杀毒软件评测 No.25 2010 年 2 月 恶意软件手动检测 报告 包含误报和手动扫描速度测试 语言 : 中文 2010 年 2 月最后修订 :2010 年 3 月 17 日 www.av-comparatives.org
目录 参加检测的产品 3 参加条件和测试方法 4 参加检测产品版本 4 总评 5 本次检测的新发展 5 检测结果 6 遗漏样本图示 8 检测结果概要 9 误报测试 10 扫描速度测试 11 本次检测产品所获奖项及评级 12 版权及免责声明 13 2
参加检测的产品 avast! 免费杀毒软件 5.0 AVG 杀毒软件 9.0 小红伞杀毒软件进阶版 9.0 比特梵德杀毒软件 2010 escan 杀毒软件 10.0 ESET NOD32 杀毒软件 4.0 F Secure 杀毒软件 2010 G DATA 杀毒软件 2010 K7 全功能安全软件 10.0 卡巴斯基杀毒软件 2010 金山杀毒软件 2010 迈克菲防病毒 + 防火墙组合装 2010 微软免费 MSE 1.0 诺曼杀毒和反间谍软件 7.30 熊猫卫士防病毒软件 2010 比斯图反间谍和杀毒软件 7.0 Sophos 杀毒软件 9.0 赛门铁克诺顿杀毒软件 2010 趋势科技杀毒 + 反间谍组合装 2010 Trustport 杀毒软件 2010 3
参加条件和测试方法 参与我们的测试的条件已经列出于官方的测试方法文档中 (http : //www.avcomparatives.org/seiten/ergebnisse/methodology.pdf) 在开始阅读本报告前, 读者应先阅读上面提到的测试方法文档 参与本次测试的厂商数量限定在 20 个以内, 他们均有较高的知名度并且其杀毒软件在全世界范围内被广泛应用, 这些厂商同意接受本次测试以及参与 2010 年的一系列公开测试活动 参加检测产品版本 病毒样本已于 2010 年 2 月 3 日被封存 该测试系统环境和产品于 2010 年 2 月 10 日进行了更新并被封存 下列 20 款最新产品参与了本次公开测试 : avast! 免费杀毒软件 (Free 1 Antivirus) 5.0.396 AVG 杀毒软件 (Anti Virus) 9.0.733 小红伞杀毒进阶版 (AVIRA AntiVir Premium) 9.0.0.457 比特梵德杀毒软件 (BitDefender Anti Virus) 13.0.19.347 escan 杀毒软件 (escan Anti Virus ) 10.0.1058.644 ESETNOD32 杀毒软件 (ESET NOD32 Antivirus) 4.0.474.0 F Secure 杀毒软件 (F Secure Anti Virus) 10.12.108 GDATA 杀毒软件 (G DATA AntiVirus ) 20.2.4.1 K7 全安全软件 (K7 TotalSecurity ) 10.0.0025 金山杀毒软件 (Kingsoft AntiVirus) 2010.2.10.1 迈克菲防病毒 + 防火墙组合装 (McAfee AntiVirus Plus) 14.0.306 微软免费 MSE ( Microsoft Security Essentials ) 1.0.1611.0 诺曼杀毒和反间谍软件 (Norman Antivirus & Anti Spyware) 7.30 熊猫卫士防病毒软件 (Panda Antivirus Pro) 9.01.00 比斯图反间谍和杀毒软件 (PC Tools Spyware Doctor with Antivirus) 7.0.0.514 Sophos 杀毒软件 (Sophos Anti Virus) 9.0.3 赛门铁克诺顿杀毒软件 (Symantec Norton Anti Virus) 17.5.0.127 趋势科技杀毒 + 反间谍组合装 (TrendMicro AntiVirus plus AntiSpyware) 17.50.1366.0 Trustport 2 杀毒软件 (Trustport Antivirus) 5.0.0.4087 卡巴斯基杀毒软件 (Kaspersky Anti Virus) 9.0.0.736 (a.b) K7, 熊猫卫士 (Panda), 比斯图 (PC Tools) 和趋势科技 (Trend Micro) 是本次 2010 测试活动的新成员 1 Alwil Software 决定用其免费产品版本参与本次测试 2 AVG 和比特梵德 (Bitdefender) 两个引擎. 4
