第18次防病毒產品對比測評

1、 第18次防病毒產品對比測評主動偵測回溯測試（病毒及惡意軟件的手動掃描）還包括誤報測試以及掃描速度測試日期: 2008年5月(2008-05Translate into simple Chinese by: Xie Xing (翻譯：謝興網站: 本測試報告是2008年2月測試的第二部分。每天都有許多新的病毒和惡意軟件出現，這就是為什么防病毒產品不僅要及時提供更新以識別新的威脅，還應該具有預先通過廣譜或啟發(fā)式技術檢測出這些威脅的能力。如果防病毒產品沒有這種能力，那么用戶只能等待防病毒產品發(fā)布更新。就算如今大部分防病毒產品提供每日或每小時更

2、新，缺少廣譜檢測或啟發(fā)式檢測手段就會始終存在著用戶有沒有被保護的空檔期，并且比發(fā)布更新的時間更為重要的是部署更新需要的時間。在本次測試中，使用了與2月4日對比測試相同的產品，并且掃描引擎都使用相同的最佳設置，以顯示產品在當時的主動偵測能力。此次測試使用了我們在2008年2月5日到2月12日之間收集到的所有新樣本。以下16款產品參加了本次測試：avast! Professional Edition 4.7.1098AVG Anti-Malware 7.5.516AVIRA AntiVir Personal Edition Premium 7.06.00.308 BitDefender Anti-

3、Virus 2008 11.0.15 eScan Anti-Virus 9.0.768.1 ESET 1 NOD32 Antivirus 3.0.621.0 F-Secure Anti-Virus 2008 8.00.101G DATA AntiVirusKit (AVK 2008 18.0.7227.533 Kaspersky Anti-Virus 21a McAfee VirusScan Plus 2008 12.0.176 Microsoft Live OneCare 2.0.2500.22 Norman SS Antivirus & Anti-Spyware 7.0 So

4、phos Anti-Virus 7.0.7Symantec Norton Anti-Virus 2008 8 TrustPort Antivirus Workstation 629 VBA322 Scanner for Windows 2. 描述防病毒軟件廠商經常宣稱其產品擁有很高的主動偵測能力比本測試結果高的多。這不僅是由于廠商的自我吹噓，也可能其產品達到了其所宣稱的檢測率，但這依賴其測試的期限、使用樣本的類型和數量。我們的測試數據所顯示的是，掃描器在面對真實的新樣本時其主動偵測能力的高低。即使用戶使用的產品在本次測試中主動偵測率偏低，也無需擔心

5、。因為如果該防病毒軟件一直都保持最新，它能夠檢測到更多的樣本。要了解包含最新病毒庫和組件的防病毒產品的檢測率，請查看我們定期進行的手動掃描測試（on-demand detection test）。盡管一些產品能夠在樣本執(zhí)行時進行檢測，或包含其它的監(jiān)控工具，如行為攔截器等，但我們只測試其手動掃描時的偵測能力。1包含默認的“statik”啟發(fā)2根據VBA32的要求，其產品中的“完全模式”和“額外模式”被禁用，因為它們“基本無用，只會增加掃描時間”（和誤報率）。如果啟用，VBA32在本測試中會取得高于4%的偵測率。本次回溯測試與以往測試有些不同：樣本的期限被縮短為大約一個星期。在過去，大家認為較短的

6、期限更能反映真實狀況但是這種想法并沒有考慮到所有的問題并帶有某種傾向性。下一次，我們將的測試將包含一長一短兩個期限的樣本，較長的期限（使用更大量/更多種類的樣本）會降低可能的傾向性。 4. 結果概要該結果顯示出掃描引擎在手動掃描3時的主動偵測能力。結果的百分比經過了四舍五入。請不要將結果看作是評估產品質量好壞的絕對標準它們只是給大家一個概念，即在本特定測試中，哪些產品偵測率高，哪些產品偵測率低。想要知道包含最新病毒庫的防病毒產品的表現如何，請查看在二月和八月進行的手動掃描測試。讀者應查看測試結果并將觀點該建立在其需求之上。所有參測產品都是從大量優(yōu)秀產品中選出的，如果正確使用并保持更新他們能給予

