防衞程式效能
防衞惡意程式效能
於Windows 視窗系統下測試的樣本,大部分在安裝過程中都會先自動關閉Windows內置的防衞功能,亦即是將防衞惡意程式完全交由測試樣本接手;「Malwarebytes」Premium (#15)在安裝時沒有自動關閉Windows內置的防衞功能,但發出關閉Windows內置防衞功能的提示,鑒於用戶一般都會跟隨安裝時提出的建議,故測試時實驗室亦手動將Windows內置的防衞功能關閉。
3款網絡防衞較遜色
測試模擬日常使用電腦時感染惡意程式的過程,包括瀏覽網頁或從網站下載軟件,實驗室利用400個從網上下載的惡意程式,測試樣本能否阻擋相關網頁的顯示及阻止惡意程式的下載、打開或執行,而惡意程式一旦被執行又會否阻擋對系統的改動或其惡意行為等。測試根據惡意程式何時被偵察到及最終會否被發現、樣本傳達給用戶的訊息及意見的有用程度來評分。試驗人員指針對MacOS操作系統的惡意程式網頁較少,因此MacOS軟件樣本沒有進行這項測試。
大部分樣本均表現不錯,多達20款的成功偵察率高於90%,獲4點或以上評分;收費軟件「Malwarebytes」Premium (#15) 及免費軟件「Sophos」Home Free (#22)的成功偵察率分別是80%及90%,獲3點及3.5點評分;收費軟件「Sophos」HitmanPro.Alert (#16) 偵察率偏低,只有35%,僅獲2.5點的低評分。
USB裝置防衞普遍欠佳
實驗室收集了包括180個對應Windows系統及20個對應MacOS操作系統的已知惡意程式檔案,逐一儲存在USB裝置內,然後將USB裝置插入離線(offline)及在線(online)狀態下的電腦,再將當中的惡意程式檔案複製至電腦的硬碟中,如果過程中並沒有被樣本阻止而順利完成複製,實驗室便會嘗試開啟該等已複製的惡意程式;此項測試根據惡意程式在何階段及最終是否被樣本發現來作評分。
分析發現,大部分樣本都因離線時明顯防衞不足而拖累評分,Windows 視窗及MacOS系統下測試的樣本,分別多達22款及6款獲2.5點或以下的低評分。只有「Bitdefender」Internet Security (#5) 及Antivirus for Mac (#24)、「G Data」Antivirus for Mac (#27)及「ESET」Cyber Security Pro (#28)表現略佳而獲3點評分。
1款實時保護誤判較多
網絡安全軟件可能偶然會錯將正常網頁或檔案介定為惡意程式,並將之阻擋、隔離或刪除,這種情況稱為誤判(false positive),如果誤判經常發生,除產生不便及令人感到煩擾外,亦會令用戶覺得該網絡安全軟件不太可靠,甚至失去信心而索性將軟件關閉。
22款於Windows 視窗系統下測試的樣本,在網絡防衞的測試時誤判率低於5%,表現優秀,獲5點或4.5點的高評分,「Microsoft」Windows Defender (#23)誤判率達10%,只得3.5點的評分。
手動檔案掃描表現懸殊
實驗室收集了40,000個對應Windows系統、400個對應Android智能手機操作系統及20個對應MacOS操作系統的已知惡意程式(known malware),當中對應Android的惡意程式雖然不會直接影響電腦,但一旦傳送到手機,便會感染手機;收集的惡意程式類型包括木馬(trojans)、後門程式(backdoors)、蠕蟲(worms)、病毒及其他類別的間諜程式等,全部存放在電腦硬碟中,然後以樣本在線及離線狀態下進行手動掃描偵察。
