微点交流论坛

标题: [转帖]史上最牛！百款杀毒软件测试 [打印本页]

作者: wantcm 时间: 2007-8-21 09:21 标题: [转帖]史上最牛！百款杀毒软件测试

前言:

　　计算机病毒，现在已经发展成为一个社会性的话题，计算机病毒的影响覆盖到社会的各个行业和各个角落。随着互联网的高速发展，病毒的传播和危害也变得更加危险。除了很多传统病毒在发作之后会对计算机造成毁灭性打击之外，一些网页病毒、木马程序等也成为了人们所关注的焦点，网络安全已经是信息安全领域的一个新话题。无论是某行的银行卡大范围被盗，还是《某某世界》网络游戏帐号集体被盗，都是网络安全不完善所造成的隐患。面对越来越厉害的计算机病毒和无处不在的网络威胁，杀毒软件的重要性就更加的突出。为了让广大用户全面了解杀毒软件的查杀病毒能力，我们组织了一次史上最全面的杀毒软件综合评测。
　　本次测试由100余款杀毒软件对112万种病毒进行详细测试，动用一套局域网络共12台计算机和一台服务器，2T存储空间(其中640G 用于RAID)堪称业界之最。作为目前测试产品最多，测试项目最全面，病毒覆盖最全面的一次测试，我们希望大家可以借此了解到国内外各款杀毒软件的功能及特点，为挑选适合自己的杀毒软件做一个参考。
　　本次测试的权威性:
　　测试软件100余款　　测试项目252项　　测试病毒112万种
　　除此之外，我们还参考借鉴了《英国西海岸实验室》、《ICSA 国际信息安全实验室》、《反病毒对比实验室》、《亚洲反病毒研究者协会》等权威机构的测试标准和流程。
　　测试环境：
　　硬件:　　服务器DELL SC430 1台， P4 830 双核3.0G, 2G ECC内存
　　系统硬盘 Mator 串口160G 分区 C 盘50G，D盘110G
　　数据硬盘一 2块西捷 10代串口 320G做RAID 0 (软件) 分区 E盘 640G
　　数据硬盘二 1块西捷 IDE 250G 分区 F盘 250G
　　工作站12台AMD2800+ 512M 160G硬盘
　　宽带接入，以满足升级需求。
　　软件:正版Windows XP SP2 全部更新及补丁后作Ghost镜像到D盘，每种软件测试前，从镜像恢复系统。

这篇我们来看看测试及测试结果

百款杀毒软件测试：入围&参测软件一览

　　本次共测试了国内外100多款杀毒软件详见列表，其中做了以下过滤:
　　1、相同的引擎使得测试结果完全一致的情况，保留原始引擎结果
　　2、排除查毒比例低于15%
　　3、测试软件无法获得全功能版本(Fortinet)，无法升级到最新病毒库(RAV等)
　　其中部分软件查毒比例低于15%，没有进入测试范围的请见一览表:

本人注:微点因为不包含扫描引擎，难以测试，被省略了。

百款杀毒软件测试：病毒样本的处理过程

　　一、预处理
　　所有样本作了一系列预处理，去除了重复文件、多数杀毒软件不能识别的文件、同一种病毒感染出的多个文件、和被误报的文件，详细步骤如下。
　　1、经过专用程序生成CRC32、MD5签名数据库，剔除重复文件;
　　2、经过测试前病毒扫描，不能够同时被三种及以上不同查毒软件报告出病毒的文件剔除;
　　3、通过全球最大专业的误报和Joke程序数据库，尽可能剔除样本中可能被误报的非病毒文件;
　　4、通过病毒命名交叉索引数据库，尽可能保证样本中每一种病毒在被多种杀毒软件报作相同病毒时只保留一个样本文件。
　　二、分类
　　样本文件分为基本样本、打包样本和加壳样本，分类情况如下
　　1、全部文件经手工检查分类，详细记录文件日期、长度;
　　2、经多数杀毒软件监测后，按照前缀分类法放入不同的目录;
　　3、有较多争议和没有前缀的归入子类别的其他。
　　最后基本样本分为37大类共246子类。
　　三、加壳与打包
　　1、基本样本尽可能没有被打包或加壳
　　2、打包的样本在打包前能够被多数杀毒软件识别
　　3、加壳的样本在加壳前能够被多数杀毒软件识别
　　4、打包和加壳的层数只有一层
　　5、打包和加壳的时候使用所有历史版本(如upx 1.0-2.9共359个版本)处理后，然后剔除结果重复文件
　　6、加壳的时候每种版本使用所有的格式(如upx 2.9共支持10种格式)处理后，然后剔除结果重复文件
　　Upx 2.x 支持的格式atari/tos、djgpp2/coff、dos/com、dos/exe、dos/sys、linux/386、rtm32/pe、tmt/adam、watcom/le、win32/pe
　　7、打包的时候每种版本使用所有的压缩方法(如rar 3.61共支持6种方法)、所有的自解压格式处理后，然后剔除结果重复文件
　　Winrar 3.x 支持的压缩方法:存储、最快、较快、标准、较好、最好;自解压格式包括:win界面、控制台、DOS、Linux自解压
　　8、由于多数杀毒软件出现将加壳后的文件直接报作病毒，而且报告中不明确是否脱壳，在统计时将这种“支持查出这种病毒”情况视为“支持此种加壳格式”。
　　四、样本汇总
　　1、最后样本文件1,126,464个，其中打包格式文件27296个，加壳格式文件287138个，基本样本812030个。
　　2、分布在E、F盘2145个子目录中，占据硬盘空间760G
　　3、每个文件平均大小约600K，NTFS分区的单元大小为4K

