史萊姆論壇 - 查看單個文章

psac · 2006-03-11, 10:51 PM

不同殺毒軟體對加殼病毒的查殺能力的對比

描述：表格1
圖片：

http://www.grillsportverein.de/upload_neu/2006/03/scan_virus_1.jpg

描述：表格2
圖片：

http://www.grillsportverein.de/upload_neu/2006/03/scan_virus_2.jpg

描述：表格3
圖片：

http://www.grillsportverein.de/upload_neu/2006/03/scan_virus_3.jpg

對於不同殺毒軟體對加殼病毒的查殺能力的對比

主流殺毒軟體產品在他們的反病毒軟體的介紹中表示支持基本的殼和壓縮包，比如zip,rar和其他等等。有些宣稱支持多種格式的殼,比如卡巴斯基宣稱他們支持1200種不同檔案類型的殼和壓縮格式。

對於這些，驗證這個東西當然是一件有意思的事情，我們關心反病毒軟體對於加殼的病毒實際的探測能力。幾乎所有的有害程序，形形色色的都被壓縮了，實際上這對我們每個人都不是秘密。通常情況下同一個病毒可能被數十個不同的殼壓縮，這樣可以使他們滲入企業的網路，即使有殺毒軟體銅牆鐵壁的保護。

讓我們以表格形式顯示結果，當所有已知病毒都被加殼。如果你的殺毒軟體不支持一個新殼，這樣經過這個殼壓縮過的病毒將會穿過病毒防火牆，並且只有當反病毒廠商把這個訊息加入到新的特徵庫時，才有能力探測到，而這也是需要一段時間的。而如果你的反病毒軟體支持此殼，那麼將會立即檢測出來，這只需要反病毒廠商相應的病毒庫的更新，而不需要等待一段時間。

對於反病毒軟體來說相似病毒的檢測能力，你會覺得對於他們的許多同檔案類型病毒的增長(變種)和他們的許多版本(像MyDoom病毒它自身就有幾十種變種)的檢測是極其重要的，為了驗證哪一種反病毒軟體能夠探測哪些檔案類型的加殼病毒，讓我們看近期的對比結果。此結果由IBM病毒CERT專家於2005年十月份發表。

簡述對比測試程序：

此對比測試是在對特別適合測試的Nimda.A病毒的檢測下進行的，這個病毒分別被加了20種不同檔案類型的殼，這些殼包括：

1. ZIP self-extracting archive (SFX)
2. RAR SFX
3. ASPack 2.12
4. ASProtect 1.23 RC4 build 08.07
5. exe32pack 1.42
6. EXECryptor 2.0
7. ExeStealth 3.04
8. FSG 2.0
9. MEW11 SE 1.2
10. MoleBox 2.3.3
11. Morphine 2.7
12. Packman 0.0.0.1
13. PECompact2 2.55
14. Pe-pack 1.0
15. Petite 2.3
16. UPX y..2shchSh
17. WWPack32 1.20
18. Yoda'.s Crypter 1.3
19. Yoda'.s Protector 1..0b
20. (Win).UPack 0.27 beta

以下的反病毒軟體個人版和工作站版參與測試:

1. Symantec AntiVirus Corporate Edition 10.0.0.359 (SAV) with engine 103.0.2.7
2. Trend Micro PC-cillin Internet Security 2005 with engine 7.510.1002
3. McAfee VirusScan Professional 2005 (9.0) with engine 4.4.00
4. Sophos Anti- virus 5.0.3 (SAV)
5. Kaspersky Anti- virus Personal Pro 5.0.14 (KAV)
6. Eset NOD32 Antivirus System 2.12.3
7. CA eTrust EZ Antivirus 6.2.1.1 (CAI) with engine 11.5.0.0
8. Norman Virus Control 5.80 with engine5.82.01
9. BitDefender 8 Standard with engine 7.01620
10. Panda Titanium Antivirus 2005 (4.02.00)
11. AVG Anti- virus 7.0 professional (7.0.323)
12. Dr.Web Scanner For Windows of 9shch-.KHP v4.32b
13. Hauri ViRobot Expert 4.0 with engine 2005-06-05.00

