Jun
23
2008
这次测试就是2月份测试的后半部分。依然采用二月份的特征库,但是,和以往的主动侦测测试不同的是,这次使用的是2008年2月5日到2月12日之间收集的样本,而不是更广的时间段。下次的主动侦测测试会采取一长一短两个期限收集的样本进行测试,来保证测试尽量接近真实使用情况和减少倾向性…
其实AV-Comparatives的测试在WildersSecurity上也经常受到质疑,比如它的多态测试用病毒很久没换过,还有关于测试收费与厂商的关系之类的问题…不管怎么说,作为用户的我们需要的是更多的信息,更多更多的信息,来让我们在每个都广告的相当美丽的产品中找出适合我们的。
有关主动防御启发扫描的话题,其实都是真实威胁与误报的战斗…
贴上最后的各厂商的成绩,其中可以看到,Avira和NOD32两个主动侦测强者再次获得头名。厂商名带星号的意味着他们的产品因误报较多而收到评级惩罚。毕竟,如果误报过多,再高的主动侦测率也是空谈…

本次测试也有中文版,当然,按官方的话说,中文版由第三方翻译,AV-C不对其中的翻译错误负责,呵呵..
本次测试的中文版报告PDF点此下载。强烈建议完整阅读此报告,因为很多细节内容包含在内,各个产品的细节其实并不是只是评级那么简单的。
英文版在线报告和PDF请到AV-Comparatives.org下载查看。
May
14
2008
当今在对付有害程序的过程中,我们会发现越来越多的有害程序都将目标瞄准了我们的安全软件们,不管是杀毒
软件还是防火墙还是别的什么。它们采用各种手段试图终止/禁用/修改/劫持我们的安全软件们,试图让它们失去作用…这个时候,杀软除了要清除病毒外,更要保护自身组件和功能的完整性。这次测试就是对各杀软这项能力的考验。
参与测试产品/厂商:
- Avast! Professional Edition 4. 7
- Avira Premium Security Suite 7.0
- BitDefender Internet Security 10
- DrWeb 4.44
- ESET Smart Security 3.0
- F-Secure Internet Security 2007
- Kaspersky Internet Security 7.0
- McAfee Internet Security 2007
- Microsoft Windows Live OneCare 1.6
- Panda Internet Security 2007
- Sophos Anti-Virus 6.0
- Symantec Internet Security 2007
- Trend Micro PC-Cillin 2007
- VBA32 Antivirus 3.11
- ZoneAlarm Internet Security 7.0
测试平台:
Windows XP SP2
测试下列类型攻击:
- 修改文件/注册表键值访问权限
- 修改/移除组件
- 删除杀毒软件病毒库
- 修改/删除关键注册表键值
- 进程终止
- 修改进程/代码
- 卸载驱动
Continue Reading »
May
11
2008
呵呵,这个有点意思…现在的杀毒软件们越来越注意防护了,为了防止机器被病毒感染,采用了各种各样的新技术,
主动防御,启发等等…但是,当系统已经被病毒感染后,各个杀软对病毒的清除能力又有多强呢?哪个杀软能在不依赖其他工具的情况下将用户的受感染文件恢复呢?
这次测试的是:当有害程序已经执行且安装到电脑上,而且可能已经采取了各种方式来阻止杀毒软件探测和清除。这个时候,各个杀软如何应对这样的情况?
参与测试产品/厂商:
- Avast! Professional Edition 4.7.1029
- AVG Anti-Virus 7.5.476
- Avira AntiVir PE Premium 7.0
- BitDefender Antivirus 10
- Dr.Web Anti-Virus 4.33.3
- Dr.Web Anti-Virus 4.44.0.8030 beta
- Eset NOD32 Antivirus 2.70.39
- F-Secure Anti-Virus 2007 7.02.395
- Kaspersky Anti-Virus 7.0.0.125
- McAfee VirusScan 2007
- Panda Antivirus 2008
- Sophos Anti-Virus 6.5.7 R2
- Symantec Norton AntiVirus 2007
- Trend Micro Internet Security 2007
- VBA32 Antivirus 3.12.2.2
其中大多数我们估计都多少用过试过见过听说过吧?呵呵…
Continue Reading »
May
09
2008
今天在卡巴斯基官方网站上发现了一个它参与的评测成绩页面,由此,继续顺藤摸瓜。今天介绍的是曾经在我的
