何以扫描不出恶意软件 安卓杀毒软件横评

storystory

以下内容，转自：http://security.zdnet.com.cn/sec ... /1017/2061533.shtml


有关安卓系统上的安全软件评测已经有不少了。但是好像还没有哪个评测涉及到具体的病毒扫描测试。这是为什么呢?


总会有不少读者询问，他们的安卓系统上安装的安全软件是否真正有效?因为他们从没用安全软件扫描出任何恶意软件。

　　安全领域的专业人士，包括我在内，一直被要求在所有能够联网的设备上开发各种病毒防护软件，包括智能手机上可用的安全软件。而手机平台上已经开发出来的安全软件没有扫描出恶意软件，确实有些奇怪。

　　思考再三，我总结出了产生这种现象的几点假设的原因：

　　· 手机系统上没有恶意软件

　　· 黑客们没跟上时代潮流

　　· 目前手机技术已经很好了，不需要安全软件也能保证安全

　　· 安全软件效果不佳，扫描不到恶意软件

　　前两条假设很容易排除，因为：

　　· 目前已经有针对安卓固件的恶意软件了。

　　· 黑客们比我们想象的聪明

　　那么后两种假设的可能性呢?我决定像专业测试机构一样进行一次测试。为了进行这次测试，我特意把大学里有关评测方面的教科书找了出来，尽管很多测试理论都是70年代的，但是现在看来也并不是特别过时。

---
选择哪些安全软件?

　　William 和我在这个问题上纠结了很久，最终我也没明白我们为什么要选择这些安全软件。所以我只好把各个软件自己的销售宣传内容总结一下给大家参考。

　　AVG Antivirus for Smartphones & Tablets: 可自动检测有害的SMS短信和手机程序。Anti-Virus 免费版可以实时保护您的手机免受病毒、恶意软件、和漏洞攻击。

　　Lookout Mobile Security: Lookout 的免费安全工具获得过安全&反病毒大奖，具有反病毒、号码定位、手机数据备份等多种功能。

　　McAfee Mobile Security: 是一个强大的软件套装，包含了针对安卓系统的 McAfee VirusScan Mobile, McAfee WaveSecure, 以及 McAfee SiteAdvisor产品。该套解决方案可保护您手机丢失后的数据安全，可对手机中的个人数据进行备份和恢复，防止手机病毒和间谍软件入侵手机，让您通过手机上网更加安全。

　　Norton Mobile Security Lite:具有恶意软件防护功能和手机丢失后的数据保护功能。具有诺顿特有的反恶意软件、反病毒和手机安全技术。Norton Mobile Security Lite for Android可以确保您手机中的数据安全。

　　Trend Micro Mobile Security-Personal Edition: 这是您数字生活中最好的安全防护产品。可以保护您的Android设备免遭恶意软件和网络攻击的威胁，同时具有丢失后数据保护的功能。

　　我们所选的以上安全产品都有免费版和收费版之分，而我们测试采用的都是免费版 (AVG, Lookout, 和 Norton)以及试用版 (McAfee 和 Trend Micro)。


---

每个测试都在两部测试用机上分别进行，每次测试，手机中都只安装一种安全软件，因为多种安全软件同时安装在一部手机中，会影响测试结果。

　　下面我会列出每个测试的说明和相应的测试结果。

　　DogoWar: 手机重启后，会有一个名为com.dogbite.Doghouse的恶意服务启动，并建立名为com.dogbite.Rabies的服务。这个服务会查找所有带有手机号码的联系人，并向这些号码发送SMS短信。然后这个恶意服务会向73822这个号码发送硬件编码的SMS，继续利用人类善待动物组织的免费SMS短信服务招揽潜在的受害者。



      无害程序(重打包名为DogoWar): 这个测试使用了一个在屏幕上显示“Hello world!”的无害程序。与上面提到的DogoWar唯一的相同点就是程序的名字。如果杀软将这个程序列为恶意程序，将被看做是一种误判。



　　应用程序(被Rabies感染) ：这个测试是模拟一个带有已知病毒的合法的未知程序，即将上面使用的无害程序“hello world”被com.dogbite.rabies恶意服务感染后再安装到手机中，查看各个杀软的效果。