7、您良好的安全保護。 也請查看我們關于測試方法的文檔以獲得更多的詳細信息： 43本測試是通過手動掃描實現的這不是實時監(jiān)控或行為測試。通過手動掃描進行無法測試McAfee 的腳本掃描功能，因為該功能需要在文件執(zhí)行時才能進行。 4該文檔將在下個月更新，因為其中的很多內容已經過時。以下的是不同產品在不同類別測試中的檢測率排序：(a 對新的后門程序、木馬和其它惡意軟件的主動偵測率： 1. Sophos 76% 2. AVIRA 73% 3. TrustPort 64% 4. NOD32 58% 5. BitDefender 44% 6. Norman 36% 7. McAfee, AVG 31% 8.

8、Microsoft, AVK 29% 9. Avast 28% 10. VBA32 25% 11. Kaspersky 21% 12. Symantec 18% 13. F-Secure, eScan 5%(b 對新的蠕蟲、 Windows系統(tǒng)惡意軟件以及腳本病毒的主動偵測率： 1. AVIRA 64% 2. Sophos 61% 3. TrustPort 57% 4. BitDefender 46% 5. NOD32 45% 6. AVG 43% 7. McAfee 36% 8. AVK 31% 9. Avast 30% 10. Microsoft, Norman 28% 11. Kaspe

9、rsky 24% 12. VBA32 21% 13. Symantec 20% 14. F-Secure, eScan 15%(c 對測試中的所有新樣本的主動偵測率： 1. Sophos 74% 2. AVIRA 72% 3. TrustPort 64% 4. NOD32 57% 5. BitDefender 44% 6. Norman 35% 7. AVG, McAfee 32% 8. Microsoft, AVK 29% 9. Avast 28% 10. VBA32 25%11. Kaspersky521% 12. Symantec6 14% 13. F-Secure, eScan 6%注

10、意：由于期限被縮短為1周，因此樣本的種類和數量有限，而這段特定時間內被作為攻擊對象的知名產品的成績可能會比預期低很多。下次我們將同時使用一個1周的期限和一個更長的期限，如1個月作為收集樣本的窗口期，以通過更多數量和種類的樣本彌補這種影響，從而使測試結果更具參考價值。本次測試結果可能不具有普遍適用性。5KIS v8在單獨測試中能達到約42% :/seiten/ergebnisse/KIS8.pdf 6采用改進技術的Symantec 預覽版(未公開 在測試中能達到大約41%5. 誤報/虛警測試在回溯測試中，我們還進行了虛警測試，以便更好地評

11、估產品的主動偵測能力。虛警（或誤報）是指防病毒產品將一個未被感染的清潔文件識別為被病毒感染。虛警有時會帶來和真正的病毒感染一樣多的麻煩。在您查看2月的測試結果時，請考慮誤報率。因為誤報率高的產品更容易獲得較高的測試成績。在今后，誤報測試將會包含在2月和8月的測試報告中，而非5月和11月的測試報告。掃描清潔文件時產生的誤報數（越低越好）:1. McAfee0無誤報或 2. Symantec, Kaspersky, eScan, F-Secure 2誤報非常少3. Microsoft 54. NOD3275. AVIRA 8誤報較少6. AVG107. AVK 118. BitDefender 1

12、79. Avast 23誤報較多10. Norman 29 11. VBA32 3712. TrustPort 10513. Sophos400誤報非常多下圖顯示了不同產品的誤報數量：(包括默認7 和最高啟發(fā)設置: 在今后，我們會將誤報測試包含在2月和8月的測試報告中7默認的檢測設置并選擇掃描所有文件和壓縮文件5.1 誤報的詳細情況所有列出的誤報都已經反饋給產品廠商核實，并且現在已經修正。那些對反病毒相關文件中未加密數據塊所產生的誤報不計算在內。如果一個產品對同一個文件包產生多個不同的誤報，也只計為1次。在誤報測試中，所有產品設置為最高的啟發(fā)等級。當然你可以看到在哪些是默認設置下也會出現的誤報

