关于各家杀毒软件 防误报学习能力 的测试

ddxuchen

问题如题，主要讨论的是有关杀毒软件引擎“自学习能力”与“防误报”的效果。
分享一下自己的一些测试结果，不喜勿喷。

材料准备：企业内部客户端（C#开发）+ 混淆 + 加壳
测试软件：Windows Defender、卡巴斯基、火绒、360卫士、腾讯管家
环境说明：Windows 10（1709）64位，各杀毒软件均默认安装配置，病毒库均升级到最新

初始测试：

• Windows Defender：误报木马（官方提交误报×1）
• 卡巴斯基：误报病毒（官方提交误报×1）
• 火绒：无误报（太棒了！）
• 360卫士：无误报（疑似加白？）
• 腾讯管家：无误报（疑似加白？）
  

更新客户端后测试：

• Windows Defender：误报木马（官方提交误报×2）
• 卡巴斯基：无误报（太棒了！）
• 火绒：无误报（太棒了！）
• 360卫士：误报木马
• 腾讯管家：误报木马
  

再更新客户端后测试：

• Windows Defender：误报木马（官方提交误报×3）
• 卡巴斯基：无误报（太棒了！）
• 火绒：无误报（太棒了！）
• 360卫士：误报木马
• 腾讯管家：误报木马
  

再再更新客户端后测试：

• Windows Defender：无误报（太棒了！）
• 卡巴斯基：无误报（太棒了！）
• 火绒：无误报（太棒了！）
• 360卫士：误报木马
• 腾讯管家：误报木马
  

测试说明：

• 整个测试为期3个多月，每次更新客户端即为升级版本，并会用相同的方式混淆加壳
• 开始不误报而后面误报的软件，很显然之前加过白名单，所以不会再向官方提交误报申诉
• 因为客户端没有数字签名证书，所以不用担心有厂商拉白证书，影响测试结果
• 每次客户端升级版本至少有2~5%的代码改动，并非单纯改MD5
  

结论：

• 火绒的表现很惊艳，全程下来没有任何的误报
• 卡巴斯基表现也是出乎意料，居然申诉一次之后就自学习，后续无任何误报
• Windows Defender在连续三次申诉，学习之后也不再误报了，看来微软有了很大的进步
• 360卫士和腾讯管家，看来两家只是单纯拉白，无任何学习可言，误报问题永无宁日
• 个人认为安全厂商的良心所在就是控误报能力，否则乱杀一通还不如卸载
• 以上结果仅供参考，只是测试了一个软件，大家也可以去试试
  

大耳朵小世界

学习借鉴了。我懒得深度测试了。

拉登姐

谢谢分享。期待后续更多测试

Abbyshe

看来火绒也不错。

Picca

好帖子，建议楼主加入eset、BD作为对比

幽冥の龙

我在想火绒会不会是因为查杀低。。。所以
不过用了那么多年了确实也没中过毒，而且一直很安静。。最近装了智量倒是时不时报毒，都是误报。。。

ddxuchen

Karna 发表于 2018-11-11 23:36
好帖子，建议楼主加入eset、BD作为对比

ESET本来是有测试的，听说他家的脱壳能力不错，
但是介于ESET官方提交误报之后杳无音讯，等了很久最终选择放弃。
不过它家误报的是壳，直接识别出用了哪种壳也是叫人佩服，比其他的随便误报病毒木马要好很多。

至于BD，后来做完上面的测试之后，出于好奇也的确是追加了。
结果是初次误报病毒，官方申诉通过后，后续无任何误报。
因为没有和上面的其他软件做同时间内的平行测试，出于严谨的考虑，所以没有列出来。

dsb2466

加上毒霸呗

ddxuchen

幽冥の龙 发表于 2018-11-12 09:43
我在想火绒会不会是因为查杀低。。。所以
不过用了那么多年了确实也没中过毒，而且一直很安静。。最 ...

然而上面任意测试版本的EXE，双击运行也没有误报啊，
如果只是查杀率低的话，主防还是有可能误报的，360卫士就是一个很好的例子。
所以火绒应该还是有实力的，毕竟在没有云的情况下，没法粗暴的拉白拉黑，得依赖于本地引擎。

longsheng1314

谢谢分享