测试结果
恶意程式防护效能测试
上网浏览及下载档案需注意网络安全
由于针对macOS作业系统的恶意程式相关网页数量相对较少,是次网络防护测试并未包括macOS样本。测试主要模拟一般用户在Windows作业系统下的日常使用情境,例如浏览网页或从网站下载软件,评估电脑在相关过程中感染恶意程式的风险。
实验室利用200 个从网上下载的恶意程式样本进行测试,检视各样本能否有效阻挡相关恶意网页的显示、阻止恶意程式的下载、开启或执行;以及在恶意程式一旦被执行后,样本是否能防止其对系统作出未经授权的改动或进行其他恶意行为。
测试评分准则涵盖恶意程式被侦察到的时间、最终是否成功发现相关威胁,以及样本向用户发出警示讯息所需的时间与其资讯的实用程度。测试结果显示,除样本 W16 的误判(false positive)情况较多,可能导致用户未能下载正常档案,仅获 3.5 分外,其余样本整体表现理想。大部分样本的成功侦察率均达97%或以上,并获得4分或以上的评分。
个别网络安全软件(如W16)在侦测到可疑恶意程式时,会向用户显示提示讯息,要求用户自行判断是否继续相关操作。
个别样本离线手动档案扫描表现较逊
实验室收集了10,000个对应Windows作业系统及10个对应macOS作业系统的已知恶意程式,当中类型主要包括木马程式、后门程式、网络蠕虫、电脑病毒,以及其他间谍程式。测试时,所有恶意程式均存放于电脑硬碟中,并由各样本分别于在线(online)及离线(offline)状态下进行手动扫描侦察。
离线测试期间,样本在4星期内不进行任何更新,并以该4星期内于互联网上出现的新恶意程式作为测试基础,以评估样本在缺乏即时更新及云端支援的情况下,对陌生恶意程式的侦察能力。
样本之间的表现各有差异。其中W1至W7、W9、W12至W15、M1 至 M3及 M5至 M7于在线或离线状态下的整体表现均理想,获 4.5 分高评分。惟部分样本在离线状态下的表现相对逊色,当中W10在离线测试中的表现较不理想,因此仅获3.5分。
整体而言,样本的在线状态表现较离线状态理想,反映相关软件普遍依赖云端运算技术,须透过连接伺服器才能发挥较佳的防护效能。因此,用户于日常进行档案扫描时,应确保电脑已连接至互联网,以获得较全面的网络安全保障。
1款macOS网络安全软件防护USB装置表现出众
实验室收集了90个对应Windows作业系统及10个对应 macOS 作业系统的已知恶意程式档案,并储存于USB装置内。测试时,研究人员分别在离线及在线状态下,将USB装置插入测试电脑,并把当中的恶意程式档案复制至电脑硬碟。如档案能顺利完成复制,实验室便会尝试开启该等已复制的恶意程式。
此项测试根据恶意程式在不同阶段(包括档案复制、开启或执行时)能否被样本侦察,以及最终能否成功阻截恶意行为作出评分。一般而言,若网络安全软件主要依赖既有的识别码来辨认恶意程式,单靠扫描往往难以侦察较新的恶意程式。不过,现时不少网络安全软件已普遍运用启发式(heuristic)技术,透过分析恶意程式在运行时的不寻常行为特征,例如自我脱壳解码、入侵作业系统或感染其他档案等进行鉴定,其优点在于即使识别码未能及时更新,系统仍可获得一定程度的防护。
测试结果显示,大部分样本于离线状态下对USB装置的防护能力较弱,整体表现逊于在线状态,因而影响评分。在Windows系统样本中,有 4 款(W5、W8、W10 及 W16)表现欠佳,仅获2.5分或以下。至于macOS系统样本,M1表现突出获得5分评分,其余大部分样本获3.5分。
1款未能有效拦截网络钓鱼攻击
测试包含200个网络钓鱼(phishing)网址。测试前,实验室先分别关闭用于测试的Chrome浏览器(Windows 系统样本)及Safari浏览器(macOS系统样本)内置的网络钓鱼过滤功能,以免影响测试结果。
测试结果发现,分别有14款支援Windows系统及7款支援macOS系统的样本,在阻挡恶意钓鱼网址方面表现理想,均获4.5分或以上的高评分。惟样本W16未有为测试时采用的Chrome浏览器提供任何网络钓鱼防护,仅获1分。使用相关软件的用户,须留意于浏览器启用网络钓鱼过滤功能,以提升防护能力。
1款勒索程式防护表现较逊色
由于针对macOS作业系统的勒索程式数量相对较少,是次测试未有为适用于 macOS系统的样本进行此项评估。实验室利用特制的勒索程式,分别测试各样本在网络防护、手动档案扫描及USB装置防护方面的能力。对于未能即时被侦察的勒索程式,研究人员会手动开启并执行,最后评估储存于私人资料夹内 400个重要档案中,最终被恶意加密的数量。
测试结果显示,样本W4、W8及W10至W12在两次测试中,均能即时侦察出勒索程式,或于勒索程式开始进行恶意加密时迅速阻止其操作,并成功恢复所有重要档案,获得4分或以上较高评分。相反,样本W16并未预设启动勒索程式防护功能,测试期间出现较多档案被恶意加密的情况,仅获2分。
资源占用
本项目评估各样本对电脑系统操作效能的影响,分为实时操作及存放常驻程式两个部分。
实时操作方面,测试评估安装样本后对开机及关机所需时间、电脑基准测试(benchmarking)表现,以及进行日常操作(包括处理各类档案及浏览网站)速度的影响。测试结果显示,安装网络安全软件后,对电脑实时操作效能的影响整体不算太大,不少样本于此项目获得4分或以上,惟W11及W12有个别日常操作的项目表现较其他样本慢,评分稍为受影响。
存放常驻程式方面,测试量度各样本安装后所需的硬碟空间,以及软件长期占用记忆体的情况。除了样本W16为系统内置程式外,其余样本在硬碟空间占用方面有显著差异,样本W6及W8表现较为突出,分别仅占用868MB及650MB硬碟空间,并占用234MB及269MB记忆体,于此项目获得 4 分。相反,样本 W1 安装后占用硬碟空间高达3,067MB,W4 安装后占用记忆体达 1,215MB,而 W14 安装后则占用2,354MB硬碟空间及854MB记忆体,均占用较多电脑资源,3款样本于此项目仅获2分。
使用方便程度
使用方便程度的评估涵盖多个范畴,包括安装及解除安装程式的便捷度、功能导航/主控制中心的介面设计、使用说明的清晰度,以及防恶意程式功能的易用程度等。
测试结果显示,13款样本在使用上相对容易及方便,当侦察到恶意程式时,其通知内容显示亦较清晰详尽,能有效协助用户理解潜在风险,整体获得4.5分的较高评分。
不同网络安全软件样本所提供的恶意程式侦察警告讯息设计各有差异;上图所示警告讯息的颜色对比度、字体大小及封锁理由较下图明确,可加强用户对潜在威胁的警觉。
