的 F-Secure F-Prot engine，F-Prot 至此逐渐淡出了 FS 的视线。

   2、AVP--购买的引擎

   卡巴的病毒特征码提取技术及这方面的努力无人能及，以至于大家忽略了卡巴其它方面的技术。AVP强大毒库的加入使得FS如虎添翼。

   FS和卡巴的关系也非同一般，于其它OEM卡巴引擎的杀软不同的是，FS总能拿到最新卡巴引擎；当然，代价就是FS要比其它厂商付出更多的、价值不菲的授权费用。^_^

   卡巴最初开发它的扩展库时，FS并不包含这一部分，不过现在扩展库已经包含在 FS AVP 的库文件中。

   如果有人闭着眼睛说“FS仍用卡巴4.5（or 6.0）的引擎”、“FS不含卡巴扩展库”等谣传，请不要相信他。^_^

   3、Orion（猎户星座）-- 原创的引擎

   尽管 F-Prot 启发式引擎表现不俗，FS仍感到了它的不足之处，于是决定开发它自己新的启发式引擎，那就是 Orion（最初的 Orion 始于 FS 5 版本）。根据 FS 早期的描述，Orion 是一个不含病毒特征码、“纯粹的”启发式引擎。所以早期的 Orion 库文件非常小，更新也比较缓慢。

   如今的 Orion 升级得比较频繁，其库文件不断加入一些新病毒和木马的特征。而相比之下，Libra 的更新反而变少了。

   4、Draco（天龙星座）--购买的引擎
   
   Libra、AVP 虽然拥有大量的毒库，但对查杀间谍、广告软件之间仍有欠缺。尽管卡巴后来有了它的扩展库，但从卡巴当初查杀3721，到取消3721的定义，再到与360亲密合作，可看出卡巴志不在此。

   因此 FS 6 开始，FS家族又新增了一个伙伴，那就是 Lavasoft 的 AD-Aware，弥补了以上引擎对这方面的不足。而这时候 FS 似乎对取星座名上了瘾，这一部分为 Draco 引擎。

   以上四就是网上广为流传的，所谓的“FS四大引擎”了。

   5、Blacklight--原创的引擎

   这个引擎很多介绍都没有提及。尽管FS没给它取个星座的名字（不排除将来有这么做的可能性^_^），但它仍属于 FS 数引擎之一，而且隶属于 F-Secure Anti-Virus 引擎系列。为FS自主开发，主要用于 Rootkits 等的查杀。

   早期的 Blacklight 是个独立的测试工具，后来被集成到 FS 6中。

   以上就是 FS 的四个杀毒引擎和一个查杀间谍广告引擎。

   除了以上5引擎，FS还有一个 F-Secure AntiVirus Misc，但这个并不是一个引擎。（Misc，代表“混杂的”的意思）。

   6、Gemini（双子座）--原创的引擎

   FS 7 开始引入它的 DeepGuard（深度防御）概念，其实这就是 FS 的 HIPS（主机入侵防御系统）改进版。FS 这时终于把冗长兼别扭的 F-Secure Anti Virus Client Security 改为 F-Secure Client Security ，表示它这一系列产品已不再仅仅局限于防病毒。

   Gemini（双子座）是FS自主开发的一个引擎；从双子座的名字上看，我们可以猜出还应该有另一个引擎，那就是Pegasus（飞马座）。Gemini 与 Pegasus 一起，构成了 DeepGuard 坚固防御的一部分。

   当程序通过了防火墙、IDS、和防毒引擎等层层防御并启动时， Gemini 启发式引擎就会分析该程序行为的安全性（用FS的话来说，这是个具有人工智能的过程），来提醒用户是否允许该程序的执行。

   7、Pegasus（飞马座）-- 购买的引擎

    Norman 公司 的 Sandbox （沙箱）技术。简单的说就是在主机上模拟一个虚拟环境，让未知程序在这个环境内运行，一旦非法，程序就会被限制在虚拟的沙箱内，无法对系统产生危害。

sjducker

扫描引擎:
F-Secure AVP:
F-Secure Libra:
F-Secure Orion:
F-Secure Draco:

feifei27

FS很强大~~~ ~

zfznbic

这个帖我怎么看过两个版本啊。。汗。。老实说，FS得确很不错。。。我也正在使用中。。

袋鼠吱吱

我对这种胡乱用别人引擎的公司深恶痛绝。

[ 本帖最后由 袋鼠吱吱 于 2007-11-29 18:11 编辑 ]