請注意 !
這個測試是將所有防毒軟體的時間凍結在 2016/12/12 日,
包含所有的病毒資料庫、引擎等,並且禁止所有網路連線。
其目的是為了模擬各家防毒軟體,遇上未知的威脅,是否能有效防禦勒索病毒的行為
在 2016/12/12 的時候,這隻 WannaCry(想哭) 勒索病毒應該是還不存在的,
透過這種方式,模擬各家防毒軟體,如果在未來的時候面臨勒未知的索病毒攻擊時,
能否有效發揮自家的主動式防禦,正確偵測出勒索病毒的惡意行為,並且阻止。
以下是該文章正式內容 :
----------------------------
看到最近這個勒索這麼火,手癢啦~
這個樣本主要應該是靠漏洞傳播,剛好合適我的測試環境,
所以來測試一下看看各大防毒軟體的主防是否有效。
測試的方法照舊是鎖庫+ 斷網(不再對這個測試方法回覆,詳情參照我之前的測試貼)。
這次用的大部分防毒都鎖在2016年12月12日的庫,雖然很早很早,但結果依然令人驚訝的好。
測試環境:
VBox 虛擬機,Windows 7 英文版SP1(未更新),各防毒軟體均採用預設值設定,
解壓後直接雙擊執行病毒
樣本下載:
http://bbs.kafan.cn/thread-2088985-1-1.html
WannaCry 勒索病毒 : 20 款防毒軟體 主動防禦測試
汝亦知射乎
932 回覆
275 Like
6 Dislike
第 1 頁第 2 頁第 3 頁第 4 頁第 5 頁第 6 頁第 7 頁第 8 頁第 9 頁第 10 頁第 11 頁第 12 頁第 13 頁第 14 頁第 15 頁第 16 頁第 17 頁第 18 頁第 19 頁第 20 頁第 21 頁第 22 頁第 23 頁第 24 頁第 25 頁第 26 頁第 27 頁第 28 頁第 29 頁第 30 頁第 31 頁第 32 頁第 33 頁第 34 頁第 35 頁第 36 頁第 37 頁第 38 頁
測試結果:
防禦成功(會留下一些無害衍生物):
BitDefender Free(20161212):(比特凡德 免費版)
一聲不響就殺掉了
Kaspersky Internet Security(20161212):(卡巴斯基 網路安全套裝)
被加密了一些檔案後,主動防禦發現威脅並移除,並成功復原遭加密的檔案
F-Secure Client Security(20161212):(芬安全)
主動式防禦發現威脅並移除
Cybereason RansomFree(20161231,v2.1.1.0):(這軟體只有防勒索功能,不能算防毒軟體)
成功攔截攻擊
Emsisoft Internet Security(20170104):
主動式防禦(BB系統、半智慧的 HIPS) 發現威脅,並提示疑似為勒索病毒,依照建議阻止並隔離
Dr. Web Anti-Virus(20161212):(大蜘蛛)
啟發式分析,偵測到威脅並刪除
(根據原作者說明,連變種的也能夠偵測到)
SandBoxie(v5.12):(沙盒)
成功防禦。
(作者表示預期之內,即使是舊版本的沙盒,依舊不會被攻破)
防禦成功(會留下一些無害衍生物):
BitDefender Free(20161212):(比特凡德 免費版)
一聲不響就殺掉了
Kaspersky Internet Security(20161212):(卡巴斯基 網路安全套裝)
被加密了一些檔案後,主動防禦發現威脅並移除,並成功復原遭加密的檔案
F-Secure Client Security(20161212):(芬安全)
主動式防禦發現威脅並移除
Cybereason RansomFree(20161231,v2.1.1.0):(這軟體只有防勒索功能,不能算防毒軟體)
成功攔截攻擊
Emsisoft Internet Security(20170104):
主動式防禦(BB系統、半智慧的 HIPS) 發現威脅,並提示疑似為勒索病毒,依照建議阻止並隔離
Dr. Web Anti-Virus(20161212):(大蜘蛛)
啟發式分析,偵測到威脅並刪除
(根據原作者說明,連變種的也能夠偵測到)
SandBoxie(v5.12):(沙盒)
成功防禦。
(作者表示預期之內,即使是舊版本的沙盒,依舊不會被攻破)
檢測到惡意行為,但防禦失敗(後知後覺)的:
