目录:
视频: WinPatrol WinAntiRansom PLUS - ransomware test (十月 2024)
我评论中的几乎所有防病毒程序都是我多年来检查过的产品的更新。 我很少看到任何新内容,这就是为什么我很高兴查看WinPatrol WinAntiRansom的原因。 尽管有这个名称,该产品旨在保护其免受各种形式的恶意软件的侵害,而不仅仅是勒索软件。 因为它分析程序行为而不是依靠签名,所以从理论上讲,它对所有恶意软件(包括全新的零日攻击)都具有同等效力。 但是实际上,它既错过了一些恶意软件,又错误地将许多好的程序标识为恶意程序。
WinAntiRansom的价格为每年19.95美元,或三个许可证的价格为24.95美元,绝对比大多数产品便宜。 严格按照标价来看,Bitdefender Antivirus Plus 2017,Kaspersky,Norton和Webroot的单个许可证费用都是其两倍。 McAfee的价格是WinAntiRansom的三倍,但允许无限制的安装。 另一方面,在这种情况下,多付一点钱可以为您提供更多的保护。
WinAntiRansom不常见,因为它没有主屏幕或主窗口。 启动时,它将显示“设置”页面,顶部带有一个功能区,可访问日志,配置,帮助等。 右上角的一组图标扩展到一个屏幕,可让您从近四打皮肤中进行选择,其中包括一些专门用于特定季节或假日的皮肤。 不过,我不太清楚为什么反恶意软件程序需要那么多皮肤。
安装后,WinAntiRansom立即运行扫描,以识别并列出系统上存在的已知良好程序。 单击“程序”图标将显示此列表,该列表会用特殊图标标记经过数字签名的程序和Windows组件。 扫描完成后,WinAntiMalware即已开始工作。
启动时阻止恶意软件
与我相比,全球独立的防病毒测试实验室拥有更多的资源来测试安全程序。 他们完全测试了一个程序,这表明他们认为它很重要,而且供应商也愿意参与。 好成绩? 更好! 特别是卡巴斯基反病毒软件在我关注的所有实验室中均获得了优异的成绩。
不幸的是,没有一个实验室在测试中包含WinAntiRansom。 这并不意味着不好,但是并不能激发信心。
由于没有来自独立实验室的测试结果,我不得不完全依靠对此实用工具功效的动手测试。 与大多数防病毒应用程序不同,WinAntiRansom仅查看程序行为,因此没有按访问扫描。 这使测试变得简单。 我刚刚启动了我的收藏中的每个恶意软件样本,并记录了该应用程序的反应。
该防病毒软件检测到我样本的97%,与Norton,趋势科技Antivirus + Security和其他一些软件相同。 在每种情况下,它都会弹出一个标题为“ PreEmptive Strike Block!”的通知窗口。 和一行说明“执行了类似勒索软件/恶意软件的操作”,后跟括号中的数字。 弹出窗口提供了两个选择,“允许下一次”和“隔离”。 WinAntiRansom在启动时立即检测到了一些样本,过了一段时间后发现了其他样本。
这些数字吸引了我。 在测试期间,我遇到了15个不同的数字,范围从1到3001。我在公司的联系人解释说,这些数字代表使程序的总体行为得分超过顶部的最终操作。 他解释说:“我们从未将它们公开,因为我们不想帮助恶意软件作者找到一种避免检测的方法,也不想帮助竞争对手改善他们的产品。”
恶意软件拦截结果图
WinAntiRansom的隔离阻止了大多数恶意软件样本的安装。 但是,在少数情况下,我发现一个恶意软件进程不仅已安装而且正在运行。 基于行为的检测系统有可能隔离了一个过程,但却错过了另一个过程。 这使WinAntiRansom的总体得分下降到9.2分。 Symantec Norton AntiVirus Basic和趋势科技赢得9.7分,因为它们完全阻止了所有检测到的恶意软件攻击。 Webroot在该测试中排名最高,满分为10分。
许多误报
我可以编写一个绝对阻止所有恶意程序的防病毒程序。 唯一的问题是,它还会阻止每个 非 恶意程序。 在现实世界中,防病毒实用程序有两个目标-阻止所有恶意程序,并单独保留所有有效程序。 误报将有效程序标记为恶意程序,破坏了用户对防病毒软件准确性的信任。
对于虚假的健全性检查,我测试了WinAntiRansom对一旦在PC Magazine上发布的一系列实用程序的反应。 我将这些实用程序与恶意软件示例保存在同一文件夹中,按字母顺序浏览列表,并启动好程序和坏程序。
结果令人沮丧。 在20个程序中,只有5个逃脱了WinAntiRansom的先发制人的罢工。 是的,用户可以选择下次允许该程序,然后再次启动它。 但是我不喜欢将此类决定留给用户的安全程序。 弹出通知无法确定其将该程序归类为恶意软件的原因,这一事实使这一决定更加困难。
