转贴 #1 谨慎对待杀毒软件测评
看着满天飞的各类杀毒软件测评,早想写这样的文章了,由于比较忙从10月份开始一直断断续续地写.今天终于写完了
在 网上经常可以看到所谓的杀软的排名,对应的 杀软后面有个查毒率,而后就是**杀毒软件是第一等等
对于普通网民 一般就以这个作为选择杀软的标准了.殊不知这类的测评是很片面的.有的甚至是完全错误的.
全面评价一个杀毒软件需要从以下的方面进行测评(排名不分先后)
一 样本的检出率以及测试样本库的组成
样本的检出率是指杀毒软件发现测试样本库中病毒的比例. 测试样本库里面大有文章可作,关键是样本的分布,从社会调查学的角度说,样本的分布必须是有一个相当大的时间跨度.也就是说样本的选择必须从最老的DOS病毒到最新的病毒全面选择.中间尽可能地不要出现断档.然而如果你不想全面调查的话,在同一时期/种类的病毒中随机抽样一定量的病毒来构成你的测评样本库
二 样本的误报率
似乎现在的公开测评都没有检测这项项目,实际上这个非常重要,很多杀软通过在特征提取上做手脚以误报率为代价从而提高检测率.对于这方面 我们在检测对象中还需要加入一定量的接近病毒的正常程序和其他非病毒程序.
三 样本的脱壳率
这点没啥好多说的,对于脱壳要看 普通压缩壳 还要看驱动壳等等. 还有看的一点是脱壳以后是否出现了无法识别的现象.因为某些杀软在特征提取的时候定位不准,导致脱壳后出现无法识别的现象
四 样本感染后的清除率
这点好像很少有人公开测评过,这点分做两部分 第一部分感染型的病毒 在感染EXE以后杀软是否能够修复EXE为标准(如威金等感染后的修复) 第二部分木马(如灰鸽子)植入能否彻底的清除他,
五 安全公司对样本的处理速度
随着木马/蠕虫/常规病毒的危害越来越大,安全公司能否对样本进行快速处理是很关键的一步.只有快速的处理才能把病毒的破坏范围降低到最低.
六 杀毒软件的自我保护能力
随着病毒开始具备中止杀毒软件的能力,杀毒软件自身的保护至关重要.被破坏了的杀毒软件等于没有杀毒软件.
七 杀毒软件的文件特征和内存查杀的区别
从目前看,所有的测评仅仅测试了文件特征的查杀,尚未看到内存特征的查杀的测评
文件特征是指这个病毒体无论是运行或尚未运行时候对于病毒的本体(exe/com/pif等)文件进行查杀.内存特征是病毒运行后在内存中的特征.很多病毒如灰鸽子等杀毒软件的文件特征无法查杀,但是在植入系统后内存监控会报警.虽然现在有针对内存监控的免杀但是内存特征查杀依旧是评价杀毒软件好坏的标准之一.
八 未知病毒的检出率以及误报率
对于一些未知病毒杀软应该具有一定的检测能力,当然这个检出率必须和误报率进行挂钩.从目前看很多看似有名的杀软有着极强的未知病毒检出率 但是是以惊人的误报为条件.所以这个检出率必须和误报率做一个换算.也就是说 检出率为正 误报率为负 评分的时候正负相加.
九 特殊的文件检测
由于某些杀毒软件漏洞对一些特殊构造的文件查杀的时候会造成崩溃或者死循环的情况.当然这个检测不是普通的测评机构能够做的.但是我这里还是提了一下
十 病毒库的数量(不含加壳病毒)
一般而言病毒库越大,查杀的病毒越多 但是这里的数量加壳病毒不算.
十一 杀毒软件厂商的监测网的分布以及合作对象的数目实力
杀毒软件的厂商要想快速获得最新的病毒需要的是广泛的检测网以及与合作伙伴之间的样本交流.只有第一时间获得样本才能第一时间进行处理.
十二 与系统的兼容性/可卸载性
杀毒软件其代码要插入系统底层,其稳定性至关重要.这个稳定的标准以完整版的系统为准,各类精简版的 修改版的系统不算.其次杀毒软件要容易卸载, 卸载后是否残留在系统或破坏系统的完整性也是评判的重要标准之一.
可能有人又要说你漏了引擎的比较,其实我没有忘记,第1,2,3,4,6,7,8,9 就是对引擎的检测
看待已有排名/测评
除了上述测评的十二个方面外,对于外界的排名/测评我们可以这么对待.
1 不存在检出率为100%的杀毒软件,否则要么就是测评的样本库出问题了,要么这个测评不全面(极高的误报率)或者出于商业的目的进行虚假的测评
2 除非杀毒软件厂商的产品升级换代或采用了新技术否则测评结果并不会有较大的差异.如果没有增加新的杀毒软件那么测评的排名上下浮动不应该超过1名
3 极端的测试没有必要,也说明不了什么 比如1000层的压缩文件 或者加壳1000层的 文件完全不能说明什么.实际生活中基本没见 1000层的 压缩文件,至于1000层壳的程序 估计是没法运行了.
4 对于加壳的文件的测评要注意 文件有没有被破坏 一切以 程序是否能够运行为准.
5 测评过程除了上文的12个方面以外还应匹配相应的图片进行说明
6 对于不完整的测评不宜作为选择杀毒软件的标准.
本文到此就结束了,希望大家以后能够正确地对待测评和正确地选择杀毒软件
作者 taylor0577 转自 杭州志愿者论坛
[ 本帖最后由 wqlikai 于 2006-12-22 17:05 编辑 ] |
发表于 2006-12-21 20:38:37
楼主
发表于 2006-12-22 00:19:46
