转自:http://www.avpclub.ddns.info/discuz/thread-8102-1-1.html
很多人會問,這是甚麼測試 ?
這個測試是因為上一次的"防毒軟體測殼大亂鬥"有些人反映原樣本可能被加殼.因此000110與在下共同測試的 .
在下選擇的樣本是"黑炸彈"母體樣本(論壇上有),這個樣本本身沒有加殼,而且能夠被VT上大多數的防毒軟體偵測(這次測試的防毒軟體都有偵測到).
由於樣本本身沒有被加殼,所以這次的測試是測試防毒軟體對於"單一種殼"的正常判斷能力!
之所以稱之為"正常判斷",是因為並不確定防毒軟體是否真的"脫殼"了,或許早已經"特殊入庫"了(所謂特殊入庫指的是防毒廠商把不能脫殼的加殼變種命名的和最初威脅版本一樣).
測試結果均以VT所掃描出來的為準,在下已經在附件的"One Packed Test(Reports)"中包含3份報告內容和1份VT掃描網頁紀錄.
測試時從第一個樣本上傳VT開始掃描"2008.02.02 06:08:50 (CET)"到最後一個樣本"2008.02.02 06:27:38 (CET)"這之間VT應該沒有任何更新.
"One Packed Test(Virus Samples)",是包含所有加殼樣本和原始檔.請點此下載.
樣本和報告的解壓縮密碼:AVPClub
加殼後的測試樣本事先均沒有上報給任何防毒廠商.
這個測試所使用的殼均與"防毒軟體測殼大亂鬥"相同,並且都已經測試可以正常執行,除了以下的殼沒有參與測試:
Krypton 0.5:程式無法執行
EXECryptor 2.2.6:加殼時,程式異常終止
Yoda's Protector 1.03.3:加殼時,程式異常退出
以下為簡略的測試結果:
"加殼後偵測比率"計算公式:將"加殼後偵測數"除以"樣本總數".
"正常判斷比率"計算公式:將"正常判斷數"除以"樣本總數".
"正常判斷相對偵測比率"計算公式:將"正常判斷數"除以"加殼後偵測數".
測試結果中註明"*"的部分是備註,以下為其說明:
BD的正常判斷數:原始檔BD報"Win32.Worm.Delf.NCN",有些檔案報"MemScan:Win32.Worm.Delf.NCN"或"GenPack:Win32.Worm.Delf.NCN".
在下認為BD確實偵測對了,因此計算在"正常判斷".
F-Secure的加殼後偵測數:很奇怪,有些加殼檔Kaspersky明明可以正常判斷,F-Secure卻偏偏要用Norman的!?
F-Secure的正常判斷數:原始檔F-Secure報的是Norman原始檔報的"W32/NetworkWorm.ZM",有些檔案Norman報的明明是"W32/Suspicious_N.gen".
F-Secure卻"W32/NetworkWorm",不過在下認為報的和原檔一樣,因此判定為"正常判斷",如果不這樣,F-Secure的正常判斷比率會是"0%".
NOD32的正常判斷:原始檔NOD32報"Win32/Delf.BC",有些則報"a variant of Win32/Delf.BC".
在下認為這算是NOD32啟發式中動態脫殼的結果,因此計算在"正常檔案"裡.
Norman的正常判斷:原始檔Norman報"W32/NetworkWorm.ZM",有些則為"W32/NetworkWorm".
如F-Secure的情況,如果不把"W32/NetworkWorm"計算為"正常判斷",Norman的正常判斷比率也會是"0%".
VirusBuster的正常判斷:原始檔VB報"Win32.HLLO.BlackDay.D",4個正常判斷其中之一報"Win32.HLLO.BlackDay.Gen".
在下認為這是基因偵測的結果,因此應屬於"正常判斷".
以下則為防毒軟體測試簡評:
AntiVir報殼數非常之多,正常判斷也只有1個,是意料之中的事.
Avast的成績也是很令人讚賞,與上次的測試相差不大.
AVG表現普通,測試當中並沒有引起在下特別注意.
BD表現依然很亮眼,MemScan和GenPack都是B-HAVE的偵測結果,在加殼檔案方面B-HAVE給BD很大的助力!
ClamAV也是很普通.
Dr.Web沒有預期的那麼好,正常判斷比率不高.
CA如果拿家庭版測試的話成績應該會更慘,企業版的偵測率和家庭版差很多.搞不好連正常判斷的能力也沒有.
Fortinet的啟發式似乎被VT關掉了,測試中完全沒有任何報殼或啟發.
F-Prot用的不是新版本嗎?正常判斷比率不高,而VT反倒是把F-Prot的啟發式開到最強.
F-Secure這測表現的很奇怪,特別偏愛Norman(不是DeepGuard才會請它出來嗎).要是相信Kaspersky的話它正常判斷比率早就過半了.
Ikarus算是亂報一通了,連BD用的BehavesLike都報得出來,它報得時候BD可沒報,BD報"BehavesLike:Win32.FileInfector"時它卻"BehavesLikeWin32.ExplorerHijack".亂報死性不改.而且它很罕見的在測試中和Kaspersky很多不同調(之前測KAVO的時候都報和Kaspersky一樣的).
Kaspersky在下認為表現的蠻中規中矩,VT上是7版,8版測的話正常判斷比率應該會降低(最大設定).
Mcafee的正常判斷能力很低,竟然和AntiVir同等級.
微軟這次表現和上次一樣不錯!值得看好!
NOD32在VT上用的是2版的,3版測試的結果應該會一樣(上次的經驗,有沒有人要測3版看看).
Norman則是很普通,蠻扯的是RAR檔還不能掃描,何況"真脫殼"?
Panda表現普通,實際執行的話,應該可以擋不少,有請proll閣下測試了.
瑞星表現真的是一個字可以形容"爛",正常判斷比率和AntiVir一樣,但偵測比率差一大截,連報殼它都不願意.
這次的冠軍是Sophos,不論從偵測比率和正常判斷比率來看都是第一.和上次的測試有蠻大的出入.
Symantec和上次的測試結果差不多,老黃也是很不錯的!
VBA32和上次的測試差蠻多的,原檔就報啟發"suspected of Win32 Shadow Service Install",一路報到尾(當然有些例外).
VirusBuster比瑞星好一點,但也是很差. |
发表于 2008-2-26 16:58:47
这测试是测什么的呢
