荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Mic (酷鱼), 信区: Virus
标  题: 具体内容(摘自POPSOFT)!(数据被省略,建议大家看大众软件8,上面很具体)
发信站: 荔园晨风BBS站 (Wed Apr 18 08:45:53 2001), 转信

2000年桌面反病毒产品民间测试报告
 编者按:在盗版肆虐的中国软件市场上,杀毒软件却一直保持着良好的销售势头
。出于安全的考虑,资金再紧张的用户也会从宝贵的购机预算中拨出一笔款项,用
于购买正版的杀毒软件以防万一,很多人也因此拥有了自己唯一的一套正版软件。
正是因为这个原因,国内市场上的杀毒软件价格一直居高不下,产品众多,市场竞
争非常激烈。但是这些产品的性能和质量究竟如何,却是一般用户难以了解到的。
也许是因为这个市场的利润空间太巨大了,惊动了国家有关部门的注意,明令禁止
媒体对杀毒软件产品进行病毒攻击测试。但我们认为公众有权了解与自己的利益密
切相关的产品信息,因此便策划了这期的杀毒软件民间综合测试。

 本次测试委托民间人士进行,不加任何干预。测试所采用的样本集与测试项目都
是国际化的,而且只公布测试数据,对结果不进行加权、记分、排名,只是客观地
集中展示了桌面反病毒产品在功能方面的具体情况。由于测试工作十分复杂,本次
测试从2000年下半年开始筹备,直到前不久才全部完成,导致一些最新发布的产品
未能包含进去,这是一个遗憾。不过从文章中大家可以了解到许多防杀病毒的基础
知识,相信对提高大众的鉴别能力会有一定帮助。

 需要申明的是本刊编辑部没有进行过任何病毒攻击测试,所刊发的文章不代表本
刊观点,仅供大家参考并欢迎来信来稿展开讨论。

测试产品列表
表格说明:
1.标记有“*”的产品由市场采集;标记有“***”的产品来自网上下载。
2.产品升级文件截止2001年1月8日20:00,由原厂下载;瑞星系2001年1月11日下载

3.各项测试表格中所涉及的产品,一律使用对应测试代号。
4.在原来测试计划中,包括了F-PORT、NORMAN、ESAFE和DR.WEB。由于F-PORT已被
兼并,而NORMAN和ESAFE由于扫描中多次死机的原因,无法完成测试,我们被迫取
消了。另外,考虑到金山毒霸声明采用了DR.WEB的引擎,故DR.WEB的结果可以参考
金山毒霸。
5.由于基准病毒库样本绝大部分是以AVP加手工确认的复合认证来确定,极少数是
单独依靠手工确认的(这种方法并不是没有根据的,AVP和F-PORT本来就是民间反
病毒研究的两个参照性产品,F-PORT被兼并后,AVP自然成为唯一的参照系),因
此,AVP没有参加第一项静态扫描测试,仅将其作为参照系。特别需要说明的是,
如果参评的其它软件采用或借鉴了AVP的技术、引擎模块及病毒知识库等,那么测
试结果可能对其有利。
6.版本情况说明,金山毒霸测试的DR.WEB引擎为4.22。

第一部分 静态扫描环节测试
 准备知识:对病毒的静态扫描检测是反病毒产品最原始也是最基本的能力,尽管
我们往往称反病毒产品为杀毒软件,但杀毒必须首先以有效的检测判定为基础。传
统的反病毒产品以病毒特征码匹配扫描为基础,通常,病毒特征码是为了能够对病
毒唯一性标识而在病毒体中取的连续几个(一般要在7个以上)到几十个字节,也
有部分杀毒软件为了检测一些特殊病毒,采用包含通配符和不等间隔的多段特征码
,关于这种方法的误报问题,曾引发了一些争论。随着病毒技术的不断发展和病毒
数量的不断增多,为了提高反病毒产品检测的准确性和效率,简单的特征码匹配逐
步变为包含文件头检测等一套比较复杂的行为特征判定机制。特别是为了对付变形
病毒和未知病毒,反病毒产品采用了虚拟机等新技术,通过虚拟机将可执行文件从
内存还原,捕捉执行特性,再通过知识库进行加权判定,这个过程一般被称为启发
式扫描。以上技术都不是孤立存在的,而是一个协调的整体。

