“流行病毒”库测试
“流行病毒”库测试:流行病毒库主要反映软件对目前正在流行的病毒的查毒能力。在该项目中,我们看到国内的传统杀毒软件厂商江民KV2005,取得了该项测试的第一名,以查毒引擎而闻名的卡巴斯基位列第二。另一方面金山毒霸在执行效率上取得第一名,安博士紧随其后。
产品查毒测试
首先在此说明一下:查毒记录的标准类别的含义是软件在标准模式下的查毒情况,启发的含义是软件在启发状态下(也就是最高查毒状态)的查毒能力。由于江民、瑞星、趋势科技和卡巴斯基的产品默认就使用启发式查毒检测,所以这些软件在测试时,我们直接把软件的其他设置都设置为最高等级,测得的结果就直接放入启发式查毒的记录中。
熊猫2005钛金版不支持查毒模式,也就是说发现病毒必须处理。所以熊猫没有参加查毒测试。
记录的病毒数均为软件报告的病毒数,由于在很多文件中包含不止一个病毒,所以查毒部分的数据仅表示软件查出了多少个病毒体,而并不等于软件查出了多少染毒文件。
2004”样本测试:2004样本测试是我们根据去年曾经在世界范围内流行过的病毒列表整理出来的病毒样本库,该样本库是对软件查毒能力的一个补充测试。在测试结果中,我们可以看出,卡巴斯基的查毒引擎的确有其独到之处,其以压倒性优势取得该项目查毒数的胜利。而国际厂商诺顿2005以1392个病毒体的成绩紧随其后。其他厂商水平相当,差距不明显。
来自韩国的安博士可能由于进入中国市场较晚,其查毒数量有些异常,希望安博士能够早日摆脱“水土不服”。同时,在记录中大家可以发现,金山在取得不错成绩的情况下,其查毒速度惊人,由于所有时间均为测试人员用秒表测得的,结合前面的测试我们可以看出金山毒霸的执行效率的确是相当优秀。
“变形病毒”测试
“变形病毒”测试:变形病毒测试,是通过病毒源体变形出的1000个病毒变体来考查软件对变形病毒的支持程度,如果完全查出了1000个变体的话,那么软件就通过测试。在测试结果中我们看到软件对变形病毒的支持程度非常好。但是金山和安博士由于无法识别病毒母体,也根本不可能识别出病毒的变体,所以这两个软件没有参加该项目的测试。
压缩格式测试
压缩格式测试:压缩格式测试是为了体现软件对不同格式的支持程度而设置的。在此我们选择了比较常见的ZIP和RAR文件(RAR文件采用WinRAR 3.4压缩)。在常见的ZIP和RAR格式测试中,除了趋势科技以外,其他软件均完美的支持ZIP格式。而对于RAR文件,江民KV2005不幸出现了压缩率下降的情况,因为我们的RAR文件是使用新版的WinRAR压缩的,所以可能江民KV2005对这种新内核的RAR文件支持得还不太好。因为在以前的测试中,江民KV2005是可以完美支持WinRAR3.0压缩的RAR文件的。安博士在对压缩包扫描时比压缩前多报告了一个病毒体,经检验是安博士把压缩包本身也当作一个文件进行处理了,这种情况在正常接受范围之内。
但是,在RAR文件测试中还发现熊猫有个奇怪的问题,未压缩前熊猫可以识别1371个病毒体,而压缩成RAR文件以后,熊猫识别了1376个病毒体,显然这跟安博士的多报还不同,至于出现这种情况是什么原因,我们也很费解。
嵌套/混合压缩 嵌套/混合压缩:嵌套压缩是测试杀毒软件对压缩格式支持的深度,测试采用全部软件都能很好支持的ZIP压缩格式来进行。混合压缩则测试压缩包对混合压缩形态文件的支持性(先把病毒压成ZIP包,然后再把这个ZIP包用WinRAR压缩)。在整个测试中,瑞星、金山、卡巴斯基和熊猫顺利地通过了全部测试。
江民在对高达20层的ZIP包进行扫描时出现了扫描率下降的问题。趋势科技PC-cillin2005内置了对压缩程序的缺省值(3层),虽然其技术文档表明支持20层以上的压缩层数,但是界面上未提供修改项,因此在本次测试中大于3层的压缩文件未能显示足够的处理能力。安博士的数据可能大家觉得奇怪,但是前面我们刚刚分析过,安博士应该是把每个染毒的压缩包都算做一个染毒文件来对待,那么表格中体现的数据正好是压缩包的层数与未压缩前识别数的总和。所以安博士对嵌套压缩的支持还是很优秀的,只是对于混合压缩支持得不好。诺顿在十层压缩包时出现了识别率下降的情况,而到20层的时候,已经无法识别了。
加壳格式测试
加壳格式测试:加壳是通过一系列的数学运算,将可执行程序或动态连接文件的编码进行改变,以达到缩小程序体积或加密程序编码的目的。这本是很好的软件技术,但是往往都被利用在不好的方面,不过读者也不必过分担心,因为不是每个程序都可以加壳的,相当一部分病毒加壳后就无法发作了,这和编写病毒的语言以及病毒的发作机理都有关系。我们选用了四种比较流行的加壳格式进行测试,江民、趋势科技、卡巴斯基、和熊猫都能够完全支持全部加壳格式这里有必要特别指出的是,趋势科技PC-cillin2005较前一版本有了长足的进步,因为趋势科技PC-cillin2004支持的加壳种类不是很丰富,而在2005版中,大家可以看到趋势科技在过去自己弱项上的努力,瑞星、金山、安博士和诺顿在Petite方面表现不佳,而金山和安博士在WWPack32的测试中仍然不够理想。
虚警测试
虚警测试:该测试主要测试软件的误报情况。需要说明的是,由于我们在此所选用的测试样本本身并不是病毒而是我们收集或制作的一些近似于病毒的文件,而且仅靠这几个样本是无法全面模拟用户在实际使用中的情况的,所以,这个测试结果仅供参考。在此测试中所有软件都顺利通过了我们准备的可疑文件的测试,没有发生误报情况。随后我们又通过改变EICAR病毒引擎测试文件的编码字符串的方式来进行测试。
在测试中仅有熊猫2005钛金版将改变后的EICAR文件仍然识别为EICAR病毒引擎测试文件,其他软件均顺利通过测试。不过在测试中发现一个关于金山毒霸的小问题,该软件在程序主界面下对包含EICAR文件的文件夹进行扫描时,就会识别出EICAR病毒引擎测试文件,但是如果我们在资源管理器中,通过右键菜单对EICAR文件进行单个文件扫描,则金山毒霸不会把EICAR文件报告为EICAR病毒引擎测试文件,而是报告未发现任何病毒。因为前提到过,我们所使用的EICAR文件本身并不是病毒,而且考虑到EICAR文件的特殊性,所以这种现象属于软件引擎上的设定,不属于质量问题。
