年终杀软横评——本地主防测试（锁库测试）

aiqinghe

《专业治疗杀软综合征 》这一系列目前已经完成了
渠道价格https://bbs.kafan.cn/thread-2224121-1-1.html
使用体验https://bbs.kafan.cn/thread-2224211-1-1.html
修复防护https://bbs.kafan.cn/thread-2224242-1-1.html

以上三章节的内容，由于上次查杀修复章节里使用的是比较老的一个样本包，能够体现出来一定的杀软水平差距，但对于更高安全性的需求，主防测试和反网络攻击测试是必不可少的。所以本次的终章会加上本地主防测试（锁库测试）和反网络攻击表现，其中反网络攻击章节由于测试项目很多，正在紧锣密鼓的准备（前排@vaedzy 氪金大佬搞定了微软安全实验室测试项目）






一、本次本地主防的锁库测试总共筛选了25个样本（锁库后免查杀干扰）都在微步跑过了确定没有白文件，稍后测试包也将放到样本区。

评分标准如下：


总得分如下：


测试方法是断网+锁库来测试本地主防能力。其实这对一部分杀软是吃亏的（比如诺顿和FS），因为SONAR和DG对于云的依赖性比较高，但问题是联网很难能找到免杀这么多杀软的新样本，而且如果真是有新的漏洞或者病毒爆发，云响应终归是有时效性，所以本地主防作为最后一道底牌意义是非常大的。在双击测试完之后，所有的杀软也都会联网更新再全盘扫描查杀，看能否成功修复系统，这也是一个考量项。
基于网络的防护能力测试会在下个章节放出，可以综合来看防护效果






二、测试杀软表现：

1、卡巴斯基KIS，保护模块全开，应用程序控制默认设置，规则默认，防病毒模块全开
整体表现如下：


25个样本中，SW主防拦截17个，均回滚成功没有留下衍生物残留；AMSI防护拦截2个，三个样本双击后成功杀掉衍生物，但是样本本体不杀，算0.5分。最后miss3个。测完后联网更新病毒库后全网扫描，查杀残存衍生物和病毒本体后重启系统一切正常，成功修复。卡巴的本地主防还是非常扎实的，总得分20.5


2、Norton Security，保护模块全开，SONAR开主动模式，其他均默认
整体表现如下：

双击样本中，SONAR杀6个，启发杀3个，共计拦截9个。测试中明显感觉到SONAR的拦截点比较靠后，比如样本4，我是跑完接近一分半了sonar才弹出来拦截，幸好相关衍生物也成功清楚了，但如果是勒索类还没有卡巴的回滚那就惨了。杀衍生物5个，miss11个，整体防护率并不理想，其中勒索病毒并没有拦截，导致系统中了勒索防护失败。测完后联网更新病毒库后全网扫描，IPS和防火墙弹窗默认阻止，提示启用NPE查杀，但NPE被干费了无法启动，正常全盘查杀完重启系统崩溃进不去了，修复失败。诺顿的主防在断网情况下的表现是很糟糕的，这一套防护也许久没大的更新了，实属不应该。总得分8.5


3、F-Secure Safe，保护模块全开，DG和防勒索模块默认
整体表现如下：

因为我是先测的诺顿，再测的FS，所以DG主防的表现其实是超乎我预料的，拦截11个并且防住了最关键的勒索病毒。杀了2个衍生物，最终miss了12个。DG主防的拦截点都还是挺靠前的，能防住的基本都在10s内警告拦截，不拖泥带水，衍生物也很少。测完后联网更新病毒库后全网扫描，问题是扫完重启后外链木马并没有彻底查杀，一直弹窗警告杀不完，所以算是修复失败，但比诺顿和后面的ESET\咖啡都要强得多了。DG一直被定义为云主防，现在看本地也是能顶半边天的，总得分9，和诺顿半斤八两


4、BEST，保护模块全开，其中机器学习开普通档，ATC默认，沙盘开严格
整体表现如下：


毫无疑问BEST是本地防护做的最扎实的，而且也有小惊喜就是本地沙盘。原本我以为BEST只有云沙盒联网使用，这次询问后才得知是有本地沙盘自动分析的。比如19个ATC查杀的样本中，我在测试时并没有双击，是解压后BEST自动分析隔离的，查看报毒名才发现是本地沙盘+ATC杀，这点真的太强了。拦截点上，HD机器学习比ATC更靠前，有2个机器学习杀的样本都是解压后就直接kill的，剩下的3个是双击杀。还有一个是杀衍生物。测完后联网更新病毒库后全盘扫描，带走了本体和一部分残留，修复成功。BEST这套非常强的本地防护体系总得分24.5
鸡蛋里挑骨头，在测试中也是发现了一些问题，比如没有回滚需要后续扫描杀残留，以及机器学习的误报，因为解压缩病毒把测试机的winrar也给杀了。


5、ESET EIS，保护模块全开，hips智能模式，安全阈值那里调整为激进
整体表现如下：

ESET的测试是比较尴尬的，全程没有截到hips或者高级内存查杀等的日志弹窗，在测试时也只杀掉了13个样本的衍生物并且miss了12个。可以说一旦过掉了ESET的查杀，后面就很悬了，一直弹窗删除，但就是不杀本体，好点的地方是勒索防住了没有中招，测完后联网更新病毒库后全网扫描，出现了查杀病毒但一直清除失败的情况，重启后也是无法正常查杀，防御失败。
这套本地防御问题很明显，主防基本摆设，病毒清除能力太低。总得分3.5