查毒数量和质量是反病毒产品水准的根本标志之一。
 测试方法:本次测试主要采用了3个样本库,即流行病毒库、基准病毒库、远程
控制工具样本库。流行病毒的选取参考了国际认可的www.wildlist.org清单2000年
12月版本,数量有所减少,变种选取有一定不同。与之对应,也分为in the wild
、Supplemental、other三类;基准病毒库则包含了10 320个病毒体;远程控制工
具样本库中包含了271种远程控制工具的server端。把远程控制工具独立于基础病
毒库之外的原因,是根据国际反病毒界普遍的认识:鉴于远程控制工具一般都没有
自我复制能力,其程序本身并没有破坏力(如果有直接破坏力或感染力的样本,一
般才认定为病毒),并且其与正常网管工具的界限往往比较模糊,因此并不把远程
控制工具归入病毒。我们依照反病毒产品的报告,对这三个样本库的检测统计结果
进行了整理。

 软件设置:多数反病毒产品为了提高对未知病毒的检测能力,提供了启发式扫描
等方法,这种方式一方面提高了对抗未知病毒的能力,但同时也降低了扫描速度并
且可能带来误报。多数反病毒产品提供了让用户自己选择扫描“强度”的开关,我
们对有这样选项的反病毒产品,分别采用关闭所有加强扫描选项和开放所有选项,
各自测试了一次。

 特别提示:杀毒软件对流行病毒能够全面检测是非常重要的,这说明了反病毒产
品对新病毒特别是流行速度快、传播范围广的新病毒的响应能力。国际权威的
ICSA测试的要求就极为苛刻,如果一种产品不能100%检测到流行样本库,就不能通
过测试。

 反病毒产品有一个对全部已知病毒覆盖面比较广的检测基数同样是重要的,只有
这样才能给用户全面的保护,这反映了反病毒产品监测网络的规模,也是反病毒产
品能力的根本标志之一。而且,反病毒产品有一个可靠率高、对未知病毒有充分预
警能力的扫描引擎,正是依赖对上万种样本的分析研究与归纳总结。

测试1.1 对流行病毒库的检测
表2为流行病毒库的检测结果

说明:
1.关于数据:对于提供了多种扫描等级的软件,我们分别测试了其最不敏感和最敏
感的两种扫描方式。有“/”标记的前面为最不敏感的扫描方式,后面为最敏感的
扫描方式,数字为确认的病毒,[]中为其怀疑的数量。

 参加测试的部分产品通过了采用www.wildlist.org清单的相关认证,但在本测试
中产品检测率没有达到100%,主要是由于我们选取的流行病毒的变种与Wildlist样
本不完全相同。
2.特别说明:本测试对采用或部分参考AVP技术的产品相对有利。

发现:
1.KVW3000(国际版本)少数染毒文件存在同一文件重复报警问题,其对少数染毒
文件既报有某种特殊病毒,同时又报为TYPE_XXX(XXX为可疑文件类型),经我们手
工确认为重复报警。这一问题在后面测试中同样存在,我们对其重复报警的文件数
量用“()”进行标记。
2.KVW3000(国际版本)在打开一个我们理解为增强的扫描模式(智能扫描检查)
时,查毒数量反而减少。在对基础病毒库测试中,这一问题同样存在。

测试1.2 对分类的基准病毒库的检测
表3为分类的基准病毒库的检测结果(样本文件数10 320个)。
说明:
1.关于误差:本项测试感染COM文件样本和感染EXE文件样本存在种类上的重复统计
问题,但对各个软件来讲,这一误差应当是公平的。
2.关于数据:百分比的计算,是根据反病毒软件在最彻底(敏感)的扫描方式下的
查毒数量计算的(一般来说,这个数量应该是上限)。
计算百分比,只统计确认的病毒数,未统计判定为可疑的数量。由于工作量的问题
,部分软件检测数量中只注明了确认数量未注明可疑数量。
3.特别说明:本测试对采用或部分参考AVP技术的产品相对有利。任何反病毒测试
都因样本选取的问题,难以保证绝对客观。
发现:
1.NAV在检测一种NE的多态病毒时停止响应。
2.FSAV在检测一种PE加密病毒时停止响应。
3.KILL2000在选择检测内存选项时,容易误报内存有毒,出现非法退出。
4.KVW3000国际版本查毒轨迹功能不够完善,log文件达到一定长度时,超出部分从
后面截断,导致log文件后面残缺。

