对CHIP反病毒产品测试说不

江海客

　　CHIP新电脑杂志（CHIP中文版）进行了一次包括KV300、瑞星、KILL2000、VRV、NORTON ANTIVIRUS、PCCILLIN等产品在内的产品测试，第七期公布了测试结果，我写这篇文章的目的就是，就CHIP测试和所提出的一些观点，(具体详情请看我们与CHIP的讨论)进行一些分析。给用户和读者另一种参照体系。

（一）、CHIP所做的并不是50%，也许不足10%。

　　反病毒产品从产品体系上划分应当属于系统安全产品，就是他的主要目的是保证系统安全。反病毒产品是主要通过对抗计算机病毒达到这一目的的。因此，毫无疑问反病毒软件的检测率、清除率、误报率，以及对病毒处理的可靠性等等理应是反病毒产品的主要特征。

　　那么CHIP所说的功能、易用性、速度、资源的占用情况，能否占到反病毒产品性能的50%呢？让我们看看中华人民共和国社会公共安全行业标准中的《计算机病毒防治产品评级准则（GA 243-2000）》。在一百分中，防病毒30分，检测病毒30分，消除病毒30分，误报率4分，应急恢复4分，版本智能升级2分。其中防病毒检测的判断依据是病毒样本库进入计算机系统时反病毒软件是否会报警,但这绝不是像CHIP杂志认为的那样只要有实时监控程序即能得满分那样简单,而必须是病毒样本从存储介质、网络、电子邮件等多种途径进入计算机系统时，都应该有报警。并不是实时监控程序都能提供这样的功能的。同时要检测是否能阻止病毒感染发作以及能否及时清除病毒、另外还有发现病毒能否通知网络管理员或用户。这也不是CHIP测试简单的看一看有没有在线程序所能目测的。质量比较差的监控程序可以发现病毒，却可能不能阻止病毒的发作执行，在去年公安部的测试中，某产品就暴露了这样的问题。所以说CHIP的所谓功能测试并不是防病毒测试。(具体内容请看CHIP做了多少测试？ )

（二）CHIP所测试的部分并非其编辑所宣传的公正完美的

当然，我并不是说反病毒产品的功能，资源占用等并非不重要，我只觉得脱离了其最根本的反病毒能力讨论这些没有意义。那么就是抛开这些从CHIP测试内容本身来看，也存在着大量不严谨之处，横向测试必须有一个公平的基础，而对于杀毒这样软件专业性比较强的产品的话，构筑公平的基础，也需要比较丰富的相关专业知识。应该说CHIP测试工程师表现的功底不足。

　　举一个突出的例子，譬如说CHIP这次测试对扫描速度的统计，应该是毫无价值的。杀毒软件的扫描速度与扫描机理、扫描对象，可检测病毒数量都有关系、包括本身的行为定义都有很大关系。比如，如果两个软件扫描机理相同，但一个能查千余种病毒，一个能查2万种病毒，来比查毒速度，就好比用两列火车完全通过一个涵洞的时间来比较火车速度，但一列火车有一百节，另一列火车有十节，如果直接用绝对时间来对比，不是很可笑么？因为无论如何，前者至少会比后者慢一些。当然这里的机理稍微复杂一点，也并非就是与病毒库数量直接成正比。不过从目前国内一些反病毒产品的反病毒数目能力来看确实与国外产品相差一个数量级。（详细内容请看CHIP的测试公正完美吗？ ）

（三）一些常识性错误

CHIP测评文章另外的问题就是一些常识性的错误，譬如关于所谓“黑客病毒”的介绍中说，“这种病毒传播时，必须诱使对象运行客户端程序”“可以复制、更改和删除客户端的任何文件和目录”，稍有对远程控制工具了解的人其实都知道，受控端运行的是服务器端程序，而控制远端机器的才叫客户端。另外，除了少数服务器端带有一些病毒特性引起了一些争议外，还不能简单把远程控制工具称为病毒。而把特洛伊木马和远程控制工具直接等同起来，反映了作者对计算机安全史的不了解，其实早先有代表性的PK300等都不是什么远程控制工具，只是些带有一些隐含的破坏作用的单机的看似有正常功能的小程序，后来大量远程控制工具出现后，才把这些也归结到特洛伊木马类中去了。

　　再比如说，启发式扫描技术和虚拟机技术当然是相关的，但还不能把两者简单混淆。应该说启发式扫描是依赖于虚拟机技术的，但两个的侧重是不同的，前者是依赖软件仿真或CPU仿真进行的虚拟执行的过程，而后者则是加权判定的方法。此外，说虚拟机技术就是针对未知病毒也并非准确，实际上虚拟机技术和启发式扫描技术同样用于提高对已知病毒特别是变形病毒报警的可靠性和降低误报率。特征码技术，对变形病毒往往是无效的或者是不可靠的，即使找到了某种规律的话，这个往往是一种统计规律，就有可能造成漏报。采用纯特征码的反病毒产品，杀某些变形病毒会出现杀不干净的现象就是这样造成的。还有国内某软件由于无力实现虚拟机，对某变形病毒竟然采用判别可疑后直接调入病毒自身的还原代码段进行还原，结果被一个恶意程序利用，被其检测时就夺取系统控制权来格式化硬盘，真是令人哭笑不得。

　　另外，在病毒的定义一小节中，且不说如此划分是否准确，至少有部分含混不清或者错误之处，比如所谓特洛伊木马型病毒中“如果计算机网络服务器端被感染”令人感到作者概念相当模糊。再比如说所谓internet语言病毒“该病毒并不能破坏硬盘上的资料”这是绝对不正确的。至少在CHIP测试进行之前，ILOVEYