【第三章，家用环境的扫描、查杀、双击与修复】专业治疗杀软综合征

显示全部楼层 · 发表于 2021-12-27 11:57:08

本帖最后由 vaedzy 于 2022-1-3 13:20 编辑

第一章写了各个杀软的最低入正价格与渠道。
第二章写了各个杀软在网页加载、内存占用、磁盘占用、安装日常软件以及扫描速度的情况。
第三章，本来想等卡饭新的一期样本包测试时候再做，但由于样本包测试本身是公开的，会有上报的现象，所以本期样本包是由“弥豆子” 提供，样本347X，内部无损坏样本。本章测试内容作为样本包下载后解压后的扫描，与再次扫描，以及查杀，漏掉的样本均会双击，双击是查看是否会查掉，以及有些杀软有回滚，是否会修复。

在2021年12月27日 15:03时发现此样本包有一点老，所以此次测试只能当作模拟家庭环境测试，家庭环境下测试意味着像是一些已经出现几天以上的木马病毒。特此标注，本次测试结果可能出现所有杀软数据都很不错的情况，到这个时间为止，目前测试了4个杀软，情况都不错。若想看最新的病毒包，可以等待我们拿到最新的病毒包进行测试。

特别鸣谢：@aiqinghe 占用他中午加下午一起进行测试 “弥豆子” 提供样本包 @onedrive 帮忙测试迈克菲

前文摘要：
【第一章，入正价格篇】专业治疗杀软综合征
【第二章，日常与占用篇】专业治疗杀软综合征
【终章，基于微软评估实验室的测试】专业治疗杀软综合征

快速阅读：
测试环境均以最新病毒库为基准，由于样本包都是病毒，漏掉的需要双击，所以无法像第二章一样靠重装系统进行测试，主要是担心有搞主板的东西。所以均在虚拟机环境下测试。

注意：此样本包由于“弥豆子”也未测试，所以有些样本可能会反虚拟机，若有在虚拟机中双击没反应的，我们将排除样本。
备注：所有杀软均是默认配置。

测试杀软:卡巴斯基 KIS 、 ESET EIS 、 AVIRA ANTIVIRUS PRO 、迈克菲、BitDefender 精英版、诺顿、Avast One 、F-Secure、MD

实时扫描：F-Secure < 卡巴斯基 < MD < BitDefender < Avast < 小红伞 < 诺顿 < ESET （实时扫描中，检测数最多的是ESET，最少的是F-Secure。其中迈克菲没有实时扫描功能，因此不参与对比）

主动扫描：ESET < 小红伞 < Avast < BitDefender < F-Secure < 迈克菲 < MD < 卡巴斯基 (主动扫描中，检测数最少的是ESET，最多的是卡巴斯基。其中ESET是因为实时防护的原因导致了基本上病毒都在解压时候干掉了，诺顿同理，但诺顿落地杀与ESET一些不同的地方在于诺顿主动扫描和实时防护扫描结果触发检测手段一致，而ESET的实时防护和主动扫描疑似触法检测手段不一致。)

双击拦截：这个就不写了。因为有的是拦截有的是修复。还有的压根就不拦截。可以看看下面的表格，这项参数无法量化对比。

总体对比：小红伞 < F-Secure < 迈克菲 < Avast < MD < 诺顿 < ESET < 卡巴斯基 < BitDefender

正文：

测试软件：卡巴斯基 KIS 、 ESET EIS 、 AVIRA ANTIVIRUS PRO 、迈克菲、BitDefender 精英版、诺顿、Avast One 、F-Secure

测试环境(虚拟机)：Windows10 专业工作站版(21H2) (均已打完补丁与windows商店软件更新)