另一篇文章里提到过的Anti-Malware Test Lab测试。时间所限,今天先看最新的多态病毒部分。
关于多态病毒的知识,大家可以参考下又一篇文章。
如之前文章提到的,多态病毒可以算是最难检测的一类病毒了,因为它在每次感染电脑时都会改变它的”形态”,也就是会生成不同的样本。在面对多态病毒时,传统意义上的针对某特定病毒的杀毒软件特征码很容易因为病毒自身代码的改变而无法检出,由此也带来了严重的安全问题。所以对多态病毒的检测能力也反映了一个杀软开发者的技术实力,一般而言对于一个系列的多态病毒都会专门开发针对它的检测算法…当然,这年头,好像多态病毒并不多见了,”与其炫耀技术不如搞点钱”…
参与测试厂商:
- Agnitum Outpost Security Suite Pro 2008 (VirusBuster)
- Avast Professional Edition 4.7
- AVG Anti-Virus Professional Edition 7.5
- Avira Antivir Personal Edition Classic 7.06
- BitDefender Anti-Virus 2008
- DrWeb 4.44
- Eset Nod32 Antivirus 3.0
- F-Secure Anti-Virus 2008
- Kaspersky Anti-Virus 7.0
- McAfee VirusScan 2008
- Microsoft Windows Live OneCare 2.0 Pre-Release
- Panda Antivirus 2008
- Sophos Anti-Virus 7.0
- Symantec Anti-Virus 2008
- Trend Micro Antivirus plus Antispyware 2008
- VBA32 Workstation 3.12.6
Continue Reading »
Apr
11
2008
现在关于杀毒软件的测试到底有多少种,估计谁也说不清。反正你手里有点样本就可以搞个”测试”评出个1234。今天到处乱转又找到几个进行杀软测试的网站,大家也都看看吧:
AV-Test.org 这个就不说了,著名测试,每年会有很多的测试公布。
Anti-Malware Test Lab 俄罗斯的一家测试机构,和AV-Comparatives建立了合作关系。最新的2月测试是测试多态病毒的,
CheckVir 匈牙利独立测试机构,从样本来源上看,基于Wildlist,80%采用最新发布的3次Wildlist样本,剩下20%采用任意Wildlist中的任意样本…最新的是2008年二月的测试,感兴趣的可以去看一看。
ProtectStar Test Lab 美国的测试机构…还没仔细看…
NSS Labs 继续测试,但是从测试的产品中看,似乎和家庭用户离得比较远…
AMTSO Anti Malware Testing Stantards Orgnization 数家反病毒企业与独立测试机构共同成立的反恶意软件测试标准组织。测试也确实应该规范才能有公信力啊,不然就算某软没参加或是没过也能振振有词…
剩下比如CheckMark,ICSA认证之类的就不用说了吧…基本上是对一个杀软的基本能力的基本认证….
毕竟我们很难自己体验所有的杀软,但是通过关注各个机构的测试报告,我们也可以了解各个杀软的各项能力。而且,通过对照我们也可以找出来在各个测试中都表现优异的产品~呵呵。
Apr
02
2008
呵呵,感谢翻译整个报告的Xie Xing~
AV-Comparatives的Blog上有个简短的日志~呵呵。
下载点这里。
Mar
29
2008
从COMODO的新闻中发现,COMODO刚刚开放了一个新的网站,这个网站收集了最多的电脑安全测试(呵呵,在这里提一下,Leak Test即防火墙的防泄漏测试,直白点说就是防止我们电脑上的东西通过某种渠道被传送到外面去的测试。实际上Leak Test更和我们日常的电脑安全有紧密的关系,毕竟什么XX端口开放XX端口隐形之类的很少给我们带来实际的损失,而与之相反的QQ密码网游密码被盗确是让人极度不爽的事情。),提供了一个用户主导的让用户自己评判安全产品水平的平台。
访问TESTMYPCSECURITY.COM
对于用户来说,这个站点的功用包括:
1.对防火墙Leak Test和HIPS测试的细节和技术解释
2.下载单个或是整个安全测试工具
3.其他人的测试结果信息和评论
4.参与到Test My PC Security测试社区中来
在这个页面中,列出了所有的测试用工具(一般是一个特别特别小的小程序,模拟各种木马什么的尝试对外连接,对你的电脑绝无危害,仅供测试防火墙/HIPS之用),或直接下载打包的全部工具。
当然,如果你不想或者没时间拿这么多东西测试你使用的防火墙/HIPS,可以先看看这份Windows XP平台各防火墙/互联网安全套装的测试成绩:
每个测试都有它自己的惩罚分数,没通过则扣分,每个测试的扣分幅度是不同的。具体的软件保护等级可以看下图:

