我如何测试我的病毒扫描程序?

我如何测试我的病毒扫描程序?

我如何测试多个防病毒程序以确定哪个性能最佳,以便我可以撰写评论?

我可以在哪里找到用于测试的病毒?

答案1

如果你只是想看看它是否正常工作;你可以使用EICAR 测试文件, 下载它这里. 或者,保存字符串

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*[1]

到应触发病毒扫描程序的文件。您可能还想压缩/存档文件以测试扫描仪的压缩/存档文件扫描功能...

更多详情请参阅他们的网站或维基百科:

EICAR 测试文件(正式名称:EICAR 标准防病毒测试文件)是由欧洲计算机防病毒研究所开发的文件,用于测试计算机防病毒 (AV) 程序的响应。其背后的原理是允许个人、公司和 AV 程序员测试他们的软件,而不必使用真正的计算机病毒,因为如果 AV 无法正确响应,病毒可能会造成实际损害。EICAR 将使用活病毒测试 AV 软件比作在垃圾桶里放火来测试火灾警报,并推广 EICAR 测试文件作为一种安全的替代方案。

AV 程序员将 EICAR 字符串设置为已验证的病毒,就像任何其他签名一样。兼容的病毒扫描程序在检测文件时,将以与发现真正有害代码完全相同的方式做出响应。它的用途比直接检测更加广泛:可以压缩或存档包含 EICAR 测试字符串的文件,然后运行防病毒软件以查看它是否可以检测到压缩文件中的测试字符串。

维基百科 - EICAR 测试文件

答案2

人们可以找到一些病毒存储库,但它们并没有太大的帮助。

例如,文章测试你的防病毒软件 – 6000 个病毒下载包含关联包含 6000 个文件的文件,据称都是病毒,但不幸的是,这些文件可以追溯到 2009 年。鉴于一款优秀的防病毒产品可能会在其保护数据库中添加每天有数千个新的病毒变种(不一定与几千个病毒特征相同),这些已经完全过时了。

我还想说,好的杀毒软件应该在预防、检测和根除方面都表现良好。检测并不可靠,因为杀毒软件总是落后于病毒编写者。根除部分总是最薄弱的,病毒清除可能不彻底或导致故障,这就是为什么感染后经常建议重新格式化和重新安装。甚至美国军队很脆弱并且无力抵御感染。

我不知道有什么好的预防测试,但在我看来,这毕竟是最重要的功能。对于检测,您可以咨询专门针对病毒样本运行防病毒产品的网站(它们都没有发布其测试套件)。一些这样的网站是:

AV 测试
AV-比较
十大评论

答案3

要真正测试各种防病毒解决方案,你需要一台可以感染的 PC,进行测试软件A开启,清除,重新感染,测试软件B上,等等

有两种方法可以简化这一过程——一种很便宜,一种……不那么便宜。

  • 便宜的:找一台旧电脑,重新安装(完全格式化)操作系统,然后拍摄该状态下的驱动器映像。然后,您可以感染电脑并测试软件,完成后再从映像中恢复。

    优点:便宜,更容易锁定,因此感染不会失控。

    缺点:耗时。

  • 不太便宜:使用虚拟机作为感染测试平台。概念相同:安装操作系统、备份干净的驱动器、感染 PC、测试软件、恢复映像、重新感染、测试更多软件。

    优点:更容易从干净的图像恢复。可以一次运行多个测试。

    缺点:管理起来更复杂。需要更昂贵的硬件,特别是同时运行多个测试时。可能更难锁定,特别是当您的主机操作系统可能被您正在测试的病毒感染时。

答案4

我倾向于回答说你真的不能这样做。理由是所有专业病毒制造商和评级人员都维护着蜜罐网络 - 一系列(通常)虚拟化的计算机,它们要么被动地待在那里,要么访问已知的危险站点,希望被感染,这样就可以检查和分析恶意软件的感染企图,并对各种程序的性能进行评级。你(可能)没有足够的资源来做到这一点,并且没有足够的规模来获得统计上可靠的样本。

他们做的另一件事是雇用研究人员和公司积极创建变体,有时是新型恶意软件,然后发送这些恶意软件来对抗程序,以查看启发式防御与旧式签名文件相比的表现如何。新的和从未见过的变体无法获得签名,因此启发式方法以这种方式进行测试。同样,您可能没有资源来执行此操作。

旧式签名文件将针对已知病毒样本进行测试,以了解扫描速度如何,但针对单个样本的测试和针对多种感染的测试可能会产生截然不同的结果。

相关内容