阻止最新威胁
我无法将我通常的恶意URL阻止测试应用于WinAntiRansom,因为它不会尝试阻止对恶意软件托管URL的访问,并且不会扫描下载,直到它们运行。 不过,我很看重此测试,因为MRG-Effitas提供的Feed中的恶意软件样本非常最新,URL本身也不过一天之久。 因此,我为WinAntiRansom设计了一个经过修改的测试。
通常,我使用100个样本,但是对于这种劳动强度较大的测试,一旦下载了50个样本,我就停止了。 然后,我只是简单地下了线,启动了每个程序并注意到了应用程序的响应。 结果令人失望。 WinAntiRansom仅提供了对78%样本的隔离。 诺顿阻止了98%的访问,主要是通过清除下载的恶意软件。 Avira Antivirus Pro管理着95%的保护,几乎所有保护都是通过使浏览器远离恶意软件托管URL来实现的。
仅出于完整性检查的目的,我通过VirusTotal运行了每个样本的MD5哈希值。 VirusTotal会针对50个以上的防病毒引擎检查每个样本,并报告多少样本被视为恶意软件。 我记录了将每个样本标记为恶意的百分比。 对于WinAntiRansom检测到的文件,平均VirusTotal检测率为59%。 对于那些错过的人,平均值为53%,相差不大。
公平地说,这些丢失的文件中有一些可能根本没有开始其恶意行为。 这是基于严格的基于行为的检测的危险-它无法识别潜伏在后台,等待行为不端的程序。 但是Webroot SecureAnywhere AntiVirus也使用基于行为的检测,在我所有的测试中,它的得分要好得多。
查看我们如何测试安全软件
其他功能和缺陷
WinAntiRansom具有许多其他层,可以防止恶意程序破坏基于行为的检测程序。 网络锁定的工作方式类似于防火墙的程序控制,可通过不在可信列表中的程序阻止网络连接。 注册表保护可防止未知程序对关键注册表区域进行更改。 该公司故意不列出关键的注册表区域,以免使黑客感到麻烦。
作为对勒索软件的进一步防御,WinAntiRansom会拒绝未知程序访问SafeZone中的文件,默认情况下,SafeZone是您的Documents文件夹的子文件夹。 我认为将整个Documents文件夹放在SafeZone中会更有意义,但是该应用程序却不允许我这样做。 在功能区中,您可以单击图标以通过注册表保护,网络锁定和SafeZone查看所有最近的操作。
我试图通过手工编码的微型浏览器浏览互联网来测试网络锁定。 但是,WinAntiRansom将其识别为恶意软件。 我可以运行它的唯一方法是将其标记为受信任,这时不再需要网络锁定。 同样,我以为我可以使用自己编写的微型文本编辑器来测试SafeZone,但WinAntiRansom隔离了它。 我的所有三个列表都保持空白,就像在帮助系统的屏幕截图中一样。
在测试过程中,该程序冻结了好几次,触发了Windows查询,询问我是否要关闭它,还是先寻求解决方案。 它还几次崩溃,并显示未处理的异常错误消息。
我还遇到了与皮肤功能有关的非常奇怪的行为。 首先,我选择了情人节那天的皮肤,它使背景变成粉红色,周围散布着小小的心。 然后,我调整了窗口的大小。 此时,背景开始在三个视图之间循环,每个视图从顶部缓慢向下扫视。 一个是正确的粉红色心形背景,一个是充满小齿轮图标的窗口填充网格,另一个是黑色。 一段时间后,特殊的显示停止了,但是如果我调整窗口的大小,则再次显示。 此行为是完全可重复的,并且在其他(但不是全部)其他皮肤中发生了。 前面我提到过,我对提供数十种皮肤的大量设计关注感到困惑,并且怪异的皮肤行为使其更加令人困惑。
需要工作
WinPatrol WinAntiRansom旨在通过基于行为而不是基于预定义的签名进行检测,来保护您免受已知和未知恶意软件的侵害。 这是一个崇高的目标,但是据我在测试中看到的那样,该程序还有很长的路要走。 它错过了一些恶意程序,阻止了许多有效程序,并且在测试中表现出奇怪的错误行为。
在众多的防病毒产品中,我们确定了五个为编辑选择:Bitdefender Antivirus Plus,Kaspersky Anti-Virus,McAfee AntiVirus Plus,Symantec Norton AntiVirus Basic和Webroot SecureAnywhere Antivirus。 每个人都有自己的美德。 例如,McAfee提供了无限制的安装,Webroot成功使用了基于行为的检测。 您为其中一种防病毒实用程序支付了更高的费用,但获得了明显更好的保护。