樣本間的表現懸殊,於Windows 視窗系統下測試的樣本以「Avira」Antivirus Pro (#1) 及Free Security (#17)、「ESET」Internet Security (#3)的表現較佳,不論在線或離線都獲5或4.5點的高評分;另有4款樣本表現較為遜色,包括「Trend Micro」PC-cillin Maximum Security (#9)、「Panda」Dome Advanced (#14)、「Sophos」HitmanPro.Alert (#16)及「Microsoft」Windows Defender (#23)主要因為偵察非原系統的惡意程式能力較低,亦即不太能偵察出對應Android和MacOS操作系統的惡意程式,以致跨平台傳送檔案存在風險,故不論在線或離線都只得2點或以下評分。
於MacOS系統下測試的樣本中,在線狀態以「Avira」Free Antivirus for Mac (#32)的表現較佳,獲5點高評分,離線狀態則以「AVG」AntiVirus for Mac (#30)及「Avast」Security for Mac (#31)的表現較好,同獲4點評分。
不少樣本於離線狀態的表現都略低於在線狀態,反映樣本普遍採用雲端運算(cloud computing)技術,亦即依靠上網接駁至伺服器來運作,故為提高網絡安全,用戶日常進行檔案掃描時,都應確保電腦已連接上網。
開啟時偵察成功率高
網絡安全軟件進行檔案掃描時,主要依賴以往收錄的識別碼來辨認惡意程式,由於未知惡意程式(unknown malware)的識別碼並未被納入,故往往不能憑掃描偵察,不過,現時的網絡安全軟件普遍還能運用啟發式(heuristic)技術,根據惡意程式運行時的不尋常行為特徵,例如自我脫殼解碼後入侵及感染其他檔案等動作,來進行鑒定。
測試發現,如果檔案掃描時未被偵察出來的惡意程式,當該惡意程式開啟時被偵察的機會都很高,全部樣本於惡意程式被開啟時偵察成功率都達95%或以上,獲5點的高評分。
手動掃描誤判甚少
手動檔案掃描的測試也包含40,000個正常檔案,各樣本將正常檔案誤判為惡意程式的數量都不多於10個,全部樣本表現理想,同獲5點的高評分。
5款未能有效攔截網絡釣魚
測試包含800多個網絡釣魚(phishing)的網址(URL),測試前先關上Chrome瀏覽器內置的網絡釣魚過濾器,以免影響偵察結果。
結果發現,Windows視窗及MacOS系統下測試的樣本,分別有多達15款及5款阻擋不良網絡釣魚網址的能力不錯,獲5點或4.5點評分。「Sophos」HitmanPro.Alert (#16)、「Microsoft」Windows Defender (#23)及「Avira」Free Antivirus for Mac (#32)均沒有替Chrome瀏覽器提供任何網絡釣魚防衞作用,而「Panda」Dome Advanced (#14)及「Malwarebytes」Premium (#15)的攔截率僅為約7.5%及28%,因此都只獲1點或2點的低評分。
4款勒索程式防衞能力低
網絡防衞、USB裝置防衞及手動檔案掃描的測試分別已包含11個、7個及990個勒索程式(ransomware),測試時未被偵察的勒索程式會被打開執行,用以測試的電腦的私人資料夾內存放了400個重要檔案,實驗室統計了最終被惡意加密了的重要檔案數量。由於針對MacOS系統的勒索程式較少,因此MacOS系統下測試的樣本沒有進行此項測試計算。
結果發現,17款樣本堵截勒索程式能力強大,完全沒有重要檔案被加密,獲5點的最高評分;「Sophos」HitmanPro.Alert (#16) 及「Kaspersky」Security Cloud - Free (#19)分別在3個及4個重要檔案被加密後迅即阻止其繼續加密,獲4點評分。「BullGuard」Internet Security (#10)、「Malwarebytes」Premium (#15) 及「Sophos」Home Free (#22)完全未能發揮防衞功能,全數重要檔案都被惡意加密,只得1點的低評分;「G Data」Internet Security (#12)在23個重要檔案被加密後才能成功阻止其繼續加密,只得2點的低評分。