测试结果(点击看大图)

完整的测试报告请看这里,这里还包括各个产品单独的测试报告。
从测试中可以看到,在互联网安全套装中,卡巴斯基的KIS7.0.1.325的成绩是仅次于COMODO的,记得当初介绍卡巴斯基7的新功能的PDF中就提到KIS7大幅提高了Leak Test的成绩。紧随其后的有Online Armour Personal Firewall,Outpost Firewall Pro,Jetico。
这个测试网站的好处是,它提供了测试中用到的所有小软件,所以如果对测试感兴趣的话,完全可以利用这些东西好好评判一下自己的防火墙的水平。
Mar
26
2008
四处溜达果然是有好处。在赛门铁克的网站上看看2008产品的介绍,随便一点将我们的性能与竞争对手进行比较, 嗯,发现这个结果是一个叫PassMark的地方做得测试…那就顺藤摸瓜之…
PassMark是一个位于澳大利亚悉尼的软件公司,主要产品是Windows环境下的测试软硬件的软件。从网站上可以找到赛门铁克提到的这次测试的情况。
这个测试发布于2007年的11月29日,不是太新,也不是太旧,这个测试并不是测试检出率,而是测试对电脑性能的影响,比如启动时间,扫描时间,内存占用,HTTP下载等等…对我们选择一款杀软或套装还是有一定的参考价值的…
参与测评的产品和版本:

其中很多都是我们常用的吧,比如卡巴斯基的KAV7/KIS7,Avira的Classic(小红伞那个免费版),F-Secure的FAV/FIS,GDATA AV2008/IS
2008(就是原来的GDATA AVK),以及诺顿熊猫趋势咖啡BD还有Grisoft的AVG Free…
测试项目:
1.开机启动时间 Boot time
2.扫描速度 Scan time
3.用户界面启动速度 User Interface launch speed
4.内存占用 Memory utilization
5.HTTP下载速度(要知道很多产品由于有Internet防毒之类的功能,多少都对下载有点影响的) HTTP Download Speed
6.IE启动/浏览速度 IE Launch/browsing speed
反病毒产品测试结果:
平均评级(100%为最好,0%为最差)

五星评级结果(此结果基于上面的百分比评级)

总体性能五星评级结果:

其中,Avast,AVG Free,Avira AV和Norton AV2008 获得五星等级。
互联网安全套装测试结果:
平均评级(100%为最好,0%为最差)

五星评级结果(此结果基于上面的百分比评级)

总体性能五星评级结果:

