搜索
第18次防病毒产品对比测评主动侦测\回溯测试(病毒及恶意软件的手动扫描)还包括误报测试以及扫描速度测试日期:2008年5月(2008-05)TranslateintosimpleChineseby:XieXing(翻译:谢兴)网站:次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives21.介绍本测试报告是2008年2月测试的第二部分。每天都有许多新的病毒和恶意软件出现,这就是为什么防病毒产品不仅要及时提供更新以识别新的威胁,还应该具有预先通过广谱或启发式技术检测出这些威胁的能力。如果防病毒产品没有这种能力,那么用户只能等待防病毒产品发布更新。就算如今大部分防病毒产品提供每日或每小时更新,缺少广谱检测或启发式检测手段就会始终存在着用户有没有被保护的空档期,并且比发布更新的时间更为重要的是部署更新需要的时间。在本次测试中,使用了与2月4日对比测试相同的产品,并且扫描引擎都使用相同的最佳设置,以显示产品在当时的主动侦测能力。此次测试使用了我们在2008年2月5日到2月12日之间收集到的所有新样本。以下16款产品参加了本次测试:avast!ProfessionalEdition4.7.1098AVGAnti-Malware7.5.516AVIRAAntiVirPersonalEditionPremium7.06.00.308BitDefenderAnti-Virus200811.0.15eScanAnti-Virus9.0.768.1ESET1NOD32Antivirus3.0.621.0F-SecureAnti-Virus20088.00.101GDATAAntiVirusKit(AVK)200818.0.7227.533KasperskyAnti-Virus7.0.1.321aMcAfeeVirusScanPlus200812.0.176MicrosoftLiveOneCare2.0.2500.22NormanSSAntivirus&Anti-Spyware7.0SophosAnti-Virus7.0.7SymantecNortonAnti-Virus200815.0.0.58TrustPortAntivirusWorkstation2.8.0.1629VBA322ScannerforWindows3.12.6.02.描述防病毒软件厂商经常宣称其产品拥有很高的主动侦测能力——比本测试结果高的多。这不仅是由于厂商的自我吹嘘,也可能其产品达到了其所宣称的检测率,但这依赖其测试的期限、使用样本的类型和数量。我们的测试数据所显示的是,扫描器在面对真实的新样本时其主动侦测能力的高低。即使用户使用的产品在本次测试中主动侦测率偏低,也无需担心。因为如果该防病毒软件一直都保持最新,它能够检测到更多的样本。要了解包含最新病毒库和组件的防病毒产品的检测率,请查看我们定期进行的手动扫描测试(on-demanddetectiontest)。尽管一些产品能够在样本执行时进行检测,或包含其它的监控工具,如行为拦截器等,但我们只测试其手动扫描时的侦测能力。1包含默认的“statik”启发2根据VBA32的要求,其产品中的“完全模式”和“额外模式”被禁用,因为它们“基本无用,只会增加扫描时间”(和误报率)。如果启用,VBA32在本测试中会取得高于4%的侦测率。第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives33.测试结果本次回溯测试与以往测试有些不同:样本的期限被缩短为大约一个星期。在过去,大家认为较短的期限更能反映真实状况——但是这种想法并没有考虑到所有的问题并带有某种倾向性。下一次,我们将的测试将包含一长一短两个期限的样本,较长的期限(使用更大量/更多种类的样本)会降低可能的倾向性。第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives44.结果概要该结果显示出扫描引擎在手动扫描3时的主动侦测能力。结果的百分比经过了四舍五入。请不要将结果看作是评估产品质量好坏的绝对标准——它们只是给大家一个概念,即在本特定测试中,哪些产品侦测率高,哪些产品侦测率低。想要知道包含最新病毒库的防病毒产品的表现如何,请查看在二月和八月进行的手动扫描测试。读者应查看测试结果并将观点该建立在其需求之上。所有参测产品都是从大量优秀产品中选出的,如果正确使用并保持更新他们能给予您良好的安全保护。也请查看我们关于测试方法的文档以获得更多的详细信息:()。43本测试是通过手动扫描实现的——这不是实时监控或行为测试。通过手动扫描进行无法测试McAfee的脚本扫描功能,因为该功能需要在文件执行时才能进行。4该文档将在下个月更新,因为其中的很多内容已经过时。第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives5以下的是不同产品在不同类别测试中的检测率排序:(a)对新的后门程序、木马和其它恶意软件的主动侦测率:1.Sophos76%2.AVIRA73%3.TrustPort64%4.NOD3258%5.BitDefender44%6.Norman36%7.McAfee,AVG31%8.Microsoft,AVK29%9.Avast28%10.VBA3225%11.Kaspersky21%12.Symantec18%13.F-Secure,eScan5%(b)对新的蠕虫、Windows系统恶意软件以及脚本病毒的主动侦测率:1.AVIRA64%2.Sophos61%3.TrustPort57%4.BitDefender46%5.NOD3245%6.AVG43%7.McAfee36%8.AVK31%9.Avast30%10.Microsoft,Norman28%11.Kaspersky24%12.VBA3221%13.Symantec20%14.F-Secure,eScan15%(c)对测试中的所有新样本的主动侦测率:1.Sophos74%2.AVIRA72%3.TrustPort64%4.NOD3257%5.BitDefender44%6.Norman35%7.AVG,McAfee32%8.Microsoft,AVK29%9.Avast28%10.VBA3225%11.Kaspersky521%12.Symantec614%13.F-Secure,eScan6%注意:由于期限被缩短为1周,因此样本的种类和数量有限,而这段特定时间内被作为攻击对象的知名产品的成绩可能会比预期低很多。