测试1.3 对远程控制工具的检测
表4为远程控制工具和其他后门工具检测结果。
发现:
1.MCAFEE对病毒和后门工具采用一个不同的图标,病毒为虫子,而后门工具为马头
。这个微小的处理对用户来说是形象的。
2.KILL在快速扫描模式下,可检测后门工具数量过少。
测试阶段总结:表2、表3、表4主要反映反病毒产品的病毒检测能力。

测试1.4(扩展测试) 对引导型病毒二进制映像和Dropper的引导型病毒的测试
表5为对引导型病毒二进制映像和Dropper的引导型病毒的测试结果
说明:
1.关于测试:不把这项列入对基础病毒库的检测,是因为有部分产品不支持对以文
件方式存放的引导型病毒的检测。反病毒产品支持对以文件映像形式存放的引导型
病毒的检测,主要是出于测试和统计的需要,与其对抗引导型病毒的能力没有必然
关系。
2.关于数据:对于不支持这种检测的反病毒产品,测试数据不能反映其检测引导型
病毒的能力。
发现:
KVW3000(国际版)在检测到引导型病毒文件映像时会提示“引导型病毒文件”。

测试1.5(特别测试) 对病毒生产机制造的
样本的测试
表6为病毒生产机所制造样本的检测结果。
 病毒生产机是造毒者对抗反病毒产品的手段之一,由于其能够采用接近傻瓜的方
式来制造新病毒,能否完整、准确地检测每种生产机生成的不同特征样本,能够在
一定程度上表现反病毒产品的水准。本项测试中的病毒生产机样本全部来自网络,
验证工作可能有一定误差。同时,同一种病毒生产机制造的病毒,是不应该在反病
毒数量中重复计数的,因此,我们单独做了此项测试。
说明:
 关于测试:由于PS/G2病毒生产机是同源不同版本,其部分样本难以区分,因此
,在未确认感染性样本中将两者的样本作为一类。
发现:
我们发现多数反病毒产品对病毒生产机生成的样本都有很高的检测率,但有不少产
品将部分病毒生产机产生的样本报为其他病毒,对此未做进一步统计。

测试1.6 对两种特殊样本的检测
表7为对两种特殊样本的检测结果。
说明:
关于测试:测试样本库依照AVP划分出了Binimage和Intended两类,事实上,多数
反病毒产品并不单独识别和处理。
 本节测试工作存在着一定不足。确认反病毒产品能否查一个病毒,事实上是一个
有很多细节的过程。这个过程从专业的角度来看,不是仅仅收集到一个样本检测一
下,而要考虑到许多因素,才能完全认可一个反病毒产品能够检测到某病毒。如:

1.对感染可执行文件和引导区的混合性病毒,必须验证产品对其在各种寄生宿主中
的形态都有检测能力。
2.对多种MS Office文档都有感染能力的宏病毒,必须验证对其感染的不同类型文
件都有感染能力。
3.充分考虑到文件的大小可能对病毒感染和寄生产生不同的影响,特别是早期的
DOS环境病毒,对此往往要针对文件大小的几个界点,要制作多个样本。
4.能否完整检测到变形病毒的全部变形。当然,如果去尝试能否检测到变形病毒所
有变形,其工作量将是不收敛的,但至少应当是基于一定样本数量的统计结果。
因此,我们所进行的这一部分测试,可以说具有质的说明力,但在量的准确性方面
还会有一些误差,这是我们水平、精力和条件的限制所决定的。当然,这一因素也
必然在一定程度上影响到其他测试的结果。

第二部分 扩展的检测能力测试
 说明:扩展的检测能力是指当染毒文件经过一些用户可能会遇到的变换时,反病
毒产品仍有对其发现的能力。这些变换包括打包压缩、加壳、捆绑等等。
测试准备:由于我们测试的目的是检测反病毒产品对一些文件变换形式的识别情况
,我们选取了参测软件都能识别的5种样本的对应格式。这5个样本为感染COM/MZ的
DOS病毒一种、DOS下变形病毒一种、宏病毒一种、PE病毒一种和远程控制工具
SERVER端一种。
表8为5种选取样本情况表。