測試於2005年6月6日進行，所有上述反病毒軟體和病毒庫已更新至最新。以下是測試結果：

下面的表格顯示反病毒軟體對於加殼的掃瞄結果的列表，分別對應既時監控和按需掃瞄，第一列是病毒Nimda自身，因此可以排除不算入後面的結果。

表格1：用既時掃瞄檢測

表格2：用按需掃瞄檢測

從表格1和2可以看出，許多反病毒的測試結果比較差，因此沒有一個反病毒軟體檢測出所有的Nimda病毒。

從表格中得出的總體的結果，在那裡面算出反病毒軟體的效率，顯示如下。
最好的前六名結果如下：
1. Kaspersky - 86%
2. BitDefender - 67%
3. Sophos - 57%
4. Trend Micro And McAfee - 55%
5. Dr.Web - 48%
6. Norman - 40%

從總體上反病毒軟體的測試結果顯示他們對於殼的支持很弱，比如Nod32的沒有測出一個Nimda，但是Hauri和CA反病毒監控僅僅檢測出一個ASPack而按需掃瞄僅僅三個加殼的!從這點可以明顯看出來為什麼這些反病毒軟體顯示出掃瞄速度如此快(參見我們先前的對於著名反病毒軟體的掃瞄速度對比)，而顯然這對大家已然不是一個秘密了，掃瞄壓縮檔案明顯會減慢掃瞄速度。

同時很值得我們注意的一點是在按需掃瞄期間所有的反病毒軟體(除了出局者Nod32和sopos)明顯比既時檢測效果好。在這一欄中，Norman反病毒軟體71%的按需掃瞄檢測率對比10%的既時監控檢測率令人驚愕。這表明了反病毒廠商為了最佳化監控執行速度無視某些檔案類型的加殼文件。

我們樂於看到您的評論並且在論壇回答您對於此次測試所關心的所有問題

作者： Sergey il'in

因為這篇文章是俄語翻譯過來的，我先翻譯成英語在轉譯，遇到語句不通的英語只能硬著頭皮譯，那些句子我也都是斟酌再三，修修改改，但裡面肯定還是有不對和不恰當的地方，希望各位能夠辯證的看待這片文章。有錯誤請指出。

Translation Author : moonforest
Contact: moonforest#163.com

我做成了PDF文件便於大家有興趣的收藏，下載位址：
http://www.upload2.net/download2/UBa...B1%C8.pdf.html
或者http://www.box.net/public/y02y1xal5h

