查看: 20139|回复: 89
收起左侧

[技术原创] 【第三章,家用环境的扫描、查杀、双击与修复】专业治疗杀软综合征

  [复制链接]
vaedzy
头像被屏蔽
发表于 2021-12-27 11:57:08 | 显示全部楼层 |阅读模式
本帖最后由 vaedzy 于 2022-1-3 13:20 编辑

第一章写了各个杀软的最低入正价格与渠道。
第二章写了各个杀软在网页加载、内存占用、磁盘占用、安装日常软件以及扫描速度的情况。
第三章,本来想等卡饭新的一期样本包测试时候再做,但由于样本包测试本身是公开的,会有上报的现象,所以本期样本包是由“弥豆子” 提供,样本347X,内部无损坏样本。本章测试内容作为样本包下载后解压后的扫描,与再次扫描,以及查杀,漏掉的样本均会双击,双击是查看是否会查掉,以及有些杀软有回滚,是否会修复。


在2021年12月27日 15:03时发现 此样本包有一点老,所以此次测试只能当作模拟家庭环境测试,家庭环境下测试意味着像是一些已经出现几天以上的木马病毒。特此标注,本次测试结果可能出现所有杀软数据都很不错的情况,到这个时间为止,目前测试了4个杀软,情况都不错。若想看最新的病毒包,可以等待我们拿到最新的病毒包进行测试。


特别鸣谢:@aiqinghe 占用他中午加下午一起进行测试 “弥豆子” 提供样本包  @onedrive 帮忙测试迈克菲


前文摘要:
【第一章,入正价格篇】专业治疗杀软综合征
【第二章,日常与占用篇】专业治疗杀软综合征
【终章,基于微软评估实验室的测试】专业治疗杀软综合征



快速阅读:
测试环境均以最新病毒库为基准,由于样本包都是病毒,漏掉的需要双击,所以无法像第二章一样靠重装系统进行测试,主要是担心有搞主板的东西。所以均在虚拟机环境下测试。


注意:此样本包由于“弥豆子”也未测试,所以有些样本可能会反虚拟机,若有在虚拟机中双击没反应的,我们将排除样本。
备注:所有杀软均是默认配置。

测试杀软:卡巴斯基 KIS  、 ESET EIS  、 AVIRA ANTIVIRUS PRO  、 迈克菲  、BitDefender 精英版 、诺顿 、Avast One 、F-Secure、MD

实时扫描:F-Secure < 卡巴斯基 < MD < BitDefender < Avast < 小红伞 < 诺顿 < ESET (实时扫描中,检测数最多的是ESET,最少的是F-Secure。其中迈克菲没有实时扫描功能,因此不参与对比

主动扫描:ESET < 小红伞 < Avast < BitDefender < F-Secure < 迈克菲 < MD < 卡巴斯基  (主动扫描中,检测数最少的是ESET,最多的是卡巴斯基。其中ESET是因为实时防护的原因导致了基本上病毒都在解压时候干掉了,诺顿同理,但诺顿落地杀与ESET一些不同的地方在于诺顿主动扫描和实时防护扫描结果触发检测手段一致,而ESET的实时防护和主动扫描疑似触法检测手段不一致。)

双击拦截:这个就不写了。因为有的是拦截有的是修复。还有的压根就不拦截。可以看看下面的表格,这项参数无法量化对比。

总体对比:小红伞 < F-Secure < 迈克菲 < Avast < MD < 诺顿 < ESET < 卡巴斯基 < BitDefender


正文:

测试软件:卡巴斯基 KIS  、 ESET EIS  、 AVIRA ANTIVIRUS PRO  、 迈克菲  、BitDefender 精英版 、诺顿 、Avast One 、F-Secure


测试环境(虚拟机):Windows10 专业工作站版(21H2) (均已打完补丁与windows商店软件更新)


测试项目:1.解压后的实时扫描  2.实时扫描后漏掉的二次扫描  3.扫描漏掉的双击查杀 4.双击后的情况



注明:由于没有公开样本包,所以控制了上报蹲点的可能性,但不排除此样本包中部分样本在其他机器感染并被上报,本次测试尽可能的控制变量,在12小时内完成。

测试流程如下:杀软更新到最新的病毒库,解压样本包,查看实时扫描的查杀,漏掉的样本进行扫描,扫描后再次统计,若还有漏掉的样本则直接双击,双击后查看查杀与修复。


以下例子是ECSP情况,实时防护+主动扫描后剩余样本数是真实的,但由于是MacBook导致无法双击,所以红色部分是如果发生后的处理办法,并非真实情况。真实情况参照下面的表格中批注。