2.1 检测压缩包测试:
 准备知识: PC用户几乎每天都要和包裹文件打交道,压缩工具几乎是每个用户
机器必备的软件。采用包裹技术可以节省用户的存储空间,用压缩包的形式提供下
载也可以节约用户流量。因此,对压缩包的检测能力是反病毒产品能力的重要标志
。对包裹文件直接进行特征检测是没有意义的,而且很容易造成误报,只有识别包
裹文件的格式并解开才能判别压缩包中是否有病毒。

测试方法:对包含5种样本的对应压缩包格式文件进行扫描。

 提醒用户:必须指出,一个软件很难支持所有的压缩格式,同时,不同压缩格式
的重要性显然不同,越是PC常用的格式,包含病毒的可能性也就越大。当前,ZIP
格式显然是最常用的压缩格式,一个FOR 9X反病毒产品如果不支持苹果格式SIT应
当无可厚非,但如果不支持ZIP、ARJ这样的常见格式,其能力就大打折扣了。
当前,常见的压缩包格式包括ZIP、ARJ、RAR、CAB。
测试2.1.1 对压缩包格式统计
表9为对压缩包格式的测试结果。
说明:
1.关于测试:反病毒产品出于对用户方便的考虑,一般都提供由用户选择是否检测
压缩包的开关。本测试是在各产品打开这一开关时测试的。

 有少数产品设计时采用:如果压缩包中包含病毒只报包中第一个病毒的处理。这
并不是说,该软件只能查到一种病毒。对此类软件,我们采用了辅助方式判定其检
测是否完整。

2.关于数据:有部分软件确实存在对某种格式的包文件报有某个病毒。这可能有几
种原因:第一,可能是该软件处理这种包的算法或模块有问题;第二,可能是该软
件并不识别这种压缩包,而是在该格式压缩过程中,有部分二进制编码并没有改变
,而该反病毒产品选取的病毒特征代码正好取在这一部分。

测试2.1.2(特别测试) 对特殊压缩包样本的测试
表10为对特殊压缩包样本的测试结果。

 测试说明:本项测试针对自解压文件设立。考虑到自解压文件同样是一种可执行
文件,它也可能被病毒感染,如果反病毒产品检测机制不够完善,可能会出现问题
。我们测试了2个自解压文件,其本身感染了win95.CIH病毒,但压缩包中没有病毒
。它们分别是:zip自解压文件和Installsheild生成的自解压包文件。在扫描中分
别选择检测压缩包和不检测压缩包,各扫描一次。

 测试结果:我们在以前的一次测试中发现,McAfee VirusScan V4.02版本在扫描
中如果选中扫描压缩文件选项时,不能发现上面两个样本感染的病毒;在本次测试
中,在McAfee 5.15扫描界面中检测已经无此问题,但在右键查毒中仍然存在这一
问题。FSAV也没有通过此项测试。

2.2 编码格式测试
测试说明:普通用户对于类似Mime、Uuencode这样的名词难免觉得陌生,但多数情
况下我们的E-mail文件正是以这些格式存储的。杀毒软件对邮件系统的静态扫描,
要基于对这些格式能正确解码的基础上。
测试方法:对包含5种样本的对应编码格式文件进行扫描。
特别提示:反病毒产品能否识别这些编码文件,决定了反病毒产品能否对E-mail进
行静态病毒扫描。
表11为编码格式识别结果明细表。
发现:
1.瑞星不支持单独的编码文件检测,但可以对邮件系统进行检测,至少支持MIME格
式的邮件系统。
2.KILL2000对于编码格式的文件只能按照后缀名来识别,如果需要KILL检测相应文
件,需要改名为UUE或MIM,这是不太方便的。