13、。誤報測試表面，通常來說與以往測試結果相比誤報都會上升，并且?guī)缀跛械恼`報在默認設置下也會出現。這可能是由于幾乎所有產商都開始將殼列入了黑名單并采用了廣譜檢測技術提高檢測率，因為造成了比過去更多的誤報。在本次回溯測試中幾乎所有主動偵測率低的產品，其誤報率也較低。另外的原因可能是一些產商簡單的將其他廠商所檢測到的文件作為病毒添加進特征庫，而其中包含誤報的文件。這種錯誤是會發(fā)生的，因為參與我們測試的產品所進行的樣本交換經常超出合理的限度，相反其他的產品（通常是不知名的防病毒產品）會系統(tǒng)的進行此項工作。注意：下面內容中每個產品誤報的詳細文件被省略，詳細內容請見英文原版測試報告。NOTES ：All

14、single false alarms of each product was not listed in the document for more details.AvastAvast 總共發(fā)生23個誤報，其中 21個在默認設置下也會發(fā)生。McAfeeMcAfee 是本次測試中唯一沒有發(fā)生誤報的產品。AVGAVG Anti-Malware 發(fā)生了10 個誤報, 所有誤報在默認設置下同樣會發(fā)生。AVIRA (AntiVirAVIRA 發(fā)生了8個誤報，6個會在默認設置下發(fā)生。NormanNorman 發(fā)生了29個誤報, 所有誤報在默認設置下同樣會發(fā)生。KasperskyKaspersky 發(fā)生

15、了2個誤報, 所有誤報在默認設置下同樣會發(fā)生。F-SecureF-Secure 發(fā)生了2個誤報, 所有誤報在默認設置下同樣會發(fā)生。eScaneScan 發(fā)生了2個誤報, 所有誤報在默認設置下同樣會發(fā)生。MicrosoftMicrosoft OneCare發(fā)生了5個誤報, 所有誤報在默認設置下同樣會發(fā)生。NOD32 (ESETESET NOD32發(fā)生了7個誤報, 所有誤報在默認設置下同樣會發(fā)生。Symantec (NAVSymantec Norton Anti-Virus發(fā)生了2個誤報, 所有誤報在默認設置下同樣會發(fā)生。BitDefenderBitdefender 發(fā)生了17個誤報, 所有誤報在

16、默認設置下同樣會發(fā)生。TrustPortTrustPort 發(fā)生了105個誤報,74個誤報在默認設置下同樣會發(fā)生。G DATA AVKGDATA AVK發(fā)生了11個誤報, 所有誤報在默認設置下同樣會發(fā)生。VBA32VBA32發(fā)生了37個誤報,29個誤報在默認設置下同樣會發(fā)生。SophosSophos 總計發(fā)生了400個誤報, 但“只有”27個誤報在默認設置下會發(fā)生。幾乎所有的誤報都是識別為“可疑”的檢測結果，這通常是發(fā)生在加了不常見的殼的文件上。請閱讀Sophos 博客上的文章8查看他們對于識別為“可疑”的檢測結果的解釋。注意：a 這是Sophos 第一次參加我們的誤報測試，因而它可能會較其他

17、產品出現更多的誤報情況（因為每次誤報測試之后產商都會得到產生誤報的文件），此外b Sophos 的產品基本上用于企業(yè)和公司，這些系統(tǒng)是由系統(tǒng)管理員進行管理的（他們應該知道如何區(qū)別誤報和真正的威脅）并且很少安裝新的軟件當檢測到一個可疑的應用程序時，Sophos 會顯示警報讓用戶或系統(tǒng)管理員選擇操作。啟用Sophos“可疑文件”檢測（或HIPS 9）會增加惡意軟件的檢測率（在本測試中可以看到），但是同樣會提高誤報。使用Sophos Anti-Virus的家庭用戶（他們通常無法分辨誤報和真正的惡意軟件）應該記住這一點，在無法確定是否為誤報時應聯(lián)系Sophos 并提交可疑文件（用戶應該將誤報文件發(fā)送給

