供稿种子AV-Comparatives,polymorphic virus,多态与变形
那天急于将整个报告的主要部分发出来,没有将这部分的内容仔细说一下,今天补上。
主要翻译自这次报告的第七部分Detection rates against some high polymorphic viruses
这个测试采用了8个高级多态病毒(一些很容易被检出或所有产品均能100%检出的多态病毒不再包括在这个测试中)的几千个复本:W32/Bakaver.A,W32/Etap.D,W32/Insane.A,W32/Stepan.E,W32/Tuareg.H,W32/Zelly.A,W32/Zmist.B和W32/Zmist.D。杀软厂商均了解这几个复合病毒且其中很多已经在过去上报过好几次。但…它们是多态病毒,并不是仅仅能够查杀上报的那个样本就能保证能100%查杀它的各种变种版本…这个测试评估了各产品对检测多态病毒的检出率-它反映了检测那些高级/复杂/很难被查杀的有害程序的能力。对某个多态病毒查杀成绩低于100%的可以认为是失败的或是并不可靠的检出率,因为即使只有一个复本没有检出,就有可能导致再次感染。
检测的结果很有趣,因为它们显示出一个反病毒产品的引擎的灵活性如何和对复合病毒的检出水平是怎样的。有些反病毒产品的成绩低下并不是因为它们并没有在意这种病毒的存在,而是因为用他们的引擎/技术要想检测出这样的病毒,厂商可能需要重写他们的引擎,或是对引擎作出这样的修改后会明显减慢扫描速度。由于这些原因,它们可能并不会检出这样的病毒。那些对这种复合病毒达到100%的可靠检出率的杀软产品则显示了更高的检出水平和引擎灵活性,因为它们在做到保护用户免受此类病毒攻击的同时并没有带来太多的问题。
在查看一个产品的扫描速度时候,你应该在心里提醒自己还有这么个测试-一个反病毒产品可以提供非常高的扫描速度,但是却不会提供给你一个可靠的对抗复合病毒的保护。比较好的产品应该既能保证高速扫描的同时还能有可靠的对复合病毒的检出水平。
在以后AV-Comparatives可能会将这个多态病毒测试更换为其他类型的测试,比如对Rootkit的检出/清除测试。
所以,其实有关于检出率和速度,有关于变形/多态病毒,现在很多厂商都不再关注了,为什么呢?因为现在连病毒作者们都更加现实的聚焦到能够给自己带来收入的恶意软件中,而不再是简单的炫耀技术…结果大家都是简单的机械性的添加特征码…这对于一般情况当然是完全可以的,但是一旦出现一个复杂一些的病毒,就原形毕露了…呵呵…
啥是多态病毒?多形态的能够自己改变部分程序代码躲避杀软检测的神奇的东西…
本人严正声明:Wordpress分类与COMODO分类文章均为原创,在全世界只有一个作者。本人是该分类文章的唯一合法代表。自古以来本人一直对该分类文章行使着主权。该分类文章的标题出处是文章正文不可分割的一部分,任何企图转载此分类文章不留出处,或恶意采集修改该分类文章的行为,都必将遭到包括中国人民在内的全世界人民的反对!各族人民反对文章标题出处与正文分裂、维护原文统一、维护原文稳定的决心是坚定不移的,任何破坏原文完整性、恶意采集转载的图谋都是不得人心的,是注定要失败的。
如需转载请按照 署名-非商业性使用-禁止演绎方式,并请注明: 转载自作甚@ZUOSHEN.COM
| 
最新评论