malware-test防毒軟體偵測率測試

[harry_chang2003]

我剛剛看了malware-test 測試的PDF檔,我看了下一跳
是他圖檔放錯,還是根本亂測

NOD32 竟然病毒庫適用2006/11/10號的
AntiVir和一些防軟病毒庫適用2006/12/8
McAfee病毒庫是用2006/12/10
FAV是用2006/12/5的病毒庫
瑞星和一些防軟病毒庫是用2006/12/6
趨勢科技用的是3.971.50但2006/11/17病毒碼就到3.919.50了
卡巴斯基是用2006/12/3號的病毒庫
大家可以詳細看看PDF檔裡貼的圖片更新時間,我不知道我有沒有看錯,但我看了嚇一跳


PDF載點:
http://malware-test.com/smf/index.ph...f&topic=3124.0
在最最最下面的附件可以下載

如要直接下載:
http://malware-test.com/smf/index.ph...c=3124.0;id=46

[sai7sai]

引用:

作者: harry_chang2003

我剛剛看了malware-test 測試的PDF檔,我看了下一跳
是他圖檔放錯,還是根本亂測

NOD32 竟然病毒庫適用2006/11/10號的
AntiVir和一些防軟病毒庫適用2006/12/8
McAfee病毒庫是用2006/12/10
FAV是用2006/12/5的病毒庫
瑞星和一些防軟病毒庫是用2006/12/6
趨勢科技用的是3.971.50但2006/11/17病毒碼就到3.919.50了
卡巴斯基是用2006/12/3號的病毒庫
大家可以詳細看看PDF檔裡貼的圖片更新時間,我不知道我有沒有看錯,但我看了嚇一跳


PDF載點:
http://malware-test.com/smf/index.ph...f&topic=3124.0
在最最最下面的附件可以下載

如要直接下載:
http://malware-test.com/smf/index.ph...c=3124.0;id=46

所有的病毒碼更新都是透過它們的Update Server所做的更新，而且都說是最新，也許是他們顯示有問題或是使用試用版不能更新吧，下次倒是可以注意一下囉。

[sai7sai]

這些樣本不是只侷限在台灣地區，是全球性的，測試是根據事實來最評斷，不要加入自己主觀的意見。

對於啟發式偵測和行為偵測，一般測試偵測率是不會使用行為偵測的，所以，請各位先搞懂它們到底有什麼區別呢？現在防毒軟體或是反間諜軟體的行為偵測，其實大部分都是差不多的，比較大的差別在於是做在User Mode或是Kernel Mode而已。

[harry_chang2003]

引用:

作者: sai7sai

所有的病毒碼更新都是透過它們的Update Server所做的更新，而且都說是最新，也許是他們顯示有問題或是使用試用版不能更新吧，下次倒是可以注意一下囉。

防軟的顯示有幾款我可以確定不會有問題
你們有在同一天測嗎?
還有試用版......只要不到期不是都可以更新.....

而且發生病毒庫日期不同的防軟這麼多,有些我還沒有詳細去看,因為上面只有病毒特徵版本,沒有病毒特徵更新日期,還要去查一下

[sai7sai]

引用:

作者: harry_chang2003

防軟的顯示有幾款我可以確定不會有問題
你們有在同一天測嗎?
還有試用版......只要不到期不是都可以更新.....

而且發生病毒庫日期不同的防軟這麼多,有些我還沒有詳細去看,因為上面只有病毒特徵版本,沒有病毒特徵更新日期,還要去查一下

測試期間是一星期。為什麼不同一個時間測呢？最主要是沒有這麼多機器，而且，有些防毒軟體掃描很慢(大概要掃一天)，以致於時間拖這麼久。

[esjustin]

引用:

作者: 天氣預報

跟你說明一下Bloodhound技術好了
http://www.symantec.com/security_res...120715-4856-99
以這隻來說就是只要有針對防毒軟體行為的病毒就會被視為Bloodhound.Packed.8

http://www.symantec.com/security_res...121115-3846-99
這隻則是只要針對Windows Media Player ASX PlayList File Heap Overflow Vulnerability (as described in Security Focus BID 21247).漏洞行為的病毒就視為Bloodhound.Exploit.105

這就一樣是行為判斷上的啟發式技術
你還要再辯嗎？

Symantec的Bloodhound技術很不錯,算是HIPS和啟發式的混合體,除了降低誤報率之外,還可以攔截真正有惡意的威脅,不需要使用者干預,問題是:要是跳脫規則,便會無法攔截.Bloodhound技術的規則太少,需要適當增加,因為要考慮到人性化的問題,通常不需要太多規則...

[harry_chang2003]

引用:

作者: sai7sai

測試期間是一星期。為什麼不同一個時間測呢？最主要是沒有這麼多機器，而且，有些防毒軟體掃描很慢(大概要掃一天)，以致於時間拖這麼久。

如果不能在一天內測完,那也要統一用某一天的病毒特徵碼,以示公平

[sai7sai]

引用:

作者: harry_chang2003

如果不能在一天內測完,那也要統一用某一天的病毒特徵碼,以示公平

沒辦法這樣，因為每個廠商出病毒碼的時間不同，況且有些無法在他們網站上直接取的病毒碼。

順便一提，你有沒有發現其他測試機構都有公佈這些資訊呢？

[harry_chang2003]

引用:

作者: sai7sai

沒辦法這樣，因為每個廠商出病毒碼的時間不同，況且有些無法在他們網站上直接取的病毒碼。

順便一提，你有沒有發現其他測試機構都有公佈這些資訊呢？

是沒有公布,有沒有同意天我們也不知道


但還是希望你們可以同一天

你們可以當天一個一個灌全部的防軟,把裡面的病毒碼先存起來不知是否可以?

[sai7sai]

引用:

作者: harry_chang2003

是沒有公布,有沒有同意天我們也不知道


但還是希望你們可以同一天

你們可以當天一個一個灌全部的防軟,把裡面的病毒碼先存起來不知是否可以?

當然希望同一天公佈，不過現在沒有這麼多經費，畢竟是沒有任何收入的。