测试项目：1.解压后的实时扫描 2.实时扫描后漏掉的二次扫描 3.扫描漏掉的双击查杀 4.双击后的情况

注明：由于没有公开样本包，所以控制了上报蹲点的可能性，但不排除此样本包中部分样本在其他机器感染并被上报，本次测试尽可能的控制变量，在12小时内完成。

测试流程如下：杀软更新到最新的病毒库，解压样本包，查看实时扫描的查杀，漏掉的样本进行扫描，扫描后再次统计，若还有漏掉的样本则直接双击，双击后查看查杀与修复。

以下例子是ECSP情况，实时防护+主动扫描后剩余样本数是真实的，但由于是MacBook导致无法双击，所以红色部分是如果发生后的处理办法，并非真实情况。真实情况参照下面的表格中批注。

如本人在拿到病毒包时测试的结果：ECSP剩余样本113x，双击到第二个样本时系统崩溃，则按照112个样本未处理。原因是真实环境下感染病毒杀软未拦截导致的系统崩溃，导致后续程序无法执行，就像人生不得 /remake 一样，所以依照此方法进行测试。其中347X病毒包可以运行的均已运行，已知有2个白样本，外加1个无行为，具体是哪个文件暂不知。

1.解压后的实时扫描（计算方法：剩余文件/样本包总数 = 检出率）

杀软	检出	剩余	检出率	cpu占用	测试人
基准值(MD)	97	250	27.95%	52%	aiqinghe
迈克菲	0	347	0%	0%	onedrive
BitDefender	209	138	60.23%	100%	aiqinghe
小红伞Pro	238	109	68.58%	40%	本人
Avast One	223	124	62.46%	44%	aiqinghe
ESET EIS	340	7	97.98%	30%	“弥豆子”
卡巴斯基 KIS	45	302	13.54%	28%	aiqinghe
诺顿	296	51	85.3%	43%	aiqinghe
F-Secure	33	314	9.51%	31%	aiqinghe

结果：F-Secure < 卡巴斯基 < MD < BitDefender < Avast < 小红伞 < 诺顿 < ESET

2.二次扫描（计算方法：检出值/解压后实时防护剩余值 = 检出率）

杀软	检出	剩余	检出率	cpu占用	测试人
基准值(MD)	234	16	93.6%	50%	aiqinghe
迈克菲	306	41	88.18%	未知	onedrive
BitDefender	115	23	83.33%	100%	aiqinghe
小红伞Pro	52	57	47.70%	70%	本人
Avast One	103	21	83.06%	40%	aiqinghe
ESET EIS	1	6	14.28%	10%	“弥豆子”
卡巴斯基 KIS	298	4	98.67%	20%	aiqinghe
诺顿	0	51	0	30%	aiqinghe
F-Secure	268	46	85.35%	20%	aiqinghe

结果：ESET < 小红伞 < Avast < BitDefender < F-Secure < 迈克菲 < MD < 卡巴斯基

3.双击（计算方法：(样本总数 - 剩余文件) / 样本总数 = 最终查杀若有修复则按照查杀处理）

杀软	双击拦截	修复	无法检测的样本	剩余样本	最终查杀率	测试人
基准值(MD)	1	0	无	15	95.68%	aiqinghe
迈克菲	7	0	无	31	91.06%	onedrive
BitDefender	20	1	无	3	99.13%	aiqinghe
小红伞Pro	17	0	无	40	88.47%	aiqinghe
Avast One	4	0	无	17	95.1%	aiqinghe
ESET EIS	0	0	无	6	98.72%	“弥豆子”
卡巴斯基KIS	0	42	无	4	98.85%	aiqinghe
诺顿	23	20	无	8	97.69%	aiqinghe
F-Secure	9	0	无	37	89.34%	aiqinghe

结果：小红伞 < F-Secure < 迈克菲 < Avast < MD < 诺顿 < ESET < 卡巴斯基 < BitDefender

在测试过程中，发现Avast One 在Mac情况下是剩余11个文件，但都是无法双击的文件，windows情况下剩余21个，与ESCP和EIS一样有查杀差距，小红伞也发现Mac环境下剩余25个文件，windows环境下剩余57个文件的情况。所以本帖依照Windows情况下处理。