Trend Micro(20161212):(趨勢科技)
跳出警告視窗,但即使選擇封鎖,文件檔案依舊被加密綁架
GDATA(20161212):
同樣都有警告訊息,但是即使點封鎖,文件檔案依舊被加密綁架
Trend Micro(20161212):(趨勢科技)
跳出警告視窗,但即使選擇封鎖,文件檔案依舊被加密綁架
GDATA(20161212):
同樣都有警告訊息,但是即使點封鎖,文件檔案依舊被加密綁架
防禦失敗(無反應且檔案被加密):
360殺毒+360衛士(20161212):(中國版 360)
360 Total Security(20161212):(國際版 360)
火絨(20161212):(中國火絨)
費爾(20161212):(中國費爾托斯特)
AVAST Internet Security(20170127,舊版):(Avast 網路安全、舊版本)
AVAST Internet Security(20170210,IDP融合後的版本):(Avast 網路安全、新版本)
360殺毒+360衛士(20161212):(中國版 360)
360 Total Security(20161212):(國際版 360)
火絨(20161212):(中國火絨)
費爾(20161212):(中國費爾托斯特)
AVAST Internet Security(20170127,舊版):(Avast 網路安全、舊版本)
AVAST Internet Security(20170210,IDP融合後的版本):(Avast 網路安全、新版本)
(續)防禦失敗(無反應且檔案被加密):
AVG Free(20161212):
HitManPro.Alert(3.6.1 Build 574):
McAfee Endpoint Security(20161220):(邁克菲、賣咖啡)
Symantec Endpoint Security(20161212):(賽門鐵克)
Avira Free(20161212):(小紅傘、免費版)
ESET Internet Security(20161219):(ESET、NOD32)
AVG Free(20161212):
HitManPro.Alert(3.6.1 Build 574):
McAfee Endpoint Security(20161220):(邁克菲、賣咖啡)
Symantec Endpoint Security(20161212):(賽門鐵克)
Avira Free(20161212):(小紅傘、免費版)
ESET Internet Security(20161219):(ESET、NOD32)
總結:
原作者 :
之前看到有人說,國外這些防毒大廠技術先進,可能領先幾個月之多。
當時我不太相信,不過現在只能說,事實勝於雄辯 ~
無論從哪個測試看,無疑卡巴斯基和比特凡德都是現在防毒大軍中的超一流,這再次得到了驗證。
這也再次證明了主動式防禦的必要性。
用5個月前的病毒資料庫和行為資料庫斬殺了5個月後流行的病毒,事實勝於雄辯。
(可惜了我的AVG……不給力啊)
(ps:如果讓exe入沙盒執行,AVG 的IDP 技術是會有警告攔截的,算是個小驚喜ww)
(pps:本次測試娛樂成分居多,結果僅供參考~)
轉貼o個位既補充 :
首先感謝 卡飯的 houtiancheng 協助測試這麼多款的防毒軟體 ~ 含情
在現今這麼多防毒軟體都在宣稱自己是最佳的選擇,
並且都大肆宣傳可以抵禦勒索病毒的狀況下,
究竟那些防毒軟體可以真正靠軟體本身的防禦能力,
來抵禦未知、或者變種的勒索病毒,
而不是單純只靠發現後才列入黑名單的消極做法,有相當的參考意義。
每一家的防毒軟體的廠商,辨識病毒並將病毒的資料輸入到資料庫,列入黑名單,
然後使用者在透過網路更新防毒軟體的病毒碼,這都是需要一段時間的。
如果說有人在這段時間內就不幸中了新的、變種的勒索病毒,
那就很有可能在防毒軟體還無法正式辨識之前,就會中獎了。
所以不論防毒廠商的更新速度在怎樣的快,
還是有可能會有段空窗期 ~
之前在伊莉論壇的假 Flash 更新檔(木馬),就是一個例子,
許多防毒軟體將假更新檔(木馬)列入病毒資料庫的速度不夠快。
從上面例子來看,主動式的防禦能力還是有其必要,
主動式防禦能夠在防毒軟體認識這隻病毒之前,