6、Mcafee企业版MES，因为从论坛得知咖啡企业版的主防比个人版强一些，所以用MES做的测试，Realprotect开本地扫描，阈值默认，其他防护全开
整体表现如下：

Mcafee的表现很糟糕，我测了两遍才确认这个数据没错，后来问了一下才得知咖啡的主防比诺顿之流更依赖云。总共拦截住了1个，杀了两个样本的衍生物。由于漏的实在太多，而且中了勒索，后期虚拟机的CPU直接卡崩炸了。测完后联网更新病毒库后全网扫描，杀了N个衍生物和本体，但还是没挽救回来系统，防御失败。最终得分-1分。
这个表现真的很糟糕，有Mcafee使用的大神还请赐教下怎么设置，我总觉得Mcafee不至于差到这种水准。




三、汇总：
评分汇总后如下



单纯看本地防护（主防策略）上，目前 BEST>卡巴斯基>F-Secure≥Norton>ESET>咖啡 防护能力是按照这个梯度来的。

因为测试的这几款杀软也都是主流比较热门的，我也谈一下自己的感受。

有惊喜的是BEST和F-Secure，本也知道BEST很强，但没想到有这么强；F-Secure虽然近期没有大动作，但至少在DG主防上有一直在进步。

卡巴斯基一直很稳，表现也是符合本来的预期的。

很失望的是诺顿，ESET和咖啡，诺顿从改组以来，近两年的时间防护技术都没有大的改进，收购3A后的动作也看不太出来，停滞太长时间了，防护能力和第一梯队的BD/卡巴差距越来越大了；ESET的主防、HIPS也是一直没有发展，虽然上线了ELG但从坛友的测试来看表现也一般，过了扫描就GG，清毒能力还不足的问题一直没解决；Mcafee按理说不应该是这种水平，以至于很多坛友可能都惊讶Mcafee还有主防，看AV-C的本地分数，Mcafee也一般，不温不火的。

猛然觉得美系这俩（Norton和Mcafee）是不是觉得北美市场稳当当的不思进取了也不看看快被Malwarebytes和CrowdStrike吃成啥样了

以上便是本地主防测试的内容了，网络攻击防护部分正在紧张准备，大家敬请期待吧！

四、测试截图附加

1、卡巴斯基


2、诺顿






3、BEST




4、ESET




5、F-Secure




6、Mcafee

vaedzy

前排提醒，已经测完一些杀软 有什么想看的赶紧睡 还有20个机位。在此感谢6个好兄弟不分昼夜的一起测试@anthonyqian @Eset小粉絲 @ICzcz @隔山打空气 @onedrive @aiqinghe

隔山打空气

vaedzy 发表于 2021-12-30 20:11
前排提醒，已经测完一些杀软 有什么想看的赶紧睡 还有20个机位。在此感谢6个好兄弟不分昼夜的一起测试@anth ...

不 分 昼 夜（我还没开始呢，全程摸鱼的，都是其他人的功劳——至少到现在是这样）
BEST，稳！企业版永远的神！

卡巴，家用的神，卡饭的魂！

onedrive

这就是断网下的咖啡，证明了18块钱的咖啡一点也没有9块钱的诺顿香

onedrive

隔山打空气 发表于 2021-12-30 04:14
不 分 昼 夜（我还没开始呢，全程摸鱼的，都是其他人的功劳——至少到现在是这样）
BEST，稳！企业版永 ...

最强个人版无疑了。感觉很重视个人版软件质量。

隔山打空气

onedrive 发表于 2021-12-30 20:17
这就是断网下的咖啡，证明了18块钱的咖啡一点也没有9块钱的诺顿香

V大的18美元无限BDGZ-Ultra了解一下哈哈哈哈哈，一想到这个就忍不住，赢麻了
不过我是真没想到BEST居然有本地自动沙盘分析？这太震撼了，果然是企业版黑科技满满啊

onedrive

隔山打空气 发表于 2021-12-30 04:19
V大的18美元无限BDGZ-Ultra了解一下哈哈哈哈哈，一想到这个就忍不住，赢麻了

我还是9块钱的诺顿吧

隔山打空气

onedrive 发表于 2021-12-30 20:23
我还是9块钱的诺顿吧

唢呐还是差点意思，但是人家的信誉封锁+高启发是相当强悍，甚至可以说是不压误报专为检测的变态检测能力。

而且诺顿本身负担其实也很低，IPS很强，只要不在乎那些误报其实诺顿对抗绝大多数威胁都是能做到御敌于国门之外的。

onedrive

隔山打空气 发表于 2021-12-30 04:27
唢呐还是差点意思，但是人家的信誉封锁+高启发是相当强悍，甚至可以说是不压误报专为检测的变态检测能力 ...

这应该是翻译成声纳好一点吧，唢呐听着太奇怪了。主要是3ANB在手，可以期待一下的。

隔山打空气

onedrive 发表于 2021-12-30 20:30
这应该是翻译成声纳好一点吧，唢呐听着太奇怪了。主要是3ANB在手，可以期待一下的。

其实我第一次看诺顿的时候就看见他的SONAR主动防护了，然后去网上一查是声纳的英文

后来看论坛人称唢呐，行那就唢呐呗23333，也好记

如果他们整合成功了，那我乐观估计上可比肩比特梵德卡巴斯基，下可以稳压别的厂商

不过现在看来似乎还不能高兴太早，当然这是非常值得期待的事情，我也希望出现集百家之长的新3ANB