下次我们将同时使用一个1周的期限和一个更长的期限,如1个月作为收集样本的窗口期,以通过更多数量和种类的样本弥补这种影响,从而使测试结果更具参考价值。本次测试结果可能不具有普遍适用性。5KISv8在单独测试中能达到约42%:采用改进技术的Symantec预览版(未公开)在测试中能达到大约41%第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives65.误报/虚警测试在回溯测试中,我们还进行了虚警测试,以便更好地评估产品的主动侦测能力。虚警(或误报)是指防病毒产品将一个未被感染的清洁文件识别为被病毒感染。虚警有时会带来和真正的病毒感染一样多的麻烦。在您查看2月的测试结果时,请考虑误报率。因为误报率高的产品更容易获得较高的测试成绩。在今后,误报测试将会包含在2月和8月的测试报告中,而非5月和11月的测试报告。扫描清洁文件时产生的误报数(越低越好):1.McAfee0无误报或2.Symantec,Kaspersky,eScan,F-Secure2误报非常少3.Microsoft54.NOD3275.AVIRA8误报较少6.AVG107.AVK118.BitDefender179.Avast23误报较多10.Norman2911.VBA323712.TrustPort10513.Sophos~400误报非常多下图显示了不同产品的误报数量:(包括默认7和最高启发设置):在今后,我们会将误报测试包含在2月和8月的测试报告中7默认的检测设置并选择扫描所有文件和压缩文件第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives75.1误报的详细情况所有列出的误报都已经反馈给产品厂商核实,并且现在已经修正。那些对反病毒相关文件中未加密数据块所产生的误报不计算在内。如果一个产品对同一个文件包产生多个不同的误报,也只计为1次。在误报测试中,所有产品设置为最高的启发等级。当然你可以看到在哪些是默认设置下也会出现的误报。误报测试表面,通常来说与以往测试结果相比误报都会上升,并且几乎所有的误报在默认设置下也会出现。这可能是由于几乎所有产商都开始将壳列入了黑名单并采用了广谱检测技术提高检测率,因为造成了比过去更多的误报。在本次回溯测试中几乎所有主动侦测率低的产品,其误报率也较低。另外的原因可能是一些产商简单的将其他厂商所检测到的文件作为病毒添加进特征库,而其中包含误报的文件。这种错误是会发生的,因为参与我们测试的产品所进行的样本交换经常超出合理的限度,相反其他的产品(通常是不知名的防病毒产品)会系统的进行此项工作。注意:下面内容中每个产品误报的详细文件被省略,详细内容请见英文原版测试报告。NOTES:Allsinglefalsealarmsofeachproductwasnotlistedinthefollowingsection-pleaseviewtheoriginalEnglishversionofthisdocumentformoredetails.AvastAvast总共发生23个误报,其中21个在默认设置下也会发生。McAfeeMcAfee是本次测试中唯一没有发生误报的产品。AVGAVGAnti-Malware发生了10个误报,所有误报在默认设置下同样会发生。AVIRA(AntiVir)AVIRA发生了8个误报,6个会在默认设置下发生。NormanNorman发生了29个误报,所有误报在默认设置下同样会发生。KasperskyKaspersky发生了2个误报,所有误报在默认设置下同样会发生。F-SecureF-Secure发生了2个误报,所有误报在默认设置下同样会发生。eScaneScan发生了2个误报,所有误报在默认设置下同样会发生。MicrosoftMicrosoftOneCare发生了5个误报,所有误报在默认设置下同样会发生。NOD32(ESET)ESETNOD32发生了7个误报,所有误报在默认设置下同样会发生。Symantec(NAV)SymantecNortonAnti-Virus发生了2个误报,所有误报在默认设置下同样会发生。第18次防病毒产品对比测评(2008年5月)–版权所有(c)2008由AV-Comparatives8BitDefenderBitdefender发生了17个误报,所有误报在默认设置下同样会发生。TrustPortTrustPort发生了105个误报,74个误报在默认设置下同样会发生。GDATAAVKGDATAAVK发生了11个误报,所有误报在默认设置下同样会发生。VBA32VBA32发生了37个误报,29个误报在默认设置下同样会发生。SophosSophos总计发生了400个误报,但“只有”27个误报在默认设置下会发生。几乎所有的误报都是识别为“可疑”的检测结果,这通常是发生在加了不常见的壳的文件上。请阅读Sophos博客上的文章8查看他们对于识别为“可疑”的检测结果的解释。注意:a)这是