Mar 17 2008

AV-Comparatives,polymorphic virus,多态与变形

Published by Donald at 5:58 pm under 最新测试

那天急于将整个报告的主要部分发出来,没有将这部分的内容仔细说一下,今天补上。

主要翻译自这次报告的第七部分Detection rates against some high polymorphic viruses

这个测试采用了8个高级多态病毒(一些很容易被检出或所有产品均能100%检出的多态病毒不再包括在这个测试中)的几千个复本:W32/Bakaver.A,W32/Etap.D,W32/Insane.A,W32/Stepan.E,W32/Tuareg.H,W32/Zelly.A,W32/Zmist.B和W32/Zmist.D。杀软厂商均了解这几个复合病毒且其中很多已经在过去上报过好几次。但…它们是多态病毒,并不是仅仅能够查杀上报的那个样本就能保证能100%查杀它的各种变种版本…这个测试评估了各产品对检测多态病毒的检出率-它反映了检测那些高级/复杂/很难被查杀的有害程序的能力。对某个多态病毒查杀成绩低于100%的可以认为是失败的或是并不可靠的检出率,因为即使只有一个复本没有检出,就有可能导致再次感染。

检测的结果很有趣,因为它们显示出一个反病毒产品的引擎的灵活性如何和对复合病毒的检出水平是怎样的。有些反病毒产品的成绩低下并不是因为它们并没有在意这种病毒的存在,而是因为用他们的引擎/技术要想检测出这样的病毒,厂商可能需要重写他们的引擎,或是对引擎作出这样的修改后会明显减慢扫描速度。由于这些原因,它们可能并不会检出这样的病毒。那些对这种复合病毒达到100%的可靠检出率的杀软产品则显示了更高的检出水平和引擎灵活性,因为它们在做到保护用户免受此类病毒攻击的同时并没有带来太多的问题。

在查看一个产品的扫描速度时候,你应该在心里提醒自己还有这么个测试-一个反病毒产品可以提供非常高的扫描速度,但是却不会提供给你一个可靠的对抗复合病毒的保护。比较好的产品应该既能保证高速扫描的同时还能有可靠的对复合病毒的检出水平。

在以后AV-Comparatives可能会将这个多态病毒测试更换为其他类型的测试,比如对Rootkit的检出/清除测试。

所以,其实有关于检出率和速度,有关于变形/多态病毒,现在很多厂商都不再关注了,为什么呢?因为现在连病毒作者们都更加现实的聚焦到能够给自己带来收入的恶意软件中,而不再是简单的炫耀技术…结果大家都是简单的机械性的添加特征码…这对于一般情况当然是完全可以的,但是一旦出现一个复杂一些的病毒,就原形毕露了…呵呵…

啥是多态病毒?多形态的能够自己改变部分程序代码躲避杀软检测的神奇的东西…

Creative Commons License
The AV-Comparatives,polymorphic virus,多态与变形 by Donald, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 China Mainland License.

相关文章

Leave a Reply