在您参照本测试结果做出购买决定前, 请先在您自己的系统上试用该产品 因为您需要自行评估杀毒软件的众多功能, 以及其它的因素 ( 如 : 价格 易用性 兼容性 图形界面 语言 基于主机的入侵防御 (HIPS) 行为拦截功能 网页过滤器 客户服务等) 需要考虑 某些产品会向您提供一些附加功能, 如 : 在恶意软件运行期间, 提供额外的病毒防护 ( 如果在事先的实时监测和手动检测中未检测到 ) 尽管产品检测率相当的重要, 但它只是整款杀毒软件的一方面特性 所以 AVC 还提供所有产品的动态测试, 也就是说我们还提供覆盖产品其他方面特征的测试报告 总评 现在, 几乎所有的杀软产品都默认采用最高安全设置 ( 至少在电脑进行全盘手动扫描或计划任务扫描时 ), 或者一旦发现病毒感染, 就会自动切换到最高安全设置 因此, 为了获得具有可比性的测试结果, 我们在厂商没有明确要求的前提下, 将所有测试产品设定成最高安全设置 ( 由于这些测试产品的最高安全设置常常导致太多的误报 系统资源占用量大或者这些设置即将在不久以后被厂商修改或移除等原因, 我们将在全部的测试过程中使用同样的设置 ) 为避免一些频繁发生的问题, 下面列出部分测试产品所使用的设置 ( 如 : 扫描全部文件 ): 小红伞 (AVIRA), 卡巴斯基 (Kaspersky), 赛门铁克 (Symantec),TrustPort: 要求在测试中将启发式杀毒设定为高 / 增强 因此, 我们建议用户也考虑将启发式设定为高 / 增强 F Secure, Sophos: 要求在测试中和评级中使用他们的默认设置 ( 即不使用他们的高级启发式杀毒 / 可疑检测设置 ) AVG, 小红伞 (AVIRA): 要求不将压缩工具警报提示作为检测结果计入测试 因此, 我们并未将这些作为检测结果计入测试 ( 包括恶意样本库及白名单库 ) AVC 更乐意使用产品默认设置进行测试 由于大部分产品都采用默认最高安全设置运行 ( 或者一旦检测到恶意软件就会自动切换到的最高安全设置, 因此无法使用 默认 设置测试对抗各种恶意软件 ) 为了获得具有可比性的结果并依照各个相关厂商的要求, 我们仅对少数产品保留了最高安全设置 ( 或保留较低的设置 ) 我们希望所有厂商能够找到检测率 误报 资源占用间的妥善的平衡点 ; 能够提供默认的最高安全设置 ; 并且能够去除用户界面中的偏执安全设定, 这样高的设定对于普通用户而言弊大于利 本次检测的新发展 您可能注意到, 本次测试设计要比前几次规模小 这是因为, 我们试图将仍然在现实世界中流行的主要的恶意软件 / 病毒 ( 过去八个月内的 ) 包含在测试设计中 为了建立该测试设计, 我们分析了反病毒行业同行收集和共享的元数据和遥感测试数据 ( 但是因为是首次尝试, 我们并未完全依赖它 ), 之后我们查询过各种 云 系统, 并得到了用户提交上来的最常见的病毒数据 对于从用户电脑上发现的病毒我们自动认为它 ( 们 ) 很重要 然而, 正如每次初次尝试一样, 我们发现并非所有的数据来源都能够提供可靠的流行病毒数据, 因此我们之后还必须要清理掉部分测试设计 由于整个行业都在努力对其数据共享的流程进行优化, 我们相信在未来会有所提升 变得更好 无论如何, 考虑到我们这次使用的测试设计有可能小一些, 并且主要关注的是会被检测到的和容易发现的威胁 所以, 我们预计此次参测得产品均会获得较高的评分 这也是我们可能会在下次将各奖项评分提升到更高的水平的原因 下次要想在误报项目中获得 最佳 可能条件会更苛刻 我们会在误报详细报告 ( 详见第 10 页 ) 中给出更多新鲜有趣的流行病毒信息 5
检测结果 以下是本次测试的结果列表, 它保留了各种产品的检测率明细 : 6
7
