電腦領域 HKEPC Hardware - Powered by Discuz! Board

標題: 20款防毒軟件測試 [打印本頁]

作者: kslee30 時間: 2017-5-17 06:18 標題: 20款防毒軟件測試

本帖最後由 kslee30 於 2017-5-17 06:22 編輯

文章來源 : [技術原創] WanaCrypt0r勒索病毒：20 款殺軟主防測試
原作者 : houtiancheng

請注意 !
這個測試是將所有防毒軟體的時間凍結在 2016/12/12 日，
包含所有的病毒資料庫、引擎等，並且禁止所有網路連線。
其目的是為了模擬各家防毒軟體，遇上未知的威脅，是否能有效防禦勒索病毒的行為

在 2016/12/12 的時候，這隻 WannaCry(想哭) 勒索病毒應該是還不存在的，
透過這種方式，模擬各家防毒軟體，如果在未來的時候面臨勒未知的索病毒攻擊時，
能否有效發揮自家的主動式防禦，正確偵測出勒索病毒的惡意行為，並且阻止。

------------------

更新 : 2017/05/15 19:00
由於 HitmanPro.Alert 開發者提出解釋，
原作者重新測試之後，發現結果有改變，
本文一併按照原作者測試結果更新。

------------------

以下是該文章正式內容 :

======================================

看到最近這個勒索這麼火，手癢啦~
這個樣本主要應該是靠漏洞傳播，剛好合適我的測試環境，
所以來測試一下看看各大防毒軟體的主防是否有效。

測試的方法照舊是鎖庫+ 斷網（不再對這個測試方法回覆，詳情參照我之前的測試貼）。
這次用的大部分防毒都鎖在2016年12月12日的庫，雖然很早很早，但結果依然令人驚訝的好。

測試環境：
VBox 虛擬機，Windows 7 英文版SP1（未更新），各防毒軟體均採用預設值設定，
解壓後直接雙擊執行病毒

樣本下載：
http://bbs.kafan.cn/thread-2088985-1-1.html

測試結果：

防禦成功（會留下一些無害衍生物）：

BitDefender Free（20161212）：(比特凡德免費版)
一聲不響就殺掉了

Kaspersky Internet Security（20161212）：(卡巴斯基網路安全套裝)
被加密了一些檔案後，主動防禦發現威脅並移除，並成功復原遭加密的檔案

F-Secure Client Security（20161212）：(芬安全)
主動式防禦發現威脅並移除

Cybereason RansomFree（20161231，v2.1.1.0）：(這軟體只有防勒索功能，不能算防毒軟體)
成功攔截攻擊

Emsisoft Internet Security（20170104）：
智慧型 HIPS 發現威脅，並提示疑似為勒索病毒，依照建議阻止並隔離

Dr. Web Anti-Virus（20161212）：(大蜘蛛)
啟發式分析，偵測到威脅並刪除
(根據原作者說明，連變種的也能夠偵測到)

SandBoxie（v5.12）：(沙盒)
成功防禦。
(作者表示預期之內，即使是舊版本的沙盒，依舊不會被攻破)

----------------------------

在部分狀況能夠防禦的：

HitManPro.Alert（3.6.1 Build 574）：
系統內至少需要在不同地點儲存私人文件檔案，HMPA 才會有動作。
若只有在桌面上放檔案、圖片，則不會有反應。

只有在桌面上放檔案 (失敗)

除了桌面，其他地方也放上私人檔案後 (成功防禦)

----------------------------

檢測到惡意行為，但防禦失敗(後知後覺)的：

Trend Micro（20161212）：(趨勢科技)
跳出警告視窗，但即使選擇封鎖，文件檔案依舊被加密綁架

GDATA（20161212）：
同樣都有警告訊息，但是即使點封鎖，文件檔案依舊被加密綁架

)

----------------------------

防禦失敗（無反應且檔案被加密）：

360殺毒+360衛士（20161212）：(中國版 360)

360 Total Security（20161212）：(國際版 360)

火絨（20161212）：(中國火絨)

