扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共5页)
二、交代规矩:我们这样测试
如何考量一款软件在木马查杀方面的优劣呢?可参考的标准非常多:查杀效果、扫描速度、资源占用率、查杀机制、误报率、木马库升级频率及容量等等。下面介绍一下我们的测试方法:
第一步:通过Ghost安装一个完全“干净”的系统,安装木马查杀软件,并将其升级到最新的病毒库。
第二步:将我们的木马测试包解压缩到某个目录,利用木马查杀软件对该目录进行扫描,记录其扫描时间、扫描过程中的内存及CPU占用率、查杀结果。
小提示:
在扫描过程中,我们打开了两个Word文档、1个QQ以及1个MSNMessenger程序,之所以开启这些程序,是为了模拟大家真实使用电脑时的状况——很少有人会关闭所有其他程序,专门进行木马扫描查杀。
第三步:由于各个杀毒软件之间会产生一些兼容性问题,为了保证测试的最大限度公平,我们在测试完一款软件之后,都会重新Ghost一个“干净”系统,再进行下一款软件的测试。
第四步:在所有软件测试完毕后,统一汇总,并进行点评,给出我们的选择意见。
注意:我们如何保证测试公正性?
如果把这场测试比作一次“考试”,那么木马测试包就相当于“考卷”,“考卷”的公正性非常重要,将直接影响测试结果,我们如何保证它的公正呢?
其一,测试包庞大。这个测试包一共包含975个木马样本,足足有197MB,量越大,则公平性相对就越高。
其二,测试包中的木马样本都是当前最流行的木马病毒,并非使用一些“过期”的老测试包,这可以模拟出现在网民的普遍遭遇,测试结果更有实用价值。
其三,测试包中的木马样本涵盖了QQ、网页、网络游戏等应用类的木马,范围比较广。
三、初试:查杀机制和木马库,谁更牛?
所谓查杀机制,就是查杀木马的流程和方法,这一点决定了查杀的效率和效果,非常重要。实际上,不管是杀毒软件还是专业的木马查杀工具,大家都采用的是基于特征码的查杀方法。所以,总体上以上六款软件的查杀机制都是类似的。
当然,差异还是有的。比如对特征码匹配判断的尺度上,有些软件相对放得比较宽,这样可以保证尽可能多的查杀结果,有些软件就要求非常严格,不容易造成误判,但也可能漏掉木马。
此外,360安全卫士针对木马采用了免疫、查杀、防御三层的“主动防御”查杀理念,这一提法更加系统,对木马采用三层防护:其中第一层为免疫,通过监控注册表和系统文件防止木马入侵,如果入侵,则祭出360安全卫士特有的“破冰技术”。即便前两层都被突破,还将最有目的性的账号部分进行保护。
小知识:“脱壳”和木马查杀
木马之所以难杀,是因为它的外面可以很轻松加上一个“壳”,凭借特征库进行扫描时,一旦“壳”换了,就无法查杀了。所以杀毒软件的引擎中一般加了一个“动态脱壳”的功能,比如瑞星的虚拟机脱壳引擎(VUE)。不过即便这样,也很难做到完美,所以也有部分木马查杀工具把加壳后的特征也放进特征库,虽然办法“笨”了一点,但不失一种解决方案。
而从木马库的容量上来看,我们也无法获得真实确切的数据,只能通过官方公布的结果一窥究竟。
软件名称 |
|
金山毒霸2007 |
江民杀毒KV2007 |
Symantec AntiVirus |
360安全卫士 |
木马清道夫 |
木马库 |
数万种 |
数十万 |
不详 |
不详 |
10万 |
5万左右 |
点评:在各个软件查杀技术都差不多的情况下,实际上大家比拼的还是木马样本数量,但由于这个涉及商业机密,我们也无法得到确切的数据。关于这一点的测试,恐怕只能在查杀效果中来衡量了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。