谈谈AV-Test测试中的repair（修复）与我们一般所提到的修复的异同

cyk553312

这是我发到中关村在线软件论坛的帖子，不知道有没有错，有多少错，还请大家斧正！如有违规，还请版主回收！
原帖地址：http://softbbs.zol.com.cn/1/29_3367.html；由于点击与回复的数量与我收入有点关系，所以大家方便的话，看完后麻烦移步支持一下。

AV-Test是国际上有名的反病毒测试。该公司每两个月和每半年都会推出大约二十来款个人版主流反病毒软件、八款企业版主流反病毒软件的评测报告。它的权威性和公正性得到了绝大多数反病毒厂商及用户的认同，被不少厂商视为是该公司的荣誉及实力象征，不少用户也依据其测评报告来选择反病毒方案。


Windows系统下的反病毒软件在AV-Test下的测试成绩主要分为三部分，一是protection（保护）、二是repair（修复）、三是usability（可用性）。这里我们只说说repair。

有不少用户将repair与我们一般说提到的修复等同了起来，这样就出现了一些问题，例如：大家印象中McAfee只要查到了感染性病毒、宏病毒之类的，基本上都能够将病毒删除，而保留文件；而小红伞一类的往往就直接把文件给隔离了；但是小红伞的修复分数反而比McAfee高，有些人就说是不是这搞错了？还是说这里面有猫腻？

其实都不是，这是因为大家对修复的理解和AV-T的理解不一样。先看看AV-T对修复的解释：

从卡巴斯基的修复得分截图中，我们可以看到AV-T的修复包括三部分：其一是发现正在运行中的恶意软件（包括rookit和隐藏的恶意软件），其二是移除恶意软件的所有正在活动的部分（包括rookit和隐藏的恶意软件），其三是对恶意软件进一步去除和对系统所造成影响的恢复。（图中的Industry average是行业平均值，samples used是所使用的样本总数）

对我们而言，我们大多数时候所了解到的修复是指，反病毒软件发现被恶意软件所修改的系统设置及被感染的正常文件，并将这些设置还原到正常的能力，将感染文件中被感染部分清理而保留正常部分、将文件还原到未受感染之前状态的能力，还有就是从复合文件中清理病毒而保留其他正常文件的能力。这一对比就明显看出问题来了，我们所指的修复相对于AV-T外延更窄，AV-T的修复在我们的概念中应该是清理及修复能力。我们所指的修复大致应该对应AV-T的修复的第三项，但外延更广。


那么，什么因素影响修复能力呢？我们就修复的方式来逐个说一下：

一是通用修复，这种修复只是针对可能会对用户造成困扰的系统设置更改或系统文件缺失及损坏，然后就爱那个被更改的设置改回原有设置，将损坏的系统文件换成正常文件，这只需要对系统、用户习惯及网络环境的理解。这种修复，目前国内以360及金山的效果十分明显，特别是对插件、流氓软件以及某些重要系统文件缺失等来说，此外MSE4.1预览版也带有修复系统文件的能力。

二是针对性修复，这种修复是针对感染型病毒，如某些宏病毒、cad病毒之类的。这即要将病毒清理掉，也要将被病毒损坏的文件修复好，这需要反病毒软件对该种病毒的所有动作了如指掌。这就要求反病毒厂商有大量的精准数据库，能够将病毒与病毒的行为和修复方案对应起来，这就需要精准数据库的支持，而精准数据库的建立则要求大量的病毒分析师，目前针对性修复能力好一点的有卡巴、诺顿、迈克菲、大蜘蛛、趋势、MSE等厂商。

三是从复合文件中清理掉恶意文件，复合文件一般是指各种压缩包、安装包之类的东西。先举个例子：由于绝大多数压缩算法都是有专利的，解压大多不需要授权，但压缩必须有授权，否则就可能面临官司。所以从复合文件中清理恶意软件的能力基本上只是被反病毒厂商所拥有的压缩算法等专利的使用权的多少所限制。需要注意的是，由于这个的限制，大多数时候，针对性修复是无法修复复合文件中的已感染文件的，需要现将复合文件进行解压才能够对里面的已感染文件进行精准修复。

本文部分内容及观点参照了留侯、jifffire的观点以及一些博客和论坛帖。

卡江东N

帮忙点击一下吧

songlin

支持一下！

长乐

支持一下的，哈哈，，表示 不是懂。

90yuleilei

挺有新意的的，扫盲啦，看来修复的定义这么广阔

酱紫啊~

学习一下

宜搜百度

感谢楼主，学习了。

munchen

学习了

卡不卡卡

学习了，谢谢！

jxae

没看到对protection的解释，看起来修复的第一部分包括了检测啊。