互联网套装中只有Norton Internet Security 2008和ZoneAlarm Internet Security 7.1获得五星级成绩。
Mar
17
2008
那天急于将整个报告的主要部分发出来,没有将这部分的内容仔细说一下,今天补上。
主要翻译自这次报告的第七部分Detection rates against some high polymorphic viruses
这个测试采用了8个高级多态病毒(一些很容易被检出或所有产品均能100%检出的多态病毒不再包括在这个测试中)的几千个复本:W32/Bakaver.A,W32/Etap.D,W32/Insane.A,W32/Stepan.E,W32/Tuareg.H,W32/Zelly.A,W32/Zmist.B和W32/Zmist.D。杀软厂商均了解这几个复合病毒且其中很多已经在过去上报过好几次。但…它们是多态病毒,并不是仅仅能够查杀上报的那个样本就能保证能100%查杀它的各种变种版本…这个测试评估了各产品对检测多态病毒的检出率-它反映了检测那些高级/复杂/很难被查杀的有害程序的能力。对某个多态病毒查杀成绩低于100%的可以认为是失败的或是并不可靠的检出率,因为即使只有一个复本没有检出,就有可能导致再次感染。

检测的结果很有趣,因为它们显示出一个反病毒产品的引擎的灵活性如何和对复合病毒的检出水平是怎样的。有些反病毒产品的成绩低下并不是因为它们并没有在意这种病毒的存在,而是因为用他们的引擎/技术要想检测出这样的病毒,厂商可能需要重写他们的引擎,或是对引擎作出这样的修改后会明显减慢扫描速度。由于这些原因,它们可能并不会检出这样的病毒。那些对这种复合病毒达到100%的可靠检出率的杀软产品则显示了更高的检出水平和引擎灵活性,因为它们在做到保护用户免受此类病毒攻击的同时并没有带来太多的问题。
在查看一个产品的扫描速度时候,你应该在心里提醒自己还有这么个测试-一个反病毒产品可以提供非常高的扫描速度,但是却不会提供给你一个可靠的对抗复合病毒的保护。比较好的产品应该既能保证高速扫描的同时还能有可靠的对复合病毒的检出水平。
在以后AV-Comparatives可能会将这个多态病毒测试更换为其他类型的测试,比如对Rootkit的检出/清除测试。
所以,其实有关于检出率和速度,有关于变形/多态病毒,现在很多厂商都不再关注了,为什么呢?因为现在连病毒作者们都更加现实的聚焦到能够给自己带来收入的恶意软件中,而不再是简单的炫耀技术…结果大家都是简单的机械性的添加特征码…这对于一般情况当然是完全可以的,但是一旦出现一个复杂一些的病毒,就原形毕露了…呵呵…
啥是多态病毒?多形态的能够自己改变部分程序代码躲避杀软检测的神奇的东西…
Mar
15
2008
本次测试是广大群众们最喜欢的On-Demand检出率测试,所有杀软病毒升级到2008年2月4日特征码且将杀软设置到最好的检出状态。
关于AV-Comparatives测试中各项术语解释及如何正确查看测试的结果,请点击我以前的这篇文章。
以下是参与本次测试的杀软厂商产品及版本:
avast! Professional Edition 4.7
AVG Anti-Malware 7.5
AVIRA AntiVir Personal Edition Premium 7.06
BitDefender Professional Plus 2008 11.0
eScan Anti-Virus 9.0
ESET NOD32 Anti-Virus 3.0
F-Secure Anti-Virus 2008 8.0
G DATA AntiVirusKit (AVK) 2008 18.0
Kaspersky Anti-Virus 7.0.1
McAfee VirusScan Plus 2008 12.0
Microsoft OneCare 2.0
Norman SS Antivirus & Anti-Spyware 7.0
Sophos Anti-Virus 7.0
Symantec Norton Anti-Virus 2008 15.0
TrustPort Antivirus Workstation 2.8.0
VBA32 Scanner for Windows 3.12.6
Continue Reading »