百款杀毒软件测试：入围软件测试过程

　　1、测试进度问题
　　如果由于参测软件出现异常退出，临时将出错文件转移至D盘后继续，待测完此款软件后恢复。
　　异常退出明显影响了测试的进度，海量扫描的出错退出的次数为

　　2、瑞星“脱壳”明显在考验我们的耐心，经过四天的扫描还没有完成……
　　小狮子说“来块扣肉，才能跑快”
　　3、安博士打开日志文件用了6小时后还没有打开
　　4、Kaspersky扫描文件时失去响应，重起后C盘空间为0字节
　　5、Macfee扫描到一个压缩文件，2小时失去响应，重起系统，移除文件后继续
　　6、PCC扫描到一组压缩文件VGCrypt时，突然变慢，4小时后恢复正常
　　7、山丽扫描一段时间后，引擎失效，重起系统后继续扫描正常
　　8、山丽打开文件监视后，开机一段时间XP系统突然重起
　　9、江民安装后，网络共享目录写入异常

　　10、金山查看报告时异常退出

　　11、金山界面显示混乱

　　12、金山升级后变成日文(反盗版?)，再次启动正常。

　　13、KILL扫描时报应用程序错误

　　14、avrc报内存不足
　　15、VBA32内存不足

测试结果：因为结果都是图片对比，很多而且不好帖大家还是自己下载吧
http://www.mydown.com/tests/shipinjiaocheng/283/408783_ds.shtml

百款杀毒软件测试：致谢名单&写在最后

　　致谢
　　本次测试样本得到以下机构支持和帮助，特别致谢:
　　1、英国西海岸实验室 http://www.westcoastlabs.org
　　2、ICSA 国际信息安全实验室 http://www.icsalabs.com
　　3、病毒公告板实验室 http://www.virusbtn.com
　　4、反病毒对比实验室 http://www.av-comparatives.org
　　5、29A 病毒研究组织http://www.29a.net
　　6、欧洲病毒测试http://www.eicar.org
　　7、流行病毒 http://www.wildlist.org
　　8、亚洲反病毒研究者协会http://www.aavar.org
　　9、慕尼黑大学病毒实验室 http://www.jura.uni-muenchen.de/einrichtungen/ls/sieber
　　10、计算机安全协会http://www.gocsi.com
　　11、中国台湾信息工业学院病毒实验室 http://www.iii.org.tw/e-intro/index.html
　　12、印度先锋微实验室 http://www.pioneermicro.com/
　　从测试结果来看，杀毒厂家和这些机构有一定的合作关系。
　　写在最后:
　　通过本次测试，希望大家能增进对国内外的杀毒软件的了解。在计算机病毒已经成为社会一大危害的今天，我们希望通过这次测试，使计算机用户们可以更少的受到病毒影响，更好的保护自己的网络安全。从结果中，我们可以看出每家杀毒软件都有自己的强项和弱项。值得我们欣慰的是，在这次测试当中，我们的国产杀毒软件并没有如传说中的那样与国外产品相差甚远，而是已经完全达到了平起平坐的水平，甚至在某些方面还要更为突出。我们所提倡的是反映真实和全面的软件性能，这样不但有利于用户选购适合自己的产品，也有利于杀毒软件厂商不断地完善自家产品，为自己用户提供更好的服务，促进反病毒行业快速健康的发展。在此，我们由衷的感谢中国的杀毒软件企业，希望他们可以更加迅速的发展，希望大家继续支持民族产业的发展。

作者：肖柯原创出处：天极安全

参加测试软件介绍参见：
http://hi.baidu.com/licheng20788 ... d57794a5c27256.html

[ Last edited by wantcm on 2007-8-21 at 09:48 ]

作者: wantcm 时间: 2007-8-21 10:16
这个测试的结果是国产杀毒软件光华总测成绩第一。
看来光华的扫描引擎够强大。、
最有意思的是，光华的老总和微点的老总是本家，都姓刘。

作者: wantcm 时间: 2007-8-21 10:30
经测试，光华2。0存在一个BUG，即连续点停止扫描会使软件出错，软件提示：句柄无效（6），很难让人理解的提示。。。。。

作者: newduba 时间: 2007-8-21 11:52
哈哈，充分说明了没有万能的软件啊！

主动防御是大势所趋，那些扫描都过时了，否则也不会出这么多状况了！

如果不加壳就测试，那么做病毒木马的人都是好人啊！等着被抓。。。

就像每个小偷和强盗脸上都印了：“坏人”二字：）

各大杀毒软件就像警察一边追一边喊着：“站住”！

知道你来抓我了还站住，真的是把那些病毒木马的作者当傻子啊？！！！

如此，就实现了老子提倡的“无为而治”了。。。

作者: jobcreep 时间: 2007-8-21 13:24
好多杀软

作者: weizg 时间: 2007-8-21 16:30
看来我也要好好了解一下了

作者: LeoCD 时间: 2007-8-21 18:47
唉这个测试有点老了~~~

作者: wtr93 时间: 2007-8-31 09:51

Quote:

Originally posted by LeoCD at 2007-8-21 18:47:
唉这个测试有点老了~~~

作者: 忧郁浪子 时间: 2007-8-31 10:17
老帖子了金山瑞星江民马上都要2008了

作者: dftiger 时间: 2007-8-31 12:40
用了N多种杀毒软件，Norton, kabasky,macfee,ruixing,江民,金山,总体感觉对病毒的主动防御都不令人满意。用了微点的测试版感觉的确在主动防御方面更胜一筹，只是没有病毒扫描功能感觉遗憾。没有病毒扫描就无法对电脑中未运行的但已经中毒的文件进行杀毒，希望在以后的版本中能具有这个功能就好了！

作者: wantcm 时间: 2007-8-31 20:03
微点扫描引擎已经开发完毕，正在内测优化中.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn