查看: 7771|回复: 26
收起左侧

[杀软评测] F-Secure Protection 锁库+断网 测试

[复制链接]
静影沉璧
发表于 2018-9-15 17:45:21 | 显示全部楼层 |阅读模式
本帖最后由 静影沉璧 于 2018-9-15 20:21 编辑

一、前言
发现坛里对于FS的单独评测比较少,而我对FS这款杀软还是蛮有兴趣的,尤其是那个封锁逻辑奇特的DG……正好有点时间,便做了个FS的简单评测。
PS:本次测试可能娱乐成分居多,仅供参考。
二、测试说明
1.    测试环境:Windows 10 2016 LTSB x86 虚拟机。
2.    病毒库:用的是20180902的病毒库,为本人将虚拟机断网数天后所得。
3.    测试方式:锁库+断网。这个方式主要为了看下DG面对未知威胁的防御能力
4.    测试样本:均来自病毒样本区191196846大佬的 Kafan Virlist 发布帖,从中删除一些时间靠前的样本,再重新排列而成。总共75枚,详细情况如下:
20180909的样本:8枚
20180910的样本:17枚
20180911的样本:8枚
20180912的样本:35枚
另外还有个special样本包(一共7枚样本),这个是我测试样本时发现过了ATD的样本,放在这里顺便考验一下DG。
三、测试结果
测试结果对照表:
  
F
  
防御失败
B
Behavioural,主防杀/行为杀
S
Signature(扫描)入库杀/启发杀

测试结果:
序号【1】【2】【03】【04】【05】【06】【07】【08】【09】【10】【11】【12】【13】【14】【15】【16】【17】【18】【19】【20】【21】【22】【23】【24】【25】【26】【27】【28】【29】【30】【31】【32】【33】【34】【35】
20180909SFSBFSSS\\\\\\\\\\\\\\\\\\\\\\\\\\\
20180910BFSBBBBBFBFFBFBFF\\\\\\\\\\\\\\\\\\
20180911BBSSFFFF\\\\\\\\\\\\\\\\\\\\\\\\\\\
20180912?FSBFBBF?SSBFSBBF?BBBFFBFSFBBFBFBF?
SpecialFFBBBF?\\\\\\\\\\\\\\\\\\\\\\\\\\\\
图中打问号的5个样本可能因测试环境问题无法运行,故忽略不计。
扫描查杀率:13/70 18.57%
执行后防御率:29/(70-13) 50.88%
Total:42/70 60%
四、总结
FSP还是我比较喜欢的一款杀软,界面和功能都能比较精炼实用。资源占用让我也比较满意。
不过缺点就是看AV-C测试上误报蛮高。其次,个人感觉FS还是太过于依赖DG,因此病毒只要只要过了BD&DG那就基本完蛋了。另外从这次简单测试来看,DG面对未知威胁的防御率还是不怎么高……
总的来说FS是需要改进啊……

最后还要感谢一下病毒测试组的所有成员,感谢你们发布的高质量样本,支持你们!

五、上几张过程图
成功防御的样本(20张,还有9张图传不上来……):

091221.png
091220.png

091219.png

091216.png

091215.png

091212.png

091207.png

091206.png

091102.png

091101.png

091015.png

091013.png

091010.png

091008.png

091007.png

091006.png

091005.png

091004.png

091001.png

090904.png

另外值得一提的是Kafan_Sample_6f492d9bf91e289eb9e9953c36df63b9943a5fdf8e52a67a620746125ecb5606这个勒索样本,DG没防住,有点小失望



扫描日志.rar

9.36 KB, 下载次数: 111

评分

参与人数 4经验 +40 原创 +1 分享 +3 魅力 +1 人气 +12 收起 理由
青春虎 + 3
屁颠屁颠 + 40 + 1 + 3 + 1 + 3 版区有你更精彩: )
Jerry.Lin + 3 版区有你更精彩: )
ericdj + 3 感谢提供分享

查看全部评分

ericdj
发表于 2018-9-15 18:23:18 | 显示全部楼层

感谢测试

评分

参与人数 1人气 +1 收起 理由
静影沉璧 + 1 感谢支持,欢迎常来: )

查看全部评分

Jerry.Lin
发表于 2018-9-15 20:12:39 | 显示全部楼层
本帖最后由 191196846 于 2018-9-15 20:14 编辑

M:杀软没反应,但是系统也无明显异常。

这个应该算防御失败吧……因为样本里很多是Banker,Backdoor,其中一部分动作只有个外联leak信息,或者一些遍历一些关键路径的小动作……这个M是怎么算的呢?

对付勒索FS有个DataGuard来撑的

评分

参与人数 1人气 +1 收起 理由
静影沉璧 + 1 感谢解答: )

查看全部评分

静影沉璧
 楼主| 发表于 2018-9-15 20:28:32 | 显示全部楼层
191196846 发表于 2018-9-15 20:12
M:杀软没反应,但是系统也无明显异常。

这个应该算防御失败吧……因为样本里很多是Banker,Backdoor,其 ...

抱歉,我的疏漏,重新编辑了一下。感谢指正
FS的DataGuard应该是图中的“勒索软件防护”吧,这次貌似没有成功防御……
对齐33.png

评分

参与人数 1人气 +3 收起 理由
Jerry.Lin + 3 辛苦了~

查看全部评分

Jerry.Lin
发表于 2018-9-15 20:54:02 | 显示全部楼层
静影沉璧 发表于 2018-9-15 20:28
抱歉,我的疏漏,重新编辑了一下。感谢指正
FS的DataGuard应该是图中的“勒索软件防护”吧 ...

诶这种竟然会被过……FS的勒索防护不是基于白名单访问的机制么……就是未知程序修改保护目录时都会提示?
静影沉璧
 楼主| 发表于 2018-9-15 21:04:51 | 显示全部楼层
本帖最后由 静影沉璧 于 2018-9-15 21:09 编辑
191196846 发表于 2018-9-15 20:54
诶这种竟然会被过……FS的勒索防护不是基于白名单访问的机制么……就是未知程序修改保护目录时都会提示? ...

唉……然而并没有,等到加密完后才跳出一个诡异的提示
对齐35.png 对齐34.png


果团团
发表于 2018-9-16 09:45:55 | 显示全部楼层
fs最近云化很厉害,要是断网dg也会废一半
静影沉璧
 楼主| 发表于 2018-9-16 10:52:31 | 显示全部楼层
lqlwle 发表于 2018-9-16 09:45
fs最近云化很厉害,要是断网dg也会废一半

是的。DG算是半云主防,这也似乎能解释防御率低的原因。
心痛的伤不起
发表于 2018-9-16 22:28:29 | 显示全部楼层
静影沉璧 发表于 2018-9-15 20:28
抱歉,我的疏漏,重新编辑了一下。感谢指正
FS的DataGuard应该是图中的“勒索软件防护”吧 ...

FS Protection离线病毒库使用方法:

1.设置系统显示隐藏文件(含受保护的操作系统文件)
2.将压缩包内的 GUTS2 文件夹解压到如下路径即可(系统盘符不是C的请自行更改):
  (1)Win XP 及 Win2003 系统路径:  C:\Documents and Settings\All Users\Application Data\F-Secure\FSAUA
  (2)Vista、Win7、8、8.1、10及其他系统:  C:\ProgramData\F-Secure\GUTS2
能不能照这个发一份fsp的离线病毒库给我,谢谢了
静影沉璧
 楼主| 发表于 2018-9-16 22:48:35 | 显示全部楼层
y3312068 发表于 2018-9-16 22:28
FS Protection离线病毒库使用方法:

1.设置系统显示隐藏文件(含受保护的操作系统文件)
将压缩包内的 GUTS2 文件夹解压到如下路径即可

抱歉,我好像没看明白。这个压缩包是什么呢?另外我用搜索功能也搜出了一下文件夹,还请您继续指教一下


对齐4.png

对齐3.png

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:04 , Processed in 0.147858 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表