病毒測試絕非收集些文件再掃描一下病毒那麼簡單。測試的方法必須嚴謹科學,才能保證得出準確的結果。本文意在指出測試中的重要標準及測試不同類型的病毒掃描器時所遵循的原則。由於目前公眾接觸到越來越多的測試而它們的結果卻並不准確。我們了解到這一情況對以下測試予以回應:
有關殺軟測試的一般說明,請看下面的介紹:
病毒樣本的收集
病毒測試所使用的病毒樣本應在業內能得到廣泛的認同。哪些病毒正在廣泛傳播? wildlist(https://www.wildlist.org)正是這一信息的主要來源。 Virus Bulletin (https://www.virusbtn.com) 及其他反病毒軟件測試機構都在使用這份病毒列表,將其作為了解現實環境中病毒的重要參考。然而我們卻總是不難發現一些根據“個人收集的病毒樣本”所開展的測試。這些測試會得到誤導性的結果,無法得到專業安全人士的認可。
誤報
人們應該清楚一點,殺毒軟件檢測到真正的病毒越多,這個軟件才越好。更重要的是這個軟件不要造成太多誤報。也就是說,不要將實際上正常的文件報為病毒。令人驚訝的是一些測試將某些殺軟報毒作為判斷文件是否感染的依據。責怪軟件誤報太少肯定是不公平的。在某些測試中,ESET NOD32 名次非常靠後。當您看到這些結果時,應該考慮到很可能是ESET NOD32 “沒能成功地進行誤報”。
病毒掃描器測試的一些基本原則
- 文件應具備其正常的擴展名, 且沒有被改動。
ESET NOD32 是一套非常複雜的掃描引擎, 為實際工作環境而層層優化, 並非為“學術” 測試而設計。也就是說只有在像實際應用中那樣使用,才能得到最好的效果– 在系統中掃描真實的能夠運行的病毒。掃描沒有正常擴展名的文件– 例如將文件myscreensaver.exe 改名為myscreensaver.ex$ – 這將導致不可預料的結果,通常是錯誤的結果。而.ex$ 擴展名在實際系統中是無法執行的, 所以ESET NOD32 可能, 合理地, 忽略其掃描或將其識別為低風險威脅。當然,如果有正確的擴展名, 真正的病毒自然會被識別為系統威脅。 - 文件應處於本地磁盤中。除非專門對網絡驅動器的掃描進行測試,病毒文件應位於本地磁盤中。若非如此,掃描速度與系統佔用的有關結果都會出現偏差。 ESET NOD32 的掃描速度飛快,系統佔用極小。通過網絡進行的測試由於掃描速度受到網絡連接的影響,得到的不是真實結果。
- 檢查軟件設置。一些測試在“默認”設置下進行, 而一些則在“最佳” 設置下完成。請聯繫Eset的技術隊伍,確定使用非默認設置的測試具體應在何種設置下進行。
- 病毒應該是真實的非修改的,可以通過複製進行驗證的。參見文檔後面的樣本選擇。
- 損壞的, 故意構造的, 或非病毒文件不應納入測試, 包括那些所謂的病毒模擬文件– 它們不是病毒也不應納入測試。 Eset為其產品對真實病毒的檢測能力而感到自豪, 不希望為了通過測試而識別一些不是病毒的“病毒”。
- 病毒應是真實環境中、已經存在的病毒不應受到修改。即使是出於測試目的, Eset 也不會參與新病毒的編寫或改寫病毒形成新的變種。對任何病毒的修改(假設這個方法可以復現)實際上都是在製造新病毒。因此,我們認為這些做法是不道德的、不專業的,我們不會參與任何使用了改制的病毒或使用有針對性編寫的新病毒的測試。
- 誤報測試中使用的文件應該是用戶系統中可能存在的正常文件而非特意創建的偽病毒。
- 統計數據的一致性樣本的選擇應該建立在合理的統計基礎上,測試中所使用樣本的數量非常重要。測試中使用兩三個樣本甚至10-15樣本在數據統計上都無法構成有有效的樣本集合。 Wildlist 頂級列表(最重要的列表)中包括250 – 270 個當前流行的不同病毒。測試用的樣本集合越小,測試中的統計學誤差就越嚴重。
- 實驗室病毒的測試應與實際病毒測試分開進行。實驗室病毒從未出現在Wildlist中。因此,其出現在普通用戶系統中的可能性也是非常渺茫。這就意味著檢測這些病毒的意義非常有限,在統計上對實際病毒的檢測能力要比對這部分病毒的檢測能力重要很多。
- 對於任何軟件所漏報的病毒或掃描器所誤報的文件,都應對軟件廠商開放,讓他們能夠對這些文件進行確認,必要時進行校正。
結論
ESET NOD32 參加過多個由公認的測試機構例如Virus Bulletin,ICSA及WestCoast Lab所組織的測試,並繼續在這些測試中取得最好的成績。這些測試機構的測試得到了廣泛的認可,他們使用了科學的方法,病毒樣本經過驗證,其檢測結果受到業界的廣泛認同。