如本人在拿到病毒包时测试的结果:ECSP剩余样本113x,
双击到第二个样本时系统崩溃,则按照112个样本未处理。 原因是真实环境下感染病毒杀软未拦截导致的系统崩溃,导致后续程序无法执行,就像人生不得 /remake 一样,所以依照此方法进行测试。其中347X病毒包可以运行的均已运行,已知有2个白样本,外加1个无行为,具体是哪个文件暂不知。






1.解压后的实时扫描(计算方法:剩余文件/样本包总数 = 检出率)
杀软 检出 剩余 检出率 cpu占用 测试人
基准值(MD) 97 250 27.95% 52% aiqinghe
迈克菲 0 347 0% 0%onedrive
BitDefender209 13860.23% 100% aiqinghe
小红伞Pro23810968.58% 40% 本人
Avast One 223 124 62.46%44%aiqinghe
ESET EIS340797.98% 30%“弥豆子”
卡巴斯基 KIS 4530213.54% 28% aiqinghe
诺顿 296 51 85.3% 43% aiqinghe
F-Secure333149.51% 31% aiqinghe

结果:F-Secure < 卡巴斯基 < MD < BitDefender < Avast < 小红伞 < 诺顿 < ESET



2.二次扫描(计算方法:检出值/解压后实时防护剩余值 = 检出率)
杀软 检出 剩余 检出率 cpu占用 测试人
基准值(MD) 234 16 93.6% 50% aiqinghe
迈克菲3064188.18%未知onedrive
BitDefender115 23 83.33% 100%aiqinghe
小红伞Pro5257 47.70% 70%本人
Avast One 1032183.06%40%aiqinghe
ESET EIS1614.28%10%“弥豆子”
卡巴斯基 KIS2984 98.67% 20% aiqinghe
诺顿 0 51 0 30% aiqinghe
F-Secure 268 46 85.35% 20% aiqinghe

结果:ESET < 小红伞 < Avast < BitDefender < F-Secure < 迈克菲 < MD < 卡巴斯基



3.双击(计算方法:(样本总数 - 剩余文件) / 样本总数 = 最终查杀 若有修复 则按照查杀处理)
杀软 双击拦截 修复 无法检测的样本 剩余样本 最终查杀率 测试人
基准值(MD) 1 0 15 95.68%aiqinghe
迈克菲703191.06%onedrive
BitDefender20 13 99.13%aiqinghe
小红伞Pro1704088.47% aiqinghe
Avast One 4 017 95.1%aiqinghe
ESET EIS0 06 98.72%“弥豆子”
卡巴斯基KIS 0 42 4 98.85% aiqinghe
诺顿 23 20 8 97.69% aiqinghe
F-Secure 9 0 37 89.34%aiqinghe

结果:小红伞 < F-Secure < 迈克菲 < Avast < MD < 诺顿 < ESET < 卡巴斯基 < BitDefender

在测试过程中,发现Avast One 在Mac情况下是剩余11个文件,但都是无法双击的文件,windows情况下剩余21个,与ESCP和EIS一样有查杀差距,小红伞也发现Mac环境下剩余25个文件,windows环境下剩余57个文件的情况。所以本帖依照Windows情况下处理。


最后:给大家一个总结。(可能总结的不是很全面,不喜勿喷)

FS:在宏病毒上,威力较弱,剩下的37X有31个是宏病毒。

小红伞:在宏病毒上,威力与FS差不多,剩下的40X也均是宏病毒。(ps:据说FS用的也是红伞引擎,为啥你比FS还差劲。并且扫描真的慢,测试迈克菲的朋友我等了他一个小时左右才测试好。这个红伞,比迈克菲还慢。中途卡死了一次虚拟机。我在Mac环境下直接测试时候,风扇嗷嗷的。)
迈克菲:扫描实在是太慢了,测试人回应剩余的EXL很多点开均没有病毒,有两种可能要么是被修复了,要么是无法检测宏病毒,在拦截上,只漏掉了一个exe,但系统本身没有问题。

卡巴斯基:永远的神。(3个可能是白文件 1个不知道是啥的东西)

ESET :由于此样本包提供者也进行测试了,回调的结果是3个可能是白样本,剩余3x,工作设备不敢双击,但是aiqinghe好兄弟双击了,可惜miss了,但疑似系统没啥破坏。

Avast:UI好看,轻量的产物,就是不知道为什么mac和windows环境下差距这么大。剩余的文件没点下去,因为人生不能/remake。 只能说在宏病毒上处理很棒,一眼望去没有exl与doc。

MD:没想到这个防护也是可以的,漏掉的是一些快捷方式和apk,宏病毒处理也不错。

诺顿:更新好慢啊,不过惊喜在于解压后病毒就直接带走,双击下去能修复的也全部修复了,剩余的,点不动。

BD:解压有点慢,防护有点猛。直接剩余3个。真的是大杀器。


此次测试,由于不知道白样本是哪个。我与@Eset小粉絲 @aiqinghe @anthonyqian @ICzcz  正在寻找,疑似有杀软误杀了。
找到后将更新个误杀情况。