测试2.3 可执行程序变换压缩/加壳
准备知识:可执行程序变换、压缩、加壳等处理对于一般用户来说是陌生的,用户
很难知道使用的应用程序经过哪些加工。所谓变换,就是改变可执行程序的类型,
如常见的COM2EXE,就是把COM程序转化为EXE(MZ)格式,当然不能影响程序正常
的运行。所谓可执行程序压缩与包裹文件不同:可执行程序压缩工具把解压代码与
压缩后的可执行程序放在一起,解压段先加载解压程序;而包裹文件则一般要另外
靠工具来解压。可执行程序压缩工具对程序运行没有影响,而包裹文件压缩的可执
行程序要先从包裹中解开才能运行。压缩、加壳对开发者来说却是常用的,对程序
进行压缩处理可以降低程序占用的硬盘空间,可以增加破解者对程序解密和逆向工
作的难度。这当然也给病毒和木马的设计者带来了方便,对于那种不能识别多种可
执行程序处理工具的反病毒产品,一个采用新的压缩处理程序“加工”过的其可检
测的木马程序,就可能意味着它无法检测。加壳技术也曾被用于病毒防御中,一度
很流行的反病毒产品CPAV就是采用给可执行程序加壳,来完成作为病毒免疫的。
测试方法:对上项测试的病毒样本,除宏病毒外的其余4种病毒对应的压缩/加壳格
式样本进行扫描。
特别提示:与包裹压缩的检测原理不同,优秀的反病毒产品对一种未知的加壳程序
处理过的染毒文件也可能识别或怀疑其感染了病毒,这依赖于反病毒产品的虚拟机
的所谓内存还原处理的过程。因此,此项测试能在一定程度上反映反病毒产品虚拟
机的水准。
表12为可执行程序变换压缩/加壳测试结果。
说明:
1.关于结果:“?”表示报该文件怀疑有病毒。
2.关于测试:与包裹文件格式一般与压缩版本无关不同,可执行程序压缩工具不同
版本压缩出来的程序,需要相应的处理方法也往往有所不同。

2.4 可执行程序捆绑
准备知识:攻击者在诱导用户运行后门工具的SERVER端时,经常要对有害程序进行
伪装,最主要的伪装工具就是EXE捆绑工具。后门工具SERVER端捆绑到其他可执行
文件后,用户误以为收到并执行的是正常可执行程序,而不知道后门工具已经悄悄
运行。
由于时间限制,这个测试没有进行。

2.5 特别测试
多重压缩测试:压缩包中也可能包含有压缩包或者多重压缩包,反病毒软件是否能
够完整扫描多重压缩包中的病毒,同样反映了反病毒软件对于压缩格式的扫描能力

我们针对上述5种病毒的10重ZIP压缩包进行了测试。
混合多重压缩测试:我们针对上述5种病毒的ZIP、RAR两种格式的5重混合压缩包进
行了测试。
带密码压缩文件测试:很多压缩文件提供了为压缩包加密的功能,便于对用户文件
保密。如果加密的压缩包中包含病毒,一般受加密机理决定,反病毒产品不可能查
找出其中的病毒。但如果反病毒产品不对此进行提示,就可能给用户带来误导。我
们针对上述5种病毒的带密码ZIP压缩包进行了测试。
表13为扩展检测的特别测试结果。
说明:
1.关于结果:数字表示解开的重数。
2.关于误差:在制作混合样本时忽略了一个问题,就是如果反病毒产品本身不支持
RAR格式的识别。不过,除了ZIP也确实没有一种其他格式被所有反病毒产品识别,
包括ARJ这样的DOS时代占统治地位的格式。
发现:
1.KVW3000(国内版)检测有密码的ZIP压缩包时,支持输入密码解包。这个功能是
其独有的特色。
2.AVP是唯一一个提示带密码压缩包有密码保护的产品。

2.6 扫描时间测试
由于时间有限,这个测试没有进行。
需要指出的是,对于反病毒数量基本相当的产品,可以简单地对比同样系统环境、
同样目标的扫描时间;但对于病毒检测总数相差非常大的产品,在查毒速度方面比
较难以对比。由于涉及到机理问题,其加权计算方式将非常复杂。
第三部分 杀毒测试
准备知识:对病毒的检测、自身防御能力和对病毒的清除能力,都是反病毒产品的
基本功能。
测试方法:由于时间限制,仅仅对流行病毒库进行了测试。
软件设置:反病毒产品可以设置对病毒的处理操作。可定义的操作一般包括:只显
示、询问处理方法、自动杀毒、直接删除等等。我们进行这项测试时,一律定义为
直接杀毒。
特别提示:流行病毒样本中包含的部分样本是无法清除的,例如蠕虫病毒,其文件
本身即是病毒体,只能采用删除的办法。本测试中的“清除”是指针对有载体的病
毒样本,将病毒体从载体中完整去除的处理行为。