最后：给大家一个总结。(可能总结的不是很全面，不喜勿喷)

FS：在宏病毒上，威力较弱，剩下的37X有31个是宏病毒。

小红伞：在宏病毒上，威力与FS差不多，剩下的40X也均是宏病毒。(ps:据说FS用的也是红伞引擎，为啥你比FS还差劲。并且扫描真的慢，测试迈克菲的朋友我等了他一个小时左右才测试好。这个红伞，比迈克菲还慢。中途卡死了一次虚拟机。我在Mac环境下直接测试时候，风扇嗷嗷的。)
迈克菲：扫描实在是太慢了，测试人回应剩余的EXL很多点开均没有病毒，有两种可能要么是被修复了，要么是无法检测宏病毒，在拦截上，只漏掉了一个exe，但系统本身没有问题。

卡巴斯基：永远的神。(3个可能是白文件 1个不知道是啥的东西)

ESET ：由于此样本包提供者也进行测试了，回调的结果是3个可能是白样本，剩余3x，工作设备不敢双击，但是aiqinghe好兄弟双击了，可惜miss了，但疑似系统没啥破坏。

Avast：UI好看，轻量的产物，就是不知道为什么mac和windows环境下差距这么大。剩余的文件没点下去，因为人生不能/remake。只能说在宏病毒上处理很棒，一眼望去没有exl与doc。

MD：没想到这个防护也是可以的，漏掉的是一些快捷方式和apk，宏病毒处理也不错。

诺顿：更新好慢啊，不过惊喜在于解压后病毒就直接带走，双击下去能修复的也全部修复了，剩余的，点不动。

BD：解压有点慢，防护有点猛。直接剩余3个。真的是大杀器。

此次测试，由于不知道白样本是哪个。我与@Eset小粉絲 @aiqinghe @anthonyqian @ICzcz 正在寻找，疑似有杀软误杀了。
找到后将更新个误杀情况。

附带样本地址：样本地址

显示全部楼层 · 发表于 2021-12-27 19:37:07

本帖最后由 aiqinghe 于 2021-12-27 20:02 编辑

我在二楼更新测试的安软内容

一、汇总

1、静态扫描率

2、剩余样本双击检测率

3、综合防护检测率

综合来看，还是Bitdefender、Kaspersky、ESET和Norton四家稳稳拿捏安全防护的第一梯队，BD和卡巴在绝对安全方向探索，ESET和Norton在安全和资源占用方面做平衡。

二、AVAST 测试实录

三、Bitdefender评测实录

三、ESET测评实录

四、FS测评实录

五、Kaspersky实录

六、MD测评实录

七、Norton防护实录

八、Avira测评实录

显示全部楼层 · 发表于 2021-12-27 19:55:55

终于等到了，盯着255权限看了三小时，前排支持

人气不够了，恢复后一并奉上，感谢大大们

显示全部楼层 · 发表于 2021-12-27 19:56:59

本帖最后由 onedrive 于 2021-12-27 04:15 编辑

感谢@vaedzy 提供的活佛livesafe

前排占楼！mcafee测试环境：win11pro，版本16.0R42。
McAfee剩下的41个文件中约有一半为文档excel，和一个word，猜测应该是比较新的漏洞攻击，双击无反应。
双击对于JS和Powershell的拦截中，3/5的js拦截率，1/3的Powershell拦截率。
另外咖啡修复在这个测试中惨败，实际0修复（修复了20个zip文件夹中存在病毒的问题——最终剩下20个空zip）。
我认为，咖啡采用LAM后遗症还是很明显，修复能力这块在云化之后降低了不少（前半句猜测猜测的，后半句是17年坛友测得）

mcafee没有改动设置，全场保持默认设置（关键是也改不了），扫描时关闭监控。双击时打开监控。
另外：扫描速度很慢。非常慢。

一部分图片：
扫描前

扫描后（统计软件貌似有点问题，所以手动又确认了下）