查看: 3345|回复: 22
收起左侧

[讨论] 关于各家杀毒软件 防误报学习能力 的测试

[复制链接]
ddxuchen
发表于 2018-11-1 16:34:56 | 显示全部楼层 |阅读模式
本帖最后由 ddxuchen 于 2018-11-1 16:48 编辑

问题如题,主要讨论的是有关杀毒软件引擎“自学习能力”与“防误报”的效果。
分享一下自己的一些测试结果,不喜勿喷。

材料准备:企业内部客户端(C#开发)+ 混淆 + 加壳
测试软件:Windows Defender、卡巴斯基、火绒、360卫士、腾讯管家
环境说明:Windows 10(1709)64位,各杀毒软件均默认安装配置,病毒库均升级到最新

初始测试:
  • Windows Defender:误报木马(官方提交误报×1)
  • 卡巴斯基:误报病毒(官方提交误报×1)
  • 火绒:无误报(太棒了!)
  • 360卫士:无误报(疑似加白?)
  • 腾讯管家:无误报(疑似加白?)

更新客户端后测试:
  • Windows Defender:误报木马(官方提交误报×2)
  • 卡巴斯基:无误报(太棒了!)
  • 火绒:无误报(太棒了!)
  • 360卫士:误报木马
  • 腾讯管家:误报木马

再更新客户端后测试:
  • Windows Defender:误报木马(官方提交误报×3)
  • 卡巴斯基:无误报(太棒了!)
  • 火绒:无误报(太棒了!)
  • 360卫士:误报木马
  • 腾讯管家:误报木马

再再更新客户端后测试:
  • Windows Defender:无误报(太棒了!)
  • 卡巴斯基:无误报(太棒了!)
  • 火绒:无误报(太棒了!)
  • 360卫士:误报木马
  • 腾讯管家:误报木马

测试说明:
  • 整个测试为期3个多月,每次更新客户端即为升级版本,并会用相同的方式混淆加壳
  • 开始不误报而后面误报的软件,很显然之前加过白名单,所以不会再向官方提交误报申诉
  • 因为客户端没有数字签名证书,所以不用担心有厂商拉白证书,影响测试结果
  • 每次客户端升级版本至少有2~5%的代码改动,并非单纯改MD5

结论:
  • 火绒的表现很惊艳,全程下来没有任何的误报
  • 卡巴斯基表现也是出乎意料,居然申诉一次之后就自学习,后续无任何误报
  • Windows Defender在连续三次申诉,学习之后也不再误报了,看来微软有了很大的进步
  • 360卫士和腾讯管家,看来两家只是单纯拉白,无任何学习可言,误报问题永无宁日
  • 个人认为安全厂商的良心所在就是控误报能力,否则乱杀一通还不如卸载
  • 以上结果仅供参考,只是测试了一个软件,大家也可以去试试





大耳朵小世界
发表于 2018-11-1 17:34:53 | 显示全部楼层
学习借鉴了。我懒得深度测试了。
拉登姐
发表于 2018-11-1 21:14:43 来自手机 | 显示全部楼层
谢谢分享。期待后续更多测试
Abbyshe
发表于 2018-11-6 22:23:59 | 显示全部楼层
看来火绒也不错。
Picca
发表于 2018-11-11 23:36:26 | 显示全部楼层
好帖子,建议楼主加入eset、BD作为对比
幽冥の龙
发表于 2018-11-12 09:43:21 | 显示全部楼层
我在想火绒会不会是因为查杀低。。。所以
不过用了那么多年了确实也没中过毒,而且一直很安静。。最近装了智量倒是时不时报毒,都是误报。。。
ddxuchen
 楼主| 发表于 2018-11-12 15:11:32 | 显示全部楼层
本帖最后由 ddxuchen 于 2018-11-12 15:15 编辑
Karna 发表于 2018-11-11 23:36
好帖子,建议楼主加入eset、BD作为对比

ESET本来是有测试的,听说他家的脱壳能力不错,
但是介于ESET官方提交误报之后杳无音讯,等了很久最终选择放弃。
不过它家误报的是壳,直接识别出用了哪种壳也是叫人佩服,比其他的随便误报病毒木马要好很多。

至于BD,后来做完上面的测试之后,出于好奇也的确是追加了。
结果是初次误报病毒,官方申诉通过后,后续无任何误报。
因为没有和上面的其他软件做同时间内的平行测试,出于严谨的考虑,所以没有列出来。
dsb2466
头像被屏蔽
发表于 2018-11-12 15:16:26 | 显示全部楼层
加上毒霸呗
ddxuchen
 楼主| 发表于 2018-11-12 15:19:07 | 显示全部楼层
本帖最后由 ddxuchen 于 2018-11-12 15:23 编辑
幽冥の龙 发表于 2018-11-12 09:43
我在想火绒会不会是因为查杀低。。。所以
不过用了那么多年了确实也没中过毒,而且一直很安静。。最 ...

然而上面任意测试版本的EXE,双击运行也没有误报啊,
如果只是查杀率低的话,主防还是有可能误报的,360卫士就是一个很好的例子。
所以火绒应该还是有实力的,毕竟在没有云的情况下,没法粗暴的拉白拉黑,得依赖于本地引擎。
longsheng1314
发表于 2018-11-12 15:27:17 | 显示全部楼层
谢谢分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 08:33 , Processed in 0.114159 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表