　　如果杀软有所动作，说明它能够从合法的软件代码中找出恶意代码。目前电脑中的杀软主要采用启发式扫描的方法来实现这个功能。目前智能手机上的安全软件可能也会有这个功能，但是手机系统的硬件资源不一定能负担的起这种功能的资源需求。



　　我将上面的这些测试结果发给了我们的安卓技术指导，她看过之后发来了下面这段评论：

　　“看上去这些杀软并不会对重新打包的DogoWar进行扫描，因为目前已知的DogoWar只有一种传播程序。可能杀软对于具有大量变种的恶意代码会有更精确的扫描方式。”

　　这是个不错的提示，于是又打算使用一个名为DroidDeluxe的恶意代码进行进一步的测试。

　　DroidDeluxe: 这是一个基于安卓系统的root exploit程序。它可以在用户不知情的情况下获取手机管理权限。



　　无害程序(重新打包名为DroidDeluxe) 同样还是一个只能显示“Hello world!”的程序，我们将其重新打包命名为DroidDeluxe 。如果安全软件将其标记出来，说明是误判



　　DroidDeluxe (重新打包): 我们利用反汇编器对这个恶意软件进行重新打包，将其内部名称修改，但是其余代码不做任何变动。如果安全软件在扫描内部名称的同时也会扫描程序代码，就会发现DroidDeluxe病毒，否则就不会发现。




---

点评1

　　由于通过测试， 对于这几款安全软件有了相当的认识，我求他对于每个安全软件进行一些点评：

　　AVG:

　　· 该软件的扫描速度要慢于其它软件

　　· 加载文件系统后，AVG不会自动扫描SD卡中的文件

　　· 只扫描代码的内部打包名称，导致误判

　　· 只在软件安装过程中对软件进行扫描

　　· 无法有效检测重打包的恶意软件

　　· AVG 只检测恶意软件的打包名称

　　Lookout:

　　· 如果恶意代码不被安装，就无法将其检测出来。

　　· 用户界面超简洁。

　　· 有误判情况

　　· 可以检测出重新打包的恶意软件，说明它不止扫描代码的打包名称。

　　McAfee:

　　· 入侵式安装。试用版要求7天内注册。为手机增加SMS短信验证功能。

　　· 没有误报，能够截获抑制病毒，包括重新打包的恶意代码。

　　Norton:

　　· 非入侵式安装，但是安装过程有些繁琐

　　· 四个真正的病毒威胁只扫描到了一个

　　· 没有误报

　　Trend Micro:

　　· 软件最近重新修改过

　　· 新版本具有较好的用户体验

　　· 老版本还在网上流传

　　· 没有成功捕获一个威胁


评论2


　　“安卓系统上的恶意软件相比台式机要稀少的多，但是最近也逐渐出现了。手机用户如果从非官方渠道下载应用软件，应该小心可能产生的安全问题，最好要安装一个安全软件。

　　你们的测试结果表明安卓系统上的恶意软件扫描是一个比较新的领域，并不是所有知名品牌的安全产品在手机平台都能取得良好的效果。

　　从技术角度讲，目前手机安全软件面临的一个问题是如何识别合法程序中重新打包的恶意代码。我们目前看到市面上传播的很多恶意代码都是通过这种方式进行传播的，因此这方面的扫描技术要加强。

　　不过这个问题也确实不好处理，因为安全软件也需要避免过多的误判，如果采用启发式查毒，将正常的程序误判为病毒，用户也会觉得产品不够聪明和可靠。在这方面我也和同事们一起正在研究，希望未来几个月后会有有效的解决方案。”

jason_jiang

drweb android路过

八歧大蛇

现在什么都有毒

ka06

要是说还是手机厂商对安卓系统漏洞、安全问题的修补更新滞后才导致了病毒肆意蔓延！
以前的开源电脑系统几乎没病毒
就是因为开源代码系统发现安全漏洞可以做到第一时间修复！

总之智能机确实好，不过如果你要用它的话。需要多几分小心。除了病毒的传播，人为偷偷恶意的给你机子安装过监控软件才是最可怕的事情。

nijiuaiwoa

我用的大蜘蛛   怎么没 列出来

什么嘛

QQ手机管家。。。

flydandan123

扣费的多，这些还是要靠安软的

gl12593

都是浮云。。。。。。