費爾（20161212）：(中國費爾托斯特)

AVAST Internet Security（20170127，舊版）：(Avast 網路安全、舊版本)

AVAST Internet Security（20170210，IDP融合後的版本）：(Avast 網路安全、新版本)

AVG Free（20161212）：

McAfee Endpoint Security（20161220）：(邁克菲、賣咖啡)

Symantec Endpoint Security（20161212）：(賽門鐵克)

Avira Free（20161212）：(小紅傘、免費版)

ESET Internet Security（20161219）：(ESET、NOD32)

----------------------------

總結：

原作者 :
之前看到有人說，國外這些防毒大廠技術先進，可能領先幾個月之多。
當時我不太相信，不過現在只能說，事實勝於雄辯 ~
無論從哪個測試看，無疑卡巴斯基和比特凡德都是現在防毒大軍中的超一流，這再次得到了驗證。
這也再次證明了主動式防禦的必要性。

用5個月前的病毒資料庫和行為資料庫斬殺了5個月後流行的病毒，事實勝於雄辯。
（可惜了我的AVG……不給力啊）
（ps：如果讓exe入沙盒執行，AVG 的IDP 技術是會有警告攔截的，算是個小驚喜ww）
（pps：本次測試娛樂成分居多，結果僅供參考~）

=============================

我個人的補充 :

首先感謝卡飯的 houtiancheng 協助測試這麼多款的防毒軟體 ~ 含情

在現今這麼多防毒軟體都在宣稱自己是最佳的選擇，
並且都大肆宣傳可以抵禦勒索病毒的狀況下，
究竟那些防毒軟體可以真正靠軟體本身的防禦能力，
來抵禦未知、或者變種的勒索病毒，
而不是單純只靠發現後才列入黑名單的消極做法，有相當的參考意義。

每一家的防毒軟體的廠商，辨識病毒並將病毒的資料輸入到資料庫，列入黑名單，
然後使用者在透過網路更新防毒軟體的病毒碼，這都是需要一段時間的。
如果說有人在這段時間內就不幸中了新的、變種的勒索病毒，
那就很有可能在防毒軟體還無法正式辨識之前，就會中獎了。

所以不論防毒廠商的更新速度在怎樣的快，
還是有可能會有段空窗期 ~
之前在伊莉論壇的假 Flash 更新檔(木馬)，就是一個例子，
許多防毒軟體將假更新檔(木馬)列入病毒資料庫的速度不夠快。

從上面例子來看，主動式的防禦能力還是有其必要，
主動式防禦能夠在防毒軟體認識這隻病毒之前，
就能先注意到可疑的行為，並且成功地阻止，並建議使用者處理。

由 houtiancheng 的測試可以看出每一家防毒軟體的主動式防禦，
誰的防禦能力比較佳，誰的比較弱，誰甚至完全沒有，應該都很清楚了茶

不過我還是要說 :
請注意 ! 這項測試只是提供各位一個參考，絕對不是防毒軟體的優劣排名
也不是非常嚴謹的一項測試，都是僅供參考而已 ~

在現今勒索病毒肆虐的環境之下，
除了一定要做好系統漏洞的更新、軟體的更新之外，
慎選系統最後一道防護，也是應該考量的地方。

像是我自己選擇的就是 Emsisoft 這一套，
除了非常省系統資源，且採用雙引擎、雙資料庫，
加上強大的主動式防禦系統(Behavior Blocker)，
真的是我近期用過讓我非常滿意的防毒軟體讚
如果對 Emsisoft 有興趣的，可以參考我以前發的文章(點我)

這裡替大家省些時間，如果說有人有對這幾家表現好的防毒軟體有興趣，
文末提供這次表現較佳的幾家防毒軟體下載連結 :
(下載點均為官方網站)

BitDefender Free (比特凡德、免費版)

Kaspersky Internet Security (卡巴斯基安全軟體、30天試用)

F-Secure Internet Security (芬安全網路安全、30天試用)