测试3.1 针对流行样本的杀毒测试
发现:
1.McAfee在杀毒设置中没有类似“对不能清除的病毒做何种处理的选项”,当出现
不能清除的病毒时只能报告CLEAR ERROR。
2.金山毒霸对于特洛伊木马\蠕虫等类型样本,采用直接删除的处理方式。
3.北信源在杀毒设置中没有类似“对不能清除的病毒做何种处理的选项”,当出现
不能清除的病毒时自动删除。
4.KVW3000(国内版本)对只读驱动器会提示KILLED OK。
5.AV98在杀毒过程中,会出现因非法操作退出问题。

 由于时间问题,本项测试的统计结果来自反病毒产品的自己统计数据,这种方法
本身是不够科学的。首先,它是建立在反病毒产品的提示信息准确的情况下,假定
一个产品对染毒文件清除操作时,无论返回何种参数都显示“成功清除”,那么统
计信息就必然有很大出入。即使反病毒产品确实对染毒文件作了处理,但也涉及到
一系列问题:

1.如果病毒感染过程是可逆的,杀毒操作能否完整还原文件到无毒的形态。严格来
说,反病毒产品的类似操作可以达到杀毒后与原有文件完全一致是最理想的,不会
出现类似对可执行文件杀毒后用户程序不能正常运行,杀除宏病毒破坏用户正常宏
,或者遗留病毒残体等情况。
2.假如感染过程是不可逆的(比如病毒是覆盖式感染的)或其他原因文件已经无法
恢复,如何给出用户的准确提示。
3.假如病毒本身加密硬盘数据,如3544病毒,反病毒产品能否在清除病毒的同时还
原数据。
4.假如病毒修改文件日期,如100年病毒,那么反病毒产品是否恢复文件的正确日
期。
5.假定病毒自身占据正常数据的位置,而将正常数据搬移到其他位置,反病毒产品
能否在解毒的同时,将正常数据搬移回来。
6.假如病毒有多种变形,反病毒产品能否完整地清除全部变形。
相关的情况还有很多,应该说,这些问题的处理都是评价反病毒产品对病毒处理水
准的参考。但这些可以测试却难以定量地做加权比较而量化,由此看来,反病毒测
试想要达到精确是非常不容易的。当然,今后我们再进行相关测试时,将尝试更为
科学的方法。

第四部分 误报统计
 准备知识:反病毒产品应该有很高的报警准确性,一方面要避免漏报带来的隐患
,另一方面也要避免误报给用户造成损失。所谓误报,可能有三种情况,一种是将
正常文件报为病毒,或将正常行为报为可疑行为;第二,就是将某种病毒误报为其
他病毒。前者会给用户带来不必要的恐慌,后者则可能导致软件对病毒不能作出正
确的处理;第三,就是将某种病毒体误报为多种病毒。

测试方法:受时间等因素限制,本测试没有进行。
提示用户:反病毒产品绝不是越敏感越好,而是判定得越准确越好。在ICSA等权威
测试中都有关于误报的规定。

 尽管本测试没有进行,还是有必要在此说明一下。过去我们采用构造类病毒体的
方法来测试误报率,但这种构造本身是建立在对某几种反病毒产品检测机理的分析
基础上,这样,事实上就难以保证测试的公平性。因此,本次没有采用这种方法,
今后也不再采用这种方法。另外,误报测试应该基于一个大的类病毒体文件基数。


第五部分 实时监控测试
 准备知识:DOS时代也有所谓的防毒工具,鼎盛一时的防毒卡是最典型的防毒产
品;软件形态的防毒程序也有一些,如MS DOS中提供过的VSAFE和国产的SUN DOG等
等。但大多数DOS用户并不会加载这些工具,因为作为驻留在单任务系统中的TSR程
序,带来的不稳定性也是显而易见的。WINDOWS环境下的情况已大为改观,一方面
,新的实时监控系统充分发挥了多任务系统的特色;另一方面,不再是简单的对类
病毒行为的截获和报警,而是能准确地判定病毒的名称。而且,可以根据定义终止
操作或直接解毒,或者提示用户处理。