遗漏样本图示 ( 越低越好 ) 百分比仅指占测试使用的病毒样本比例 即使它只是子病毒样本, 鉴于它的大小, 对于查看遗漏病毒样本的数量仍然是重要的 例如,0.3% 意味着在供测试使用的病毒样本里, 有将近 3700 个病毒样本未被查到 我们手动测试的结果通常是适用的, 而且也适用于实时扫描器 ( 均使用相同方式设置 ), 但是并不适用于主动防御技术 ( 如 : 基于主机的入侵防御 (HIPS) 行为拦截功能等 ) 良好的检测率始终是评定一款杀毒软件的具有决定性并且广泛适用的最重要的因素之一 除此之外, 大多数产品还会提供一些附加功能, 至少还会针对恶意软件行为特征提供像基于主机的入侵防御 (HIPS) 行为拦截功能或其他拦截功能 ( 或者至少是报警功能 ), 如 : 在恶意软件运行期间提供额外的病毒防护 ( 如果在事先的实时监测和手动检测中未检测到 ) 请不要错过包含回归测试的报告的第二部分 ( 它将会在几个月后发布 ), 它对于产品对新近 / 未知恶意软件的检测能力进行了评估 虽然我们对杀毒软件的各个方面进行了多种测试和演示, 但仍然建议用户自己对软件进行评估并形成自己的意见 测试数据或报告仅提供一些指导, 毕竟有些方面用户自己无法评价 我们建议并鼓励读者去研究其他的各种知名的独立测试机构提供的独立测试结果, 以便更好判断各种产品在不同的测试条件和测试环境下, 对病毒的查杀能力 8
检测结果概要 当您对比下列产品的检测率时, 也请考虑每款产品的误报率 3! 按检测率排名 4 : 1. G DATA 99.6% 2. 小红伞 (AVIRA) 99.3% 3. 熊猫卫士 (Panda) 99.2% 4. Trustport 99.1% 5. 迈克菲 (McAfee) 98.9% 6. 比斯图 (PC Tools) 98.7% 7. 赛门铁克 (Symantec) 98.6% 8. F Secure 97.8% 9. ESET NOD32(ESET) 97.7% 10. 比特梵德 (Bitdefender), escan 97.5% 11. Avast 97.3% 12. 卡巴斯基 (Kaspersky) 97.1% 13. K7 96.4% 14. 微软 (Microsoft) 96.3% 15. AVG 94.2% 16. Sophos 93.7% 17. 诺曼 (Norman) 92.7% 18. 趋势科技 (Trend Micro) 90.7% 19. 金山 (Kingsoft) 81.8% 测试使用了 120 万个病毒样本, 由以下几部分组成 : 3 我们估计误差在 0.2% 左右 4 另外 : 迈克菲在云灵敏度取得 非常高 的检测率 (99.0%), 且有 非常多 误报 部分产品在没有网络连接时 ( 即没有在云技术环境下 ) 的基础最低检测率 : 迈克菲 :94.9%(19 次 ), 熊猫 :73.3%(32 次 ), 趋势科技 :68.5%( 22 次 ) 9
误报测试 为了较好的评估杀软产品的检测能力, 我们还提供误报测试 有时, 误报引起的麻烦不亚于真正感染了病毒 当您比照检测率指标时, 也请考虑误报率的问题, 容易造成误报的产品也更容易取得较高的分数 所有发现的误报都已被分别报告给各自的杀软厂商并已经被解决 误报测试结果在我们准备的白名单库中发现的误报次数 ( 越低越好 ) 1. escan 1 2. F Secure 2 很少误报 3. Bitdefender, Microsoft, ESET 3 4. Sophos 4 5. Kaspersky, G DATA 5 6. PC Tools 8 少误报 7. Trustport 9 8. AVG 10 9. Avast, Symantec, AVIRA 11 10. Trend Micro 38 11. Panda 47 12. McAfee 61 多误报 13. Norman 64 14. Kingsoft 67 15. K7 193 很多误报 有关已发现误报 ( 包括他们的流行数据 ) 的细节, 可以参见为此准备的一份独立报告 : http://www.av-comparatives.org/images/stories/test/fp/avc_report25_fpcn.pdf 下图显示的是参与测试的杀毒软件在我们为本次测试准备的白名单库中发现的误报次数 : 10
