这篇文章主要讲述一些有关测试杀软的细节问题。
在各大论坛上我看到很多朋友开始对杀软做横向的评测,这是一个很好的趋势。我们不再盲目相信厂商的宣传,而努力探求真相,到底哪款最适合普通用户?
不过目前的评测,似乎都存在一些问题。在这里我是信口说之,大家权当是听个乐子,不必当真。我的话历来如同痴人说梦,难登大雅之堂。
首先说说误区:
1.用免杀样本测试杀软。这是很多朋友容易犯的错误。我想大家都知道杀软的原理了(注一)。既然如此,你用免杀的样本又有什么意义呢?可能有人说和微点相比,免杀无用。其实这种认识也是错误的。微点使用了行为判断技术,因此对微点的免杀就应该是基于行为的免杀,而不是基于特征码的免杀。(我的《主动防御天书》不知道被编辑安排到哪期了,- -)免杀作为一种针对性的技术,不适用于评测杀软。杀软在明,免杀者在暗,具有先天优势,所以没有讨论的意义。
2.测试杀软能力仅测试扫描。在测试之前,你必须要搞清楚一个问题,在你的防御体系中,杀软处在一个什么位置上?你要杀软是要做什么呢?一般来说,杀软属于事后防御,就像是激情过后的紧急避孕一样(注二)。我们不应该在样本区下几个样本一顿扫描。可能对于有些病毒,有的杀软能查出来,有的杀软不能查出来,这说明了什么?这说明不了杀毒引擎的能力!仅仅说明某个杀软的病毒库中含有这个病毒罢了。杀软厂商卖的是技术+服务,病毒库的大小不能说明全部问题。一个杀软更新快仅仅能说明它服务好,并不代表它技术强。说卡巴是优秀的杀软不仅仅是它升级频繁。
说了误区,再说说我对测试杀软的理解,杀软到底应该怎么测?
1.对于基于特征码扫描技术的杀软,046569给你如下建议:
a.样本应该是尽可能使用不同技术层次的病毒。
b.测试的方法应该是测试杀软对于一个染毒平台的处理能力。而不仅仅是扫描能力。
2.对于基于行为判断技术的安软,046569提供如下建议:
a.包含启发式扫描,甚至广义一点,连安全防护软件Hips都可以计算在内,测试的应该是软件的防护能力。比如防护体系是否完善?是否具有一定的清除病毒的能力?
b.由于主动防御类软件的特殊性(不仅仅是一般的杀软,更多的趋向于安软),允许使用任何样本进行测试。鼓励自己动手为主动防御类软件量身定做样本。
综上所述,杀软的测试是一个繁琐而又颇具技术含量的工作,所以评定一个杀软引擎的好坏还需慎重。
注一:如果你还有疑惑,可以看看我的《杀毒软件天书(入门篇)》
http://hi.baidu.com/046569/blog/item/a3940224559bfa2fd507426e.html
注二:请参考:《谁是微点的最佳搭档?》
http://hi.baidu.com/046569/blog/item/c3d3f3193eadd67edbb4bd59.html
046569写于2008年4月24日23:22:41 | 
IP卡
狗仔卡
发表于 2008-4-29 21:47:58
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