 测试方法:在反病毒软件的实时监控功能打开的情况下,对病毒样本进行拷贝、
打开等操作,以检验其实时监控能力。

提示用户:不要轻易关闭你的实时监控程序。不感染病毒要比感染再杀好得多。
有两种产品未能通过测试。
1.KILL2000,从压缩包中执行带毒文件,监控器不能发现病毒。
2.北信源VRV,从压缩包中执行带毒文件,实时监控器报警为事后报警。
发现:
有部分产品已经不再简单地基于文件特性的监控,如MCAFEE、趋势、熊猫等可以针
对或部分针对POP3、FTP、页面下载、页面过滤等方面监控,而且可以单独定义;
国产的瑞星也可以进行E-mail监控。

第六部分 升级
注意:本部分不是测试,而是一个描述。
准备知识:新病毒是层出不穷的,特别是一些新兴的具有蠕虫特性的病毒具有相当
快的传播速度,反病毒产品的升级能力是非常重要的。
方法:主要根据软件界面设置进行描述。
提示用户:应该至少保持每周一次的升级频率。
表15:升级功能对照表。

软件特色:
1.瑞星可定时自动拨号上网,当完成下载时挂断连接。
2.金山毒霸可选择升级服务器。
3.AVP的软件升级功能非常强大,几乎支持所有的升级方式和选项。
第七部分 备份与恢复功能测试
注意:本部分不是测试,也是一个描述。
准备知识:反病毒产品不是数据恢复产品,其主要功能是对病毒的检测、防御和清
除。有经验的用户,他会把引导顺序设为C ONLY,他会选择先进的反病毒产品,不
会禁用实时监控程序;他会按时升级,这样他的系统因病毒而造成崩溃的可能性就
很低了。但反病毒产品同样有必要提供必要的备份和恢复功能。

测试方法:我们对反病毒产品提供的备份功能、应急盘的内容简单制表(表16)。

提示用户:在无毒时制作应急盘是一个非常好的习惯,标准引导区覆盖法对于
LILO、多系统引导工具等存在的系统会带来一些麻烦。很多反病毒产品包装中并不
包含引导盘,这并不是这些反病毒产品没有FOR DOS下的产品,或者不能提供引导
磁盘,而是从严格的法律规定上说,如果提供包含MS出品的系统文件,需要获得
MS的版权许可。擅自提供,MS可以从知识产权的角度追究提供者的法律责任。因此
,多数反病毒产品都是通过让用户自己生成应急盘的方式来解决这一问题,而在应
急盘中包含FOR DOS的反病毒产品。
说明:
1.*为程序中没有生成应急盘功能,但发售时带引导软盘。
2.VRV提供了一套数据恢复套件(网站上还提供了共享的简易恢复程序VRVFIX)。
3.AVP的急救盘采用的是AVP for Linux,以避免可能出现的急救盘系统被病毒感染
,特别是避免生成急救盘时,系统已经有病毒的情况。
4.NAV提供了最为出色的应急磁盘功能备份工具Norton Rescue,它不仅支持生成急
救软盘,也可用于ZIP盘进行更为完整的备份工作。
5.Norton Rescue提供了强大的定义能力,用户可以选择对MBR\BOOT\系统注册表\
进行备份。

第八部分 界面操作风格
注意:本部分不是测试,也是一个描述。
准备知识:权威的反病毒测试都以检测反病毒能力为主,而反病毒产品的界面和功
能加权指标都很低,或者不进行这方面测试。这一方面是由于多数反病毒产品的基
本功能实质都大体相同,而界面又往往各具特色,因此很难评比。
测试方法:我们根据经验,列举了杀毒软件必备的基本选项对比列表。
提示用户:这一部分很难作为参照系,往往还涉及到用户习惯等因素。

8.1 控制台和配置。
表17 控制台与配置
说明:本表格列举的项目并不完善,事实上,随着技术的发展,很多反病毒产品都
独自推出了强大的控制台程序。这些控制台从最原始的定时扫描等定制功能,演化
为对扫描任务、实时监控、升级任务等方面的全面调度控制。