扫描速度测试 众多杀毒软件由于各种原因导致其扫描速度各不相同 这其中必须要将每款杀毒软件的检测率即可靠性的好坏考虑进去, 比如 : 杀毒软件是否使用仿真编码, 是否能够检测到多态变种病毒, 是否能做深度启发式扫描分析和活跃 ROOTKIT 扫描, 深入和彻底的还原压缩文件和解压支持程度, 额外的安全扫描, 是否真能扫描所有文件类型 ( 或使用 云 白名单 ) 等 大多数产品都有通过跳过先前扫描过的文件来减少扫描时间的技术 由于我们想知道扫描速度 ( 当真正的对文件进行病毒扫描时 ) 和不跳过文件时的速度, 所以上述的技术在这里不列入考虑范畴 我们认为, 部分产品应将什么是性能优化扫描更明确的告知用户, 然后让用户决定他们是否选择时间较短的经过性能优化的扫描 ( 不重新扫描全部文件, 有忽略受感染文件的潜在风险!) 或一次全面安全扫描 下图以 MB/sec( 兆 / 秒 ) 为单位, 显示了多款杀毒软件在最高安全设置下, 对我们整个白名单库 ( 用于误报测试 ) 的扫描速度 ( 越快越好 ) 扫描速度会根据白名单库 设置和硬件的不同而不同 5 平均扫描速度的计算方法是用白名单库的大小 (MB) 除以完成扫描所需时间 (sec) 由于文件库 所用硬件等有所不同, 所以本次测试的扫描速度, 不能与将来的测试或其他的测试相比较 扫描速度测试是在 Windows XP SP3 环境下进行, 所采用硬件是相同的 Intel Core 2 Duo E8300/2.83GHz 2GB 内存 SATA II 硬盘 5 要想知道各款产品在您的个人电脑的扫描速度, 建议您自己试用这些产品 11
本次检测产品所获奖项及评级 AVC 对于测试结果采用 3 级制 标准 (STANDARD), 优秀 (ADVANCED) 和最佳 (ADVANCED+) 正如该报告不仅包括奖项评级, 还包括检测率等数据, 用户可以根据个人意愿来判断, 如 : 只考虑单项得分而不考虑误报 获奖等级 ( 基于检测率和误报率基础上 ) 产品 G DATA AVIRA TrustPort PC Tools Symantec F Secure ESET BitDefender escan Avast Kaspersky McAfee* Panda* Microsoft Sophos AVG K7* Norman* Trend Micro* Kingsoft *: 带星号的产品因误报获得了较低的奖项 获奖产品不光是归功于它的病毒检测率, 也考虑了它们对我们建立的白名单库产生的误报率 一款高检测率但同时也有很高误报的产品, 可能还不如一款检测率稍差但误报较少的产品 获奖参考值详见下表 ( 下次可能有变动 ): 检测率 <87% 87 93% 93 97% 97 100% 少数 (0 15 次误报 ) 通过 一般 优秀 最佳 多数 ( 超过 15 次误报 ) 通过 通过 一般 优秀 12
版权和免责声明 本 2010 年报告 的版权归 AV-Comparatives 所有 任何出版物对本测试结果的使用, 无论是全部或部分, 都必须先得到 AV- Comparatives 管理部门明确的书面同意并允许 对使用本报告提供的信息, 可能会产生或导致的损害或损失,AV- Comparatives 和参与测试的人员, 不承担责任 我们竭尽一切可能, 确保基本数据的正确性, 但并不代表 AV- Comparatives 对测试结果的正确性需要承担义务 对报告的正确性, 完整性, 或者在任何特定的时间, 对报告提供的内容是否适合特殊目的的需求, 我们不做任何保证 对于在创建, 生成或发表测试结果过程中, 所涉及到的任何人, 对任何间接的, 特殊的损害或利益损失, 使用或不能使用该网站提供的服务, 测试文件或任何相关的数据引起的或与之相关的事宜, 均不承担任何责任 AV - Comparatives 是在奥地利注册的非盈利性组织 关于 AVC 和测试方法的更多信息, 请访问我们的网站 AV-Comparatives e.v. (2010 年 3 月 ) 13