Emsisoft Anti-Malware (無防火牆、30天試用)
Emsisoft Internet Security (含防火牆、30天試用)

Dr.Web Anti-virus (無防火牆、30天試用)
Dr.Web Security Space (全功能、30天試用)

更新補充 :

Q.
為什麼沒有 XXX 防毒、XXX 廠牌的測試 ?
是不是在圖利特定廠商 ?

A.
由於這是該位作者在半年之久以前，透過虛擬機的系統保存了這幾家防毒軟體的狀態，
但礙於作者本身硬碟空間限制&時間，不可能把所有防毒軟體都測試一遍。

再加上時間是不可能往回走，
所以也不可能在現在 2017年的時候安裝 XX 廠牌防毒軟體來測試，
畢竟已經無法取得 2016 年的病毒碼資料庫。
用最新的資料庫來測試就失去公平性了。

文章更新時間&內容 :
2017/05/15、19:20 => 修正 HitmanPro.Alert 測試結果
2017/05/16、19:30 => 修正 Emsisoft 相關文字敘述、錯字修正

作者: VADER 時間: 2017-5-17 07:03

更新20161212會唔會太遠太舊......個測試好似刻意美化頭幾位.......
我覺得個更新最遠應該定在一季三個月內....咁樣好似合理0的.....要真是不會作任何update既人....有冇裝都一樣....遲早唔中依樣都會中第二樣........

作者: chilun 時間: 2017-5-17 08:20

更新20161212會唔會太遠太舊......個測試好似刻意美化頭幾位.......
我覺得個更新最遠應該定在一季三個月內 ...
VADER 發表於 2017-5-17 07:03

佢唔用最update definition 係想測試主動攔截能力
不過主動攔截力強o既都會佔用較多系統資源

作者: VADER 時間: 2017-5-17 09:34

不過最估唔到...3A竟然是全廢.................

作者: dls2046 時間: 2017-5-17 17:38

不過最估唔到...3A竟然是全廢.................
VADER 發表於 2017-5-17 09:34

所以我由 A 轉咗用 B 好耐.....
BitDefender 免費版真心唔錯...

作者: kaity 時間: 2017-5-17 19:13

我隻nod32估唔到咁雞=.=轉唔轉會好?

作者: davidleehk 時間: 2017-5-17 20:27

回覆 5# dls2046

呢幾日裝嚟試，但係我部機度就好有問題，個protection無啦啦close 咗又開唔返，仲要windows無彈警告，要重裝，但係一樣嘅情況又發生。裝過avira, 成部機慢哂，最後都係裝返avast.

作者: anthonyko 時間: 2017-5-17 21:04

我用返windows defender 算

作者: delete54321 時間: 2017-5-17 22:03

多謝分享測試

預防勝預治療

作者: VADER 時間: 2017-5-17 22:14

網上消息...6月有更大攻擊.............依次真係知邊隻強.....一早放風要攻陷微硬....比足時間各大防毒準備.....依次防唔到....可以退場了............

作者: winsel 時間: 2017-5-17 23:44

小紅傘都失敗, 真羞家...
不過自從佢成日強迫彈廣告, 迫人用收費版, 已經放棄左佢

作者: Stevenchun 時間: 2017-5-18 00:34

https://www.mrg-effitas.com/wp-c ... essment-Q4-2016.pdf

呢個report有冇參考價值？

作者: naxingxiao 時間: 2017-5-18 07:06

算吧喇，用windows defender喇。

作者: kslee30 時間: 2017-5-18 07:19

我用返windows defender 算
anthonyko 發表於 2017-5-17 21:04

me too.

作者: skywolf08 時間: 2017-5-18 15:50

你部機用正版，唔用開心軟件。唔上非正常網站，唔用非正常網站睇片聽歌，唔用大陸軟件，中伏係少機會。

作者: kslee30 時間: 2017-5-18 17:24

你部機用正版，唔用開心軟件。唔上非正常網站，唔用非正常網站睇片聽歌，唔用大陸軟件，中伏係少機會。 ...
skywolf08 發表於 2017-5-18 15:50

經常去台灣網站睇劇, 例如楓林網, didiaotv等, 則如何?