2006-03-11, 10:51 PM	#5 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	不同殺毒軟體對加殼病毒的查殺能力的對比描述：表格1 圖片：描述：表格2 圖片：描述：表格3 圖片：對於不同殺毒軟體對加殼病毒的查殺能力的對比主流殺毒軟體產品在他們的反病毒軟體的介紹中表示支持基本的殼和壓縮包，比如zip,rar和其他等等。有些宣稱支持多種格式的殼,比如卡巴斯基宣稱他們支持1200種不同檔案類型的殼和壓縮格式。對於這些，驗證這個東西當然是一件有意思的事情，我們關心反病毒軟體對於加殼的病毒實際的探測能力。幾乎所有的有害程序，形形色色的都被壓縮了，實際上這對我們每個人都不是秘密。通常情況下同一個病毒可能被數十個不同的殼壓縮，這樣可以使他們滲入企業的網路，即使有殺毒軟體銅牆鐵壁的保護。讓我們以表格形式顯示結果，當所有已知病毒都被加殼。如果你的殺毒軟體不支持一個新殼，這樣經過這個殼壓縮過的病毒將會穿過病毒防火牆，並且只有當反病毒廠商把這個訊息加入到新的特徵庫時，才有能力探測到，而這也是需要一段時間的。而如果你的反病毒軟體支持此殼，那麼將會立即檢測出來，這只需要反病毒廠商相應的病毒庫的更新，而不需要等待一段時間。對於反病毒軟體來說相似病毒的檢測能力，你會覺得對於他們的許多同檔案類型病毒的增長(變種)和他們的許多版本(像MyDoom病毒它自身就有幾十種變種)的檢測是極其重要的，為了驗證哪一種反病毒軟體能夠探測哪些檔案類型的加殼病毒，讓我們看近期的對比結果。此結果由IBM病毒CERT專家於2005年十月份發表。簡述對比測試程序：此對比測試是在對特別適合測試的Nimda.A病毒的檢測下進行的，這個病毒分別被加了20種不同檔案類型的殼，這些殼包括： 1. ZIP self-extracting archive (SFX) 2. RAR SFX 3. ASPack 2.12 4. ASProtect 1.23 RC4 build 08.07 5. exe32pack 1.42 6. EXECryptor 2.0 7. ExeStealth 3.04 8. FSG 2.0 9. MEW11 SE 1.2 10. MoleBox 2.3.3 11. Morphine 2.7 12. Packman 0.0.0.1 13. PECompact2 2.55 14. Pe-pack 1.0 15. Petite 2.3 16. UPX y..2shchSh 17. WWPack32 1.20 18. Yoda'.s Crypter 1.3 19. Yoda'.s Protector 1..0b 20. (Win).UPack 0.27 beta 以下的反病毒軟體個人版和工作站版參與測試: 1. Symantec AntiVirus Corporate Edition 10.0.0.359 (SAV) with engine 103.0.2.7 2. Trend Micro PC-cillin Internet Security 2005 with engine 7.510.1002 3. McAfee VirusScan Professional 2005 (9.0) with engine 4.4.00 4. Sophos Anti- virus 5.0.3 (SAV) 5. Kaspersky Anti- virus Personal Pro 5.0.14 (KAV) 6. Eset NOD32 Antivirus System 2.12.3 7. CA eTrust EZ Antivirus 6.2.1.1 (CAI) with engine 11.5.0.0 8. Norman Virus Control 5.80 with engine5.82.01 9. BitDefender 8 Standard with engine 7.01620 10. Panda Titanium Antivirus 2005 (4.02.00) 11. AVG Anti- virus 7.0 professional (7.0.323) 12. Dr.Web Scanner For Windows of 9shch-.KHP v4.32b 13. Hauri ViRobot Expert 4.0 with engine 2005-06-05.00 測試於2005年6月6日進行，所有上述反病毒軟體和病毒庫已更新至最新。以下是測試結果：下面的表格顯示反病毒軟體對於加殼的掃瞄結果的列表，分別對應既時監控和按需掃瞄，第一列是病毒Nimda自身，因此可以排除不算入後面的結果。表格1：用既時掃瞄檢測表格2：用按需掃瞄檢測從表格1和2可以看出，許多反病毒的測試結果比較差，因此沒有一個反病毒軟體檢測出所有的Nimda病毒。從表格中得出的總體的結果，在那裡面算出反病毒軟體的效率，顯示如下。最好的前六名結果如下： 1. Kaspersky - 86% 2. BitDefender - 67% 3. Sophos - 57% 4. Trend Micro And McAfee - 55% 5. Dr.Web - 48% 6. Norman - 40% 從總體上反病毒軟體的測試結果顯示他們對於殼的支持很弱，比如Nod32的沒有測出一個Nimda，但是Hauri和CA反病毒監控僅僅檢測出一個ASPack而按需掃瞄僅僅三個加殼的!從這點可以明顯看出來為什麼這些反病毒軟體顯示出掃瞄速度如此快(參見我們先前的對於著名反病毒軟體的掃瞄速度對比)，而顯然這對大家已然不是一個秘密了，掃瞄壓縮檔案明顯會減慢掃瞄速度。同時很值得我們注意的一點是在按需掃瞄期間所有的反病毒軟體(除了出局者Nod32和sopos)明顯比既時檢測效果好。在這一欄中，Norman反病毒軟體71%的按需掃瞄檢測率對比10%的既時監控檢測率令人驚愕。這表明了反病毒廠商為了最佳化監控執行速度無視某些檔案類型的加殼文件。我們樂於看到您的評論並且在論壇回答您對於此次測試所關心的所有問題作者： Sergey il'in 因為這篇文章是俄語翻譯過來的，我先翻譯成英語在轉譯，遇到語句不通的英語只能硬著頭皮譯，那些句子我也都是斟酌再三，修修改改，但裡面肯定還是有不對和不恰當的地方，希望各位能夠辯證的看待這片文章。有錯誤請指出。 Translation Author : moonforest Contact: moonforest#163.com 我做成了PDF文件便於大家有興趣的收藏，下載位址： http://www.upload2.net/download2/UBa...B1%C8.pdf.html 或者http://www.box.net/public/y02y1xal5h
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次