8.2 静态扫描
表18 扫描定义选项
说明:
1.处理方法项中的字母含义:A-询问方法;B-备份;C-继续使用;D-删除;F-解毒
;M-移动;P-只提示;R-更名。
2.报告可定义项中的字母含义:M-刷新模式(替换或添加);C-内容;D-详细程度
;S-大小;T-刷新日期;N-文件名;F-格式。
3.对象定义中的内存和引导扇区,不是指该软件是否可以扫描内存或引导扇区,而
是有没有提供是否对此扫描的开关或是否可以单独扫描这些对象。
发现:
1.IPE对清除方式设置了高级定义,允许用户定义在杀毒时是否对注册表、INI文件
进行恢复,是否清除病毒进程,以及对木马、蠕虫等类型、破损染毒文件等是否直
接删除。
2.F-Secure的日志操作对用户非常体贴。
3.KVW3000(国际版)的右键查毒功能只能激活程序,但并不能把路径送入查毒任
务窗口;而KV3000(国内版)无此问题。
4.KVW3000(国际版)菜单上的清除病毒,调用的是查毒功能,并不进行清除操作
。杀毒操作只能从工具条操作。

8.3 实时监控
表19 监控定义
说明:
1.监控时机设置中的字母含义:O-打开文件;E-执行文件;C-关闭文件;R-更名;
D-列目录;N-建立文件;B-拷贝文件。
2.范围定义:F-软盘文件;H-硬盘文件;C-光盘;N-网络驱动器。
3.处理方法:U-禁止存取,其他同扫描定义表。
4.并不是说反病毒产品的实时监控定义性越全越好,相反,如果用户对某些设置带
来的后果不清楚,我们建议用户不要随意修改配置,特别是不要随意减小监控范围
、减少监控时机。
发现:
Panda如果从注册表中删除了实时监控,用户很难找到如何重新加载实时监控。

8.4 一些独特的功能特色
1.金山毒霸、趋势和安全之星在查、杀毒过程中,提供了暂停查毒功能,方便用户
使用。
2.Panda可以灵活地设置用密码保护哪些自身组件及声音导航,支持对notes数据库
的扫描。
3.NAV的调度程序不仅提供了对扫描和更新的调度,更提供了对其他程序的调度和
信息显示。
4.NAV和瑞星的隔离区功能比较全面。
5.F-Secure的日志功能做得非常好。
6.Panda、NAV提供了详细的排除设计。
7.Panda支持对LOTUS NOTES的扫描。
8.NAV提供了修复不成则隔离的功能,更提供了针对引导型、文件型和宏病毒不同
处理方法的自定义功能。
9.安全之星Secustar是一个反病毒与单机防火墙一体的产品,除了可以实现包过滤
外,还包括了一个小型的IDS(规则似乎取自Snort);VRV也OEM了一个类似的网络
安全工具。

第九部分 文档信息质量
注意:本部分不是测试,也是一个描述。

 准备知识:一个反病毒产品的文档质量是非常重要的,充分的连机帮助和病毒档
案是非常必要的。
测试方法:我们对各反病毒产品的文档情况和特色进行了整理(表20)。

 提示用户:我们并不是说反病毒产品操作越复杂越好,但无疑,当前很多反病毒
产品功能越来越强大,功能也不断丰富,用户也越来越难驾御。我们期待反病毒公
司在强大及注意产品的良好易用性的同时,也希望用户充分利用反病毒产品的说明
书、连机文档对反病毒产品的功能和操作进行了解,发挥出产品的能力。同时,也
通过相关文档和产品网站了解一点有关病毒的知识,这样才能更好地保护自己的数
据和系统。

 结语:如果您对测试有什么建议、意见,欢迎来信指正。E-mail:
avbox@china.com。本测试报告的电子版本将在病毒观察www.virusview.com等反病
毒站点发布。

--
?       〃q │ ╮ ?        瘛      ?
        ╰╖║╓╯  ?     ?<▼╤≡>…   ≡╤■>
         ║║║ ?    ?     />  ?     ?<\
         │║│
          │
                     Welcome to the Quake III Arena!

※ 修改:·Mic 於 Apr 18 08:46:22 修改本文·[FROM: 192.168.28.108]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店