18、產商，以便產商能盡快將其修復）。在默認設置下（關閉擴展掃描和可疑文件檢測），Sophos 能夠達到39%并獲得“STANDARD”等級如何提交誤報(在提交誤報時，請用例如“False alarm”（“虛警”）之類的文字作為標題并給出盡可能詳細的信息，如特征碼版本，誤報文件的地址等 ：avast! virus AVG virusgrisoft.cz AVIRA BitDefender virus_submission ESET NOD32 samples F-Secure samplesf- Kaspersky newvirus McAfee vsample Microsoft avsubmit

19、 Norman analysisnorman.no Sophos samples Symantec avsubmit VBA32 newvirusanti-virus.byeScan 使用Kaspersky 引擎, GDATA AVK使用avast! 和Kaspersky 引擎而 Trustport 使用 Norman, Dr.Web, VBA32 和AVG 引擎。請您務必找出是哪個引擎造成了誤報并將文件直接單獨發(fā)送給相應產商。8 9該規(guī)則被幾乎所有的產品通過類似技術應用6. 掃描速度測試由于各種不同的原因，一些掃描器可能較其他的掃描器慢。這些原因需要涉及防病毒產品檢測率的可靠性；比如防病毒產

20、品是否使用虛擬機，是否能檢測復雜的變型病毒，是否進行深入的啟發(fā)式分析，以及支持解壓和脫殼的層數等。下圖顯示了不同防病毒產品在最佳設置下掃描我們提供的清潔文件（曾被用于誤報測試）時的吞吐速率（單位：MB/sec，越高越快）。掃描時的吞吐速率會隨著清潔文件10 、產品設置以及硬件的不同而有所變化。 平均掃描吞吐速率（掃描速度）的計算方式是：用清潔文件的大?。∕B ）除以完成掃描的時間（秒）。本次測試的吞吐速率不能和以前的測試或其他測試做比較，因為測試使用的文件等情況發(fā)生了變化。掃描速度的測試平臺為Windows XP SP2，用于測試的計算機的硬件配置為：Intel Core 2 Extreme

21、QX6800EE 2,66 GHz, ASUS P5W WSPro, 4096 MB DDR2-1150 RAM, SATA II disks ，沒有使用網絡連接。所有產品都順利完成了對清潔文件的掃描而未出現問題。10要知道某個產品在您電腦上掃描您的文件時的速度，請自己嘗試7. 本次測試中獲得證書等級的情況我們提供3級排名系統(tǒng)（STANDARD, ADVANCED 和 ADVANCED+），產品在以往測試中的獲得證書等級的情況可以在我們的網站上找到：(http:/www.av-comparativ /seit en/overvie w.html 。 以下是本次回溯測試中，證書等級的

22、獲得情況：證書等級產品 AVIRA NOD32 AVG McAfee MicrosoftAVK BitDefender* Norman* Avast* Kaspersky VBA32* Symantec無證書Sophos* TrustPort* F-Secure eScan*:誤報“較多”不會獲得本應該得到的主動偵測等級。根據下列新獎懲系統(tǒng)，Avast, BitDefender, Norman, Sophos, Trustport and VBA32受到了懲罰： 誤報過高的產品會讓普通用戶無法信賴同時啟發(fā)式誤報較多的產品，也更容易在測試中比其他產品取得更好的成績（在2月和8月的測試中都是如此）。注意：許多廠商（如Bitdefender, F-Secure, Kaspersky, McAfee, Microsoft, Sophos, Symantec等）在產品中加入了基于行為的或HIPS 的解決方案，它在惡意軟件被執(zhí)行時工作。我們會在2009年對這種主動防護