最近看到不少文章说自己的电脑"中毒",用卡巴斯基,nod32等知名杀软完全扫描不出病毒,而使用XX杀毒软件后(一般是些小公司的产品),查出了N个病毒,很多朋友看了这些文章后对原本使用的知名杀毒软件的信任产生了动摇,甚至转头至其他杀毒软件门下.
事实真的如大家看到那样吗?知名杀软的查毒率真的就有那么低吗?下面先请大家和我一起做两个测试.
测试一
请下载这个压缩包(解压密码test),解压后使用你的杀毒软件查毒,相信很多朋友的杀毒软件都查出了不少病毒吧?这个压缩包在virustotal的分析结果如下面的表格(如果看不到请点击标题阅读全文),32款杀软中有24款认为这个压缩包中的30个文件中,至少有一个文件为病毒.
但是请大家仔细看看,有没有发现卡巴斯基(Kaspersky),Nod32等世界一流杀毒软件并没有检出任何病毒呢?真实情况实际上也是这样,这个压缩包中所含有的所有文件,全部都不是病毒,它们全部都是软件的算号器,虽然不属于合法软件,但是它们对您的计算机没有任何破坏能力.也就是说,此次测试中只有25%的杀毒软件对样本不存在误杀.
| 文件 _______________.rar 接收于 2008.06.21 19:27:36 (CET) | |||
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果</TD< tr> |
| AhnLab-V3 | 2008.6.19.0 | 2008.06.20 | -</TD< tr> |
| AntiVir | 7.8.0.59 | 2008.06.20 | TR/PSWeric5.AFKC</TD< tr> |
| Authentium | 5.1.0.4 | 2008.06.20 | -</TD< tr> |
| Avast | 4.8.1195.0 | 2008.06.21 | Win32:Trojan-gen {Other}</TD< tr> |
| AVG | 7.5.0.516 | 2008.06.21 | PSW.Generic5.AFKC</TD< tr> |
| BitDefender | 7.2 | 2008.06.21 | Trojan.Packed.7703</TD< tr> |
| CAT-QuickHeal | 9.50 | 2008.06.20 | TrojanProxy.Horst.aae</TD< tr> |
| ClamAV | 0.93.1 | 2008.06.21 | PUA.Packed.TeLock</TD< tr> |
| DrWeb | 4.44.0.09170 | 2008.06.21 | BackDoor.PcClient.581</TD< tr> |
| eSafe | 7.0.15.0 | 2008.06.19 | suspicious Trojan/Worm</TD< tr> |
| eTrust-Vet | 31.6.5892 | 2008.06.21 | -</TD< tr> |
| Ewido | 4.0 | 2008.06.21 | Trojan.Agent.cj</TD< tr> |
| F-Prot | 4.4.4.56 | 2008.06.20 | -</TD< tr> |
| Fortinet | 3.14.0.0 | 2008.06.21 | W32/Horst.AAE!tr</TD< tr> |
| GData | 2.0.7306.1023 | 2008.06.21 | Win32:Trojan-gen </TD< tr> |
| Ikarus | T3.1.1.26.0 | 2008.06.21 | Virus.Win32.Agent.HGE</TD< tr> |
| Kaspersky | 7.0.0.125 | 2008.06.21 | -</TD< tr> |
| McAfee | 5322 | 2008.06.20 | Spy-Agent.cj.gen.h</TD< tr> |
| Microsoft | 1.3604 | 2008.06.21 | Trojan:Win32/Agent</TD< tr> |
| NOD32v2 | 3205 | 2008.06.21 | -</TD< tr> |
| Norman | 5.80.02 | 2008.06.20 | -</TD< tr> |
| Panda | 9.0.0.4 | 2008.06.21 | Trj/Sinowal.DW</TD< tr> |
| Prevx1 | V2 | 2008.06.21 | Malicious Software</TD< tr> |
| Rising | 20.49.52.00 | 2008.06.21 | Hack.Win32.Keygen.a</TD< tr> |
| Sophos | 4.30.0 | 2008.06.21 | Mal/Packer</TD< tr> |
| Sunbelt | 3.0.1153.1 | 2008.06.15 | VIPRE.Suspicious</TD< tr> |
| Symantec | 10 | 2008.06.21 | Trojan.Horst</TD< tr> |
| TheHacker | 6.2.92.358 | 2008.06.21 | W32/Behav-Heuristic-066</TD< tr> |
| TrendMicro | 8.700.0.1004 | 2008.06.20 | PAK_Generic.001</TD< tr> |
