长测免费杀软第一期

ikochina

一、前言

1、这个测试是在虚拟机下模拟大众用户日常使用的环境，为了体现真实环境，所以也安装了一些常用软件和一些常用文档。

2、每周测试1次，节假日不测，每周会淘汰一款排名最低的杀软不进入第二周的测试。

3、因为杀软较多，测试分为国内杀软和国外杀软两块来做报告，选择杀软两个原则，第一是免费，第二是用户量较大，当然国产杀软比较优秀的或者新秀也会纳入，如果大家觉得有其他杀软需要加入测试的可以私信发官网下载地址，只接受免费版参加。原因是普通大众基本上不会使用付费杀软，大多都是电脑城买回来自带的360（有推广费可以拿嘛）或者其他免费杀软，所以请大家不要讨论这个免费版没有主防不公平之类的，无意义。

4、样本方面，我会选择样本区最新的10个样本+5个勒索+5个挖矿+10个正常软件样本，一共30个，加两重壳。另外文件命名方式为正常文件命名+序号，编号为1开头的是最新常见病毒或木马，2开头的为勒索，3开头的为挖矿，4开头的为正常文件，第四期开始编号以1*、2*结尾的为常见病毒木马或未知病毒木马，3*结尾的为勒索，5*结尾的为白样本（另外提供白样本加密前的文件一份）。

样本下载：https://share.weiyun.com/5Z7vMlR

说明：本次选择的正常文件大多为pe下文件，部分并不能真的在x64下运行，所有病毒木马样本都预先测试过，别看着运行时报错，实际上各种动作已经做了，用进程跟踪器测试过的。其中一个dll文件，要运行时需要注册dll的，也许是因为这个原因，报这个毒的杀软并不太多。

5、测试分为2个环节：扫描与双击剩余样本。

6、计分规则：查杀率80分，误杀率20分，总分100分，但如果连续两周误杀率为100%，则被淘汰，并去掉前面的成绩，因为这种杀软基本就是见壳杀。

7、测试顺序：每次第一个测试的杀软在下次测试时最后一个测试，依次进行。本次顺序为：卡巴-红伞-毛豆-bd-mes-mcafee个人版-fsc-mse-360-毒霸-电脑管家-瑞星-智量-火绒-微点-费尔-大蜘蛛。大蜘蛛放最后的原因是前面我再win10下测试的时候，发现删除病毒的速度太慢太慢了，为了不耽误其他杀软测试，只好放在最后了，如果这次在win7下无该问题，下次改回放到fsc前面。

8、杀软均为默认设置，无任何改变，安装好后更新到最新版就开始测试。

二、测试环境

1、硬件：intel双核，4G内存，80G硬盘，联网

2、系统：虚拟机下模拟Win7SP1简体中文专业版64位官方版本，使用Windows Loader 2016激活，WiseCare365v5.0.2.502Pro做最简单的优化和去除启动项。使用系统自动更新更新到最新补丁。

3、软件：安装好压、迅雷极速版、搜狗浏览器、WPS Office Pro Plus 2016、暴风影音5.76.613.1111去广告版、 酷狗音乐8.2.57.20861星空不寂寞去广告版、tim、微信、旺旺、搜狗拼音输入法v9.1a去广告版、腾讯软件管家3.1，除开去广告版本，其他均用腾讯软件管家独立版3.1升级到官方最新版。

4、杀软选择：BD免费版、小红伞免费版、卡巴免费版、大蜘蛛12beta、comodo、mcafee的mes和个人版、FSC（有网友要求测）、mse、360杀毒、腾讯电脑管家、金山毒霸、瑞星云终端（看论坛评论说比v17更强）、火绒、微点、智量、费尔。只有FSC、大蜘蛛、mcafee和费尔不是免费版，不过大蜘蛛8块钱一年也和免费没什么区别了，而且很多老用户对12版本的期望也比较高，所以纳入初评，费尔则是因为我感觉它的启发技术真的有点牛，所以也纳入初评，大蜘蛛使用测试版key激活，费尔不做激活动作（试用激活码已失效）。FSC、Mcafee的mes变相免费，adt是以前刷出来的，论坛也能够找到，所以也拿进来看看，主要是对比下mse和adt在查杀率和误杀率方面有无区别。

5、关于计数：解压过程中和扫描时监控报毒算在扫描里面，请知悉

6、第二期测试时间预计9月22日进行（原定于9月21号，但遇到些事情要处理，只好放到周六了）

7、本来这周腾讯管家表现不是太好，但有朋友说有拦截只是未删除，因为测试时未用进程跟踪器跟踪样本动作，所以也无法判断是否完全拦截，所以下周仍然测试上面的这17款杀软，顺序为：毒霸-电脑管家-瑞星-智量-火绒-微点-费尔-360-大蜘蛛-红伞-毛豆-bd-mes-mcafee个人版-fsc-WD-卡巴。另外下次测试环境将更改为win10X32专业版（File_Analysis2.8不支持64位软件运行，64位软件运行也需在32位下，所以直接装32位），硬件方面使用四核4g内存，60g硬盘。方便测试wd成绩，当然了，mse就不再测了。