作者: bam1a 時間: 2017-5-18 18:12

經常去台灣網站睇劇, 例如楓林網, didiaotv等, 則如何?
kslee30 發表於 18/5/2017 19:24

B站

作者: 321 時間: 2017-5-19 13:36

對NOD32好失望,打算轉卡巴司機

作者: Dolphin13 時間: 2017-5-19 13:44

冇norton嘅？

作者: 七彩小生 時間: 2017-5-19 13:53

我都認為現在Microsoft defender 仲好，我唔用SEP 及avg 後，照顧90人，因defender 冇side effects, 我慢慢users call 小左。

me too.
kslee30 發表於 2017-5-18 07:19

作者: hkjake 時間: 2017-5-19 14:25

05~07年左右，網上成日講卡巴同Bitdefender好勁

，排名唔係第1就係第2

可惜Bitdefender冇中文，上淘記買個KIS用下算，以前用過KIS個防火牆都幾user friendly (讀書時冇錢成日用佢擋住D開心版更新

)

不過依家又多NAS又多野，驚block埋自己

作者: 13597 時間: 2017-5-19 15:50

剛剛買左bitdefender,又唔係貴

作者: Dolphin13 時間: 2017-5-19 17:18

mcafee唔好？

作者: kslee30 時間: 2017-5-19 17:50

剛剛買左bitdefender,又唔係貴
13597 發表於 2017-5-19 15:50

Free版唔好咩?

作者: 13597 時間: 2017-5-19 21:10

Free版唔好咩?
kslee30 發表於 2017-5-19 17:50

Total security 3xx 5部機覺得ok就買左

via HKEPC Ionic Reader v1.6.0 - iPhone

作者: Cle32 時間: 2017-5-20 00:47

回覆 19# Dolphin13

Norton = Symantec ???

作者: pern 時間: 2017-5-21 07:50

請問付費版 malwarebytes 得唔得？

作者: Dolphin13 時間: 2017-5-21 15:46

回覆 Dolphin13

Norton = Symantec ???
Cle32 發表於 2017-5-20 00:47

應該係

作者: bestboy 時間: 2017-6-11 20:07

回覆 11# winsel

Free版好似無Real-time scan

作者: steveshing 時間: 2017-6-11 22:21

360 自己已經係病毒

作者: 夜半無人 時間: 2017-6-13 21:00

norton=Symantec Endpoint Security(企業版)

作者: zhanghui537956 時間: 2017-6-14 14:14

eset 廢的

作者: alan216hk 時間: 2017-6-14 17:12

eset 廢的
zhanghui537956 發表於 2017-6-14 14:14

Eset只可以話佢啲價錢做到好低....

學校、香港公司都係以成本行先, 就算佢幾唔掂都好, 都會有人捧場

話完全廢, 又唔廢得晒......始終都係有啲隔到......
但你唔好預佢可以最新病毒都可以搞得掂

作者: zhanghui537956 時間: 2017-6-15 09:18

回覆 33# alan216hk

我買咗ESET正版3年用咗都唔夠一年，即時換Bitdefender

作者: kslee30 時間: 2017-6-18 07:39

本帖最後由 kslee30 於 2017-6-18 12:03 編輯

以前任職於大機構, 用McAfee, 唔知有冇人會覺得麥加菲好廢? 不過大機構合用冇問題, 因為唔會去埋D古靈精怪網。

作者: cody2k 時間: 2017-6-18 13:47

提示: 作者被禁止或刪除內容自動屏蔽

作者: bongbong3481 時間: 2017-6-19 08:03

我絕大部份時間裸跑，但用linux ubuntu+vm 開window(上特殊網/用特殊軟件),vm window我有好多個backup,萬一中毒，直接刪除開第二個vm，但到目前都未試過中可見的病毒

作者: cs_csw 時間: 2017-6-21 15:46

https://chart.av-comparatives.org/chart1.php