就能先注意到可疑的行為,並且成功地阻止,並建議使用者處理。
由 houtiancheng 的測試可以看出每一家防毒軟體的主動式防禦,
誰的防禦能力比較佳,誰的比較弱,誰甚至完全沒有,應該都很清楚了 茶
不過我還是要說 :
請注意 ! 這項測試只是提供各位一個參考,絕對不是防毒軟體的優劣排名
也不是非常嚴謹的一項測試,都是僅供參考而已 ~
在現今勒索病毒肆虐的環境之下,
除了一定要做好系統漏洞的更新、軟體的更新之外,
慎選系統最後一道防護,也是應該考量的地方。
像是我自己選擇的就是 Emsisoft 這一套,
除了非常省系統資源,且採用雙引擎、雙資料庫,
加上強大的主動式防禦系統(Behavior Blocker),
真的是我近期用過讓我非常滿意的防毒軟體
原作者 :
之前看到有人說,國外這些防毒大廠技術先進,可能領先幾個月之多。
當時我不太相信,不過現在只能說,事實勝於雄辯 ~
無論從哪個測試看,無疑卡巴斯基和比特凡德都是現在防毒大軍中的超一流,這再次得到了驗證。
這也再次證明了主動式防禦的必要性。
用5個月前的病毒資料庫和行為資料庫斬殺了5個月後流行的病毒,事實勝於雄辯。
(可惜了我的AVG……不給力啊)
(ps:如果讓exe入沙盒執行,AVG 的IDP 技術是會有警告攔截的,算是個小驚喜ww)
(pps:本次測試娛樂成分居多,結果僅供參考~)
轉貼o個位既補充 :
首先感謝 卡飯的 houtiancheng 協助測試這麼多款的防毒軟體 ~ 含情
在現今這麼多防毒軟體都在宣稱自己是最佳的選擇,
並且都大肆宣傳可以抵禦勒索病毒的狀況下,
究竟那些防毒軟體可以真正靠軟體本身的防禦能力,
來抵禦未知、或者變種的勒索病毒,
而不是單純只靠發現後才列入黑名單的消極做法,有相當的參考意義。
每一家的防毒軟體的廠商,辨識病毒並將病毒的資料輸入到資料庫,列入黑名單,
然後使用者在透過網路更新防毒軟體的病毒碼,這都是需要一段時間的。
如果說有人在這段時間內就不幸中了新的、變種的勒索病毒,
那就很有可能在防毒軟體還無法正式辨識之前,就會中獎了。
所以不論防毒廠商的更新速度在怎樣的快,
還是有可能會有段空窗期 ~
之前在伊莉論壇的假 Flash 更新檔(木馬),就是一個例子,
許多防毒軟體將假更新檔(木馬)列入病毒資料庫的速度不夠快。
從上面例子來看,主動式的防禦能力還是有其必要,
主動式防禦能夠在防毒軟體認識這隻病毒之前,
就能先注意到可疑的行為,並且成功地阻止,並建議使用者處理。
由 houtiancheng 的測試可以看出每一家防毒軟體的主動式防禦,
誰的防禦能力比較佳,誰的比較弱,誰甚至完全沒有,應該都很清楚了 茶
不過我還是要說 :
請注意 ! 這項測試只是提供各位一個參考,絕對不是防毒軟體的優劣排名
也不是非常嚴謹的一項測試,都是僅供參考而已 ~
在現今勒索病毒肆虐的環境之下,
除了一定要做好系統漏洞的更新、軟體的更新之外,
慎選系統最後一道防護,也是應該考量的地方。
像是我自己選擇的就是 Emsisoft 這一套,
除了非常省系統資源,且採用雙引擎、雙資料庫,
加上強大的主動式防禦系統(Behavior Blocker),
真的是我近期用過讓我非常滿意的防毒軟體
中國既最強了
Nod32 
又話360幾勁幾勁,可以反hack人地部機
一直都有講好多病毒係防毒公司放出黎
尋日中午bitdefender已經衝咗出嚟發新聞稿打飛機啦
NOD好多人用緊 原來垃圾
仲枉佢要俾錢原來賣舊垃圾俾你
NOD好多人用緊 原來垃圾
原來賣舊垃圾俾你
呃啲唔識電腦嘅人咪得
最勁個兩隻居然擋唔到
唔撚係呀 公司全用nod32
又話360幾勁幾勁,可以反hack人地部機
可以反hack 亦都可以反被hack
NOD好多人用緊 原來垃圾
原來賣舊垃圾俾你
呃啲唔識電腦嘅人咪得
廣告賣乜就買邊隻
NOD好多人用緊 原來垃圾
原來賣舊垃圾俾你
呃啲唔識電腦嘅人咪得
廣告賣乜就買邊隻
頂佢,講到自己咩dna啟發性主動防御,原來咁廢……我跟學校用,原來都是垃圾
NOD好多人用緊 原來垃圾
原來賣舊垃圾俾你
呃啲唔識電腦嘅人咪得
廣告賣乜就買邊隻
頂佢,講到自己咩dna啟發性主動防御,原來咁廢……我跟學校用,原來都是垃圾
學校唔用NOD點會有budget落黎
想問問上面成功既咁多隻 有冇巴打知邊隻最好用?
想問問上面成功既咁多隻 有冇巴打知邊隻最好用?
bitdefender