| VBA32 | 3.12.6.7 | 2008.06.21 | Trojan-Proxy.Win32.Horst.aae</TD< tr> |
| VirusBuster | 4.3.26:9 | 2008.06.12 | Packed/FSG</TD< tr> |
| Webwasher-Gateway | 6.6.2 | 2008.06.21 | -</TD< tr> |
| 附加信息 | |||
| File size: 1687553 bytes | |||
| MD5…: b553a6cefe5193691bc6e0853779322c | |||
| SHA1..: 259a13f52372da33c9f6c2133ce5a9de260ece80 | |||
| SHA256: a4ecda9f46060511d4751b422f5b6b3765b390466bb6e998ad97264f6cb4d4d5 | |||
| SHA512: 2b4bb62a8fa230d49459565d2dbd51b5feedc1e387686138975762195216d7ea a8d760700f13bf6eb79a3220ac3383274aefd90ff3f8af260bdd8fe3e195365d |
|||
| PEiD..: - | |||
| PEInfo: - | |||
| Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9EEFDE4600C47FB070DA02A771F25B0066F84A9D | |||
| packers (Kaspersky): PE_Patch.UPX, UPX, UPX, PE_Patch.UPX, UPX, FSG, UPX, UPX, PE_Patch.UPX, UPX, UPX, UPX, UPX, UPX, UPX, PE_Patch.UPX, UPX, FSG, UPX, UPX, PE_Patch, TeLock, FSG, PE_Patch.UPX, UPX, UPX, FSG, PE_Patch.UPX, UPX, UPX, UPX | |||
| packers (F-Prot): UPX, FSG, TeLock | |||
测试二
我从XP SP3中提取了其原版的注册表编辑器regedit.exe,如下图,文件大小为129KB
将其发送至VirusTotal查毒,结果如预料一般,32款杀软中没有一款认为它是病毒
如下图,我将原文件使用了北斗程序压缩器进行了压缩(即加壳,效果与RAR对普通文件压缩类似,目的是缩减程序体积,并且不会改变程序的任何功能,但会影响程序载入速度),文件体积被缩小至55.5KB,但是需要注意,它仅仅是被压缩可,它还是注册表编辑器,不是病毒.
如下图,我再次将压缩后的程序送去杀毒,结果如下图,33款杀软中有13款报毒(因为VirusTotal基本没有国产杀软因此我又单独测试了江民,金山毒霸以及飞塔.
通过下图大家应该能够看到,有不少杀软将加壳后的XP SP3注册表编辑器认定为了病毒或者可疑文件,这些杀软根本没有做应该做的脱壳入库而仅仅因为多了一个北斗壳就将合法的程序认定为病毒,我们可以100%的认定这属于误报误杀.我将其中的"突出代表"使用颜色进行了标注.
如绿色的标注,小红伞AntiVir,大蜘蛛DrWeb,卡巴斯基Kaspersky,NOD32,Symantec诺顿,江民和金山不负众望完美通过了测试(实际上这是应该的)
如红色标注,F-Secure,McAfee麦克菲,Panda熊猫,飞塔等杀毒软件将"穿上马甲"的合法程序残忍的"杀害"了.
实际上为了节约硬盘空间以及基于版权保护的考虑,大家使用的软件,很多都是经过了加壳处理的,如果您的杀软见壳就杀,显然会影响您的正常使用.
虽然杀毒软件的误杀原不止我们上面所提到的两种情况,但是由此至少可以得出结论,对于某些二线杀软,杀得多未必就能杀的准,大家选择杀软不应该单凭查出了电脑上的多少个病毒,还应综合了解其品牌实力以及它究竟都杀了些什么.
bigbig龙 : 22 六月 2008 时间: 8:30 上午
好文章啊,顶一个
hoy007 : 27 六月 2008 时间: 10:06 上午
Thans for detailed explanation and I am benefited a lot from here.
kibs : 27 六月 2008 时间: 10:28 上午
好文章啊~支持。
小魏 : 27 七月 2008 时间: 10:15 下午
你要测试趋势你能哭死,趋势能查杀未知壳,这是很先进的技术,目前没有任何一家厂商可以做到。
但是趋势查到无论什么壳一律定为病毒,毕竟是企业级的,不适合个人用。
小魏 : 27 七月 2008 时间: 10:15 下午
你这套皮肤真棒!
ckt : 27 七月 2008 时间: 10:41 下午
那个免费的趋势一般啊,对付机器狗完全不行啊
小魏 : 28 七月 2008 时间: 1:44 上午
免费的趋势么?你是说墨者版的?那个跟趋势2008 tav 完全一样的。趋势销售的是tis,你要升级一下病毒库,杀机器狗是没有问题的,但是趋势的本地化做的确实很烂!墨者革离术二代出来的时候你试试效果。大约是最近两星期之内吧。。。呵呵:小声说,我是墨者的,ad一下,不介意吧。。www.mozhe.com 再说一次我很喜欢你的blog 皮肤!
ckt : 28 七月 2008 时间: 11:21 下午
墨者我很喜欢,毕竟是免费的,需要支持