防衞程式效能
防衞恶意程式效能
于Windows 视窗系统下测试的样本,大部分在安装过程中都会先自动关闭Windows内置的防衞功能,亦即是将防衞恶意程式完全交由测试样本接手;「Malwarebytes」Premium (#15)在安装时没有自动关闭Windows内置的防衞功能,但发出关闭Windows内置防衞功能的提示,鉴于用户一般都会跟随安装时提出的建议,故测试时实验室亦手动将Windows内置的防衞功能关闭。
3款网络防衞较逊色
测试模拟日常使用电脑时感染恶意程式的过程,包括浏览网页或从网站下载软件,实验室利用400个从网上下载的恶意程式,测试样本能否阻挡相关网页的显示及阻止恶意程式的下载、打开或执行,而恶意程式一旦被执行又会否阻挡对系统的改动或其恶意行为等。测试根据恶意程式何时被侦察到及最终会否被发现、样本传达给用户的讯息及意见的有用程度来评分。试验人员指针对MacOS操作系统的恶意程式网页较少,因此MacOS软件样本没有进行这项测试。
大部分样本均表现不错,多达20款的成功侦察率高于90%,获4点或以上评分;收费软件「Malwarebytes」Premium (#15) 及免费软件「Sophos」Home Free (#22)的成功侦察率分别是80%及90%,获3点及3.5点评分;收费软件「Sophos」HitmanPro.Alert (#16) 侦察率偏低,只有35%,仅获2.5点的低评分。
USB装置防衞普遍欠佳
实验室收集了包括180个对应Windows系统及20个对应MacOS操作系统的已知恶意程式档案,逐一储存在USB装置内,然后将USB装置插入离线(offline)及在线(online)状态下的电脑,再将当中的恶意程式档案复制至电脑的硬碟中,如果过程中并没有被样本阻止而顺利完成复制,实验室便会尝试开启该等已复制的恶意程式;此项测试根据恶意程式在何阶段及最终是否被样本发现来作评分。
分析发现,大部分样本都因离线时明显防衞不足而拖累评分,Windows 视窗及MacOS系统下测试的样本,分别多达22款及6款获2.5点或以下的低评分。只有「Bitdefender」Internet Security (#5) 及Antivirus for Mac (#24)、「G Data」Antivirus for Mac (#27)及「ESET」Cyber Security Pro (#28)表现略佳而获3点评分。
1款实时保护误判较多
网络安全软件可能偶然会错将正常网页或档案介定为恶意程式,并将之阻挡、隔离或删除,这种情况称为误判(false positive),如果误判经常发生,除产生不便及令人感到烦扰外,亦会令用户觉得该网络安全软件不太可靠,甚至失去信心而索性将软件关闭。
22款于Windows 视窗系统下测试的样本,在网络防衞的测试时误判率低于5%,表现优秀,获5点或4.5点的高评分,「Microsoft」Windows Defender (#23)误判率达10%,只得3.5点的评分。
手动档案扫描表现悬殊
实验室收集了40,000个对应Windows系统、400个对应Android智能手机操作系统及20个对应MacOS操作系统的已知恶意程式(known malware),当中对应Android的恶意程式虽然不会直接影响电脑,但一旦传送到手机,便会感染手机;收集的恶意程式类型包括木马(trojans)、后门程式(backdoors)、蠕虫(worms)、病毒及其他类别的间谍程式等,全部存放在电脑硬碟中,然后以样本在线及离线状态下进行手动扫描侦察。
样本间的表现悬殊,于Windows 视窗系统下测试的样本以「Avira」Antivirus Pro (#1) 及Free Security (#17)、「ESET」Internet Security (#3)的表现较佳,不论在线或离线都获5或4.5点的高评分;另有4款样本表现较为逊色,包括「Trend Micro」PC-cillin Maximum Security (#9)、「Panda」Dome Advanced (#14)、「Sophos」HitmanPro.Alert (#16)及「Microsoft」Windows Defender (#23)主要因为侦察非原系统的恶意程式能力较低,亦即不太能侦察出对应Android和MacOS操作系统的恶意程式,以致跨平台传送档案存在风险,故不论在线或离线都只得2点或以下评分。
于MacOS系统下测试的样本中,在线状态以「Avira」Free Antivirus for Mac (#32)的表现较佳,获5点高评分,离线状态则以「AVG」AntiVirus for Mac (#30)及「Avast」Security for Mac (#31)的表现较好,同获4点评分。
不少样本于离线状态的表现都略低于在线状态,反映样本普遍采用云端运算(cloud computing)技术,亦即依靠上网接驳至伺服器来运作,故为提高网络安全,用户日常进行档案扫描时,都应确保电脑已连接上网。
开启时侦察成功率高
网络安全软件进行档案扫描时,主要依赖以往收录的识别码来辨认恶意程式,由于未知恶意程式(unknown malware)的识别码并未被纳入,故往往不能凭扫描侦察,不过,现时的网络安全软件普遍还能运用启发式(heuristic)技术,根据恶意程式运行时的不寻常行为特征,例如自我脱壳解码后入侵及感染其他档案等动作,来进行鉴定。
测试发现,如果档案扫描时未被侦察出来的恶意程式,当该恶意程式开启时被侦察的机会都很高,全部样本于恶意程式被开启时侦察成功率都达95%或以上,获5点的高评分。
手动扫描误判甚少
手动档案扫描的测试也包含40,000个正常档案,各样本将正常档案误判为恶意程式的数量都不多于10个,全部样本表现理想,同获5点的高评分。
5款未能有效拦截网络钓鱼
测试包含800多个网络钓鱼(phishing)的网址(URL),测试前先关上Chrome浏览器内置的网络钓鱼过滤器,以免影响侦察结果。
结果发现,Windows视窗及MacOS系统下测试的样本,分别有多达15款及5款阻挡不良网络钓鱼网址的能力不错,获5点或4.5点评分。「Sophos」HitmanPro.Alert (#16)、「Microsoft」Windows Defender (#23)及「Avira」Free Antivirus for Mac (#32)均没有替Chrome浏览器提供任何网络钓鱼防衞作用,而「Panda」Dome Advanced (#14)及「Malwarebytes」Premium (#15)的拦截率仅为约7.5%及28%,因此都只获1点或2点的低评分。
4款勒索程式防衞能力低
网络防衞、USB装置防衞及手动档案扫描的测试分别已包含11个、7个及990个勒索程式(ransomware),测试时未被侦察的勒索程式会被打开执行,用以测试的电脑的私人资料夹内存放了400个重要档案,实验室统计了最终被恶意加密了的重要档案数量。由于针对MacOS系统的勒索程式较少,因此MacOS系统下测试的样本没有进行此项测试计算。
结果发现,17款样本堵截勒索程式能力强大,完全没有重要档案被加密,获5点的最高评分;「Sophos」HitmanPro.Alert (#16) 及「Kaspersky」Security Cloud - Free (#19)分别在3个及4个重要档案被加密后迅即阻止其继续加密,获4点评分。「BullGuard」Internet Security (#10)、「Malwarebytes」Premium (#15) 及「Sophos」Home Free (#22)完全未能发挥防衞功能,全数重要档案都被恶意加密,只得1点的低评分;「G Data」Internet Security (#12)在23个重要档案被加密后才能成功阻止其继续加密,只得2点的低评分。