附带样本地址:样本地址






评分

参与人数 14人气 +37 收起 理由
朦胧的风 + 2 版区有你更精彩: )
dongwenqi + 2 版区有你更精彩: )
LSPD + 3 精品文章
yy688go + 1 版区有你更精彩: )
yep96 + 3 版区有你更精彩: )

查看全部评分

aiqinghe
发表于 2021-12-27 19:37:07 | 显示全部楼层
本帖最后由 aiqinghe 于 2021-12-27 20:02 编辑

我在二楼更新测试的安软内容

一、汇总

1、静态扫描率


2、剩余样本双击检测率


3、综合防护检测率


综合来看,还是Bitdefender、Kaspersky、ESET和Norton四家稳稳拿捏安全防护的第一梯队,BD和卡巴在绝对安全方向探索,ESET和Norton在安全和资源占用方面做平衡。


二、AVAST 测试实录


三、Bitdefender评测实录


三、ESET测评实录


四、FS测评实录


五、Kaspersky实录


六、MD测评实录


七、Norton防护实录


八、Avira测评实录


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 15人气 +32 收起 理由
远方的星 + 2 加分鼓励
七游 + 2 版区有你更精彩: )
zpy0206 + 1 版区有你更精彩: )
yy688go + 1 版区有你更精彩: )
隔山打空气 + 2 版区有你更精彩: )

查看全部评分

隔山打空气
发表于 2021-12-27 19:55:55 | 显示全部楼层
终于等到了,盯着255权限看了三小时,前排支持

人气不够了,恢复后一并奉上,感谢大大们
onedrive
发表于 2021-12-27 19:56:59 | 显示全部楼层
本帖最后由 onedrive 于 2021-12-27 04:15 编辑

感谢@vaedzy 提供的活佛livesafe

前排占楼!mcafee测试环境:win11pro,版本16.0R42。
McAfee剩下的41个文件中约有一半为文档excel,和一个word,猜测应该是比较新的漏洞攻击,双击无反应。
双击对于JS和Powershell的拦截中,3/5的js拦截率,1/3的Powershell拦截率。
另外咖啡修复在这个测试中惨败,实际0修复(修复了20个zip文件夹中存在病毒的问题——最终剩下20个空zip)。
我认为,咖啡采用LAM后遗症还是很明显,修复能力这块在云化之后降低了不少(前半句猜测猜测的,后半句是17年坛友测得)

mcafee没有改动设置,全场保持默认设置(关键是也改不了),扫描时关闭监控。双击时打开监控。
另外:扫描速度很慢。非常慢。

一部分图片:
扫描前


扫描后(统计软件貌似有点问题,所以手动又确认了下)




双击时
双击拦截






双击没反应



最终剩余54-20=34.  (20个空zip)



评分

参与人数 4人气 +8 收起 理由
yy688go + 1 版区有你更精彩: )
隔山打空气 + 3 版区有你更精彩: )
ericdj + 2 感谢提供分享
vaedzy + 2 真的谢谢好兄弟排忧解难

查看全部评分

隔山打空气
发表于 2021-12-27 20:00:43 | 显示全部楼层
请问可以把测试使用的安全软件设置贴出来吗?这样可以增加说服力,也让我们有个参考。

麻烦了。
aiqinghe
发表于 2021-12-27 20:04:44 | 显示全部楼层
隔山打空气 发表于 2021-12-27 20:00
请问可以把测试使用的安全软件设置贴出来吗?这样可以增加说服力,也让我们有个参考。

麻烦了。

设置都是默认的,没动,免得有差异性
详细的实录图我补到二楼了,可以参考
隔山打空气
发表于 2021-12-27 20:08:06 | 显示全部楼层
aiqinghe 发表于 2021-12-27 20:04
设置都是默认的,没动,免得有差异性
详细的实录图我补到二楼了,可以参考

BEST的话似乎不是默认设置吧...您要不再确认一遍?

谢谢大大们的图和努力
ICzcz
发表于 2021-12-27 20:09:10 | 显示全部楼层
不错啊做的挺好的下次啥时候把我也叫上@vaedzy
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-27 20:09:20 | 显示全部楼层
美团外卖小哥 发表于 2021-12-27 20:08
最好把样本的链接发出来

已征得提供者同意。样本区已公开。
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-27 20:10:22 | 显示全部楼层
ICzcz 发表于 2021-12-27 20:09
不错啊做的挺好的下次啥时候把我也叫上@vaedzy

等下次@00006666 六哥的样本吧,这次样本不是很新,拼的是入库。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:18 , Processed in 0.125779 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表