杀毒能力应该怎么测？

竹木刀

目前有部分爱好者为了测试防病毒软件的病毒检测能力，会从网络上下载一些病毒包，然后分别安装不同的杀毒软件对其进行扫描测试。然后根据杀毒软件发现的病毒数目来判断哪一款杀毒软件的杀毒能力最强。这种方法看似直接公正，事实上却完全是不科学的做法。
/ @* m8 R. ~4 D, z, D
8 b- p; e+ i7 J

为什么不科学呢，且听笔者一一道来；
: A, z9 l3 s  k7 U8 O4 p
- a. c9 D( [$ Z- @1.样本的有效性确认，从网络上下载的病毒包，非专业人员是无法一一测试病毒的有效性的。在这些包中，往往充斥着大量的垃圾文件，失去活性的病毒文件（因多次加壳导致文件本身损坏等），病毒尸体（病毒的衍生物，往往不具备任何破坏及传染性），非病毒文件。拿这样的样本进行测试，往往是误报率较高的软件如“小红伞”的病毒侦测率最高。
- e4 m( ~: E" }6 z8 Y# \: I; K
% R0 S; r1 H! i' F& b2.样本的数量以及品种太少，达不到统计的价值。从瑞星公布的数据来看，去年一年捕获的病毒，木马数量超过了30万，这是一个非常庞大的数字。相比来看，一般网友从各个论坛上收集的一些样本报数量少得可怜，从几十个到几百个不等。样本太少很容易会有以偏概全的嫌疑，不能客观的反应真实的网络安全状况，更不能用来衡量一个杀毒软件的病毒侦测能力强弱。
. I& w  z' J$ l) e
" j9 B* u' h9 }" r) j3.样本的时效性问题。我们知道，病毒爆发都是有其周期性的，比如去年到今天相继爆发了威金，熊猫烧香，灰鸽子，机器狗，磁碟机等。每一次大的病毒爆发，都会有数十万至百万电脑受到感染。同时在这些病毒爆发后，用户和防病毒厂商往往会采取各种措施来加强查杀和防疫，因此感染数量也会迅速的下降，直至绝迹。那么哪些样本才能真实的反应当前的网络安全状况呢？一定时正在爆发期的病毒。因为他们是最有可能感染用户的机器的。而网上收集的样本往往是没有办法保障这一点的，很多样本甚至是 DOS 时代的病毒。

4.这可能是最滑稽的一点，各个杀毒软件对病毒的统计方式是不一样的.这里我们来举一个实际的例子。在这里我们扫描了 U盘病毒。注意，是 一个U盘病毒。先看看 ESETNOD32的表现：打开ESETNOD32的手动扫描，在“设定”中要将“列出所有文件”一项打钩，不然是看不到NOD32的具体分析过程的！



5 j! g- ?; G3 u2 p/ V: Q% \
6 |& e# h% M* g$ Q, K  o/ F* G现在看看扫描结果。注意图中箭头1的标示，看清楚了这里只扫描了D盘的“adware.exe8”一个文件。但是扫描结果是已扫描文件数目：8 ，发现病毒数目 2 。

% b; X7 b8 _6 J. l& F* r从详细日志可以看出 ESET NOD32是深入扫描了病毒样本中嵌套的8个文件的，其中两个被判为病毒。注意图中红色字样及箭头2标示的最后结果。（图中蓝色框的是正常文件）。



我们来看看 卡巴斯基 的情况，卡巴扫描的结果如下，但是没有提供详细的扫描记录.从扫描结果来看，卡巴斯基扫描文件数：8 ，发现病毒数：1 。
3 p% V/ k8 `# m; [' K/ M+ _% U9 k% D
' Q6 J7 ]$ X* n7 k

) W- B7 \& g) X6 M' |                    

那么，面对这样的一个统计结果，应该怎么算呢？究竟应该是多少个病毒，发现了多少个？这还是一个样本的情况，一堆样本扫描的结果有如何呢？恐怕差别更加大了。
5 J" z# _5 k" p0 O( V- `
说道这里，应该可以看到从网站上下载一些病毒包进行检测是多么的不合理了。那么普通用户怎么去评价一个杀毒软件的强弱呢？还是只能看权威的检测机构了，比如AV-comparative,VirusBulletin.这些机构和广大的病毒厂商，病毒研究机构有着良好的合作，能够大量收集世界范围内活跃的病毒，并进行仔细的分析。保证参测的样本是非常广泛和活跃的，从而模拟真实的网络安全状况。这两个测试机构在测试之后会公布具体的测试细节，比如测试平台，脚本病毒 ，蠕虫，木马，PE病毒，宏病毒等各有多少个，杀毒软件分别的查杀率，总成绩如何等，有兴趣的朋友可以去多了解一下。