另外在初始系统将使用File_Analysis2.8对样本进行检测，看样本是否损坏，另外在各杀软环境双击环节也将通过该软件运行样本，查看杀软对样本拦截情况；杀软默认动作设置为删除，系统也将使用win10总管进行常规优化

ikochina

三、国外杀软篇
（一）卡巴免费版：一共10个，误杀1个
1、扫描8个

2、双击剩余样本,2个

（二）小红伞免费版：杀掉16个，误报11个（10个样本杀掉不算，把系统装的wps升级文件也干掉了）

1、扫描16

2、双击剩余样本0

（三）Comodo11：杀掉12，误杀8个

1、扫描12

2、双击剩余样本0
（四）BD免费版：杀掉18个，误杀2个

1、扫描13

2、双击剩余样本5

（五）MES：干掉13个

1、扫描5

2、双击剩余样本8

（六）Mcafee个人版：干掉14个，误杀1个

1、扫描10

2、双击剩余样本4

（七）FSC：干掉10个，报5个未知，误杀3个

1、扫描10

2、双击剩余样本，报5个未知，未杀

（八）MSE

1、扫描

2、双击剩余样本


（九）大蜘蛛12beta：干掉13个，误杀2个

1、扫描13

2、双击剩余样本0

ikochina

四、国内杀软篇
（一）360杀毒：干掉14个，误杀4个
1、扫描12

2、双击剩余样本2

（二）金山毒霸：干掉2个，18和31号样本拦截并修复了部分动作，但仍然感染并加密了文件，双击后疯狂报毒

1、扫描2

2、双击剩余样本

（三）腾讯电脑管家：干掉2个，双击22、30、32成功阻止但未清除

1、扫描1

2、双击剩余样本1

（四）瑞星云终端：干掉4个，双击后疯狂报毒

1、扫描3

2、双击剩余样本1

（五）智量：干掉12个，双击无反应，比较有意思的是一个bug（扫描报毒，监控报毒，先扫描报毒文件删除掉，然后监控的点击清理，发现样本都回来了，不过呢那些文件都是空壳子，文件大小都为0，希望官方修复下这个bug）

1、扫描

2、双击剩余样本0
（六）火绒：干掉7个

1、扫描7

2、双击剩余样本0
（七）微点：干掉3个

1、扫描3

2、双击剩余样本

（八）费尔：干掉10个，误杀5个

1、扫描（监控和扫描拦截其中1个不同）10

2、双击剩余样本

五、统计成绩

杀软	扫描	双击	剩余样本	总查杀率	误杀	得分	排名	备注
卡巴	8	2	10	50.00%	1	58.00	8
小红伞	16	0	4	80.00%	11	62.00	7
Comodo	12	0	8	60.00%	8	52.00	10
BD	13	5	2	90.00%	2	88.00	1
MES	5	8	7	65.00%	0	72.00	3
ADT	10	4	6	70.00%	1	74.00	2
FSC	10	5未知	10	50.00%	3	54.00	9
MSE	10	0	10	50.00%	5	50.00	11
360	12	2	6	70.00%	4	68.00	4
毒霸	2	1+1	17	15.00%	0	32.00	15	18和31号样本拦截并修复了部分动作，但仍然感染并加密了文件，双击后疯狂报毒
电脑管家	1	1	18	10.00%	0	28.00	17	22、30、32成功阻止但未清除
瑞星	3	1	16	20.00%	0	36.00	14	双击后疯狂报毒
智量	12	0	8	60.00%	2	64.00	6
火绒	7	0	13	35.00%	0	48.00	13
微点	3	0	17	15.00%	0	32.00	15
费尔	10	0	10	50.00%	5	50.00	11	监控和扫描拦截其中1个不同
大蜘蛛	13	0	7	65.00%	2	68.00	4

Jerry.Lin

有几个问题
1、样本区是有厂商蹲点拉黑的，比如火绒，360；饭友测完很大一部分是会上报给安全厂商的；-》所以结果不一定准确？
2、加壳时要注意下不要加废了
3、白文件如何选择？误报这个最难测了，如果要测一个引擎的误报率就要考虑到文件有没有在白名单内，如果是白名单文件去测其实得出来的结果没什么意义，因为根本测不出实际的误报水平……这个要怎么办呢？



看到楼主要做这么多的杀软测试，真是辛苦了……不过还是希望实验能严谨些

ikochina

191196846 发表于 2018-9-15 20:06
有几个问题
1、样本区是有厂商蹲点拉黑的，比如火绒，360；饭友测完很大一部分是会上报给安全厂商的；-》 ...

样本区下载样本后，加两次壳+花指令，这个就要看杀软的脱壳技术了，另外白文件是pe下的一些常见工具，杀软都没报过，不过同样加2次壳后看看这些杀软是否依旧无动于衷

dongwenqi

ikochina 发表于 2018-9-16 08:51
样本区下载样本后，加两次壳+花指令，这个就要看杀软的脱壳技术了，另外白文件是pe下的一些常见工具，杀 ...

你这个三楼是国内还是国外啊？

ikochina

dongwenqi 发表于 2018-9-16 09:13
你这个三楼是国内还是国外啊？

杀软太多，分成两个帖子，不如图太多了影响看帖啊，结果都在一起统计

追影子的十三

求加一个杀软fscs或者fsp，也算变相免费了...

ikochina

daixiaoran 发表于 2018-9-16 09:28
求加一个杀软fscs或者fsp，也算变相免费了...

下次加吧，发私信下载链接给我嘛

静影沉璧

3楼的这些是国外杀软？

另外我觉得这点也是要考虑一下的：

3、白文件如何选择？误报这个最难测了，如果要测一个引擎的误报率就要考虑到文件有没有在白名单内，如果是白名单文件去测其实得出来的结果没什么意义，因为根本测不出实际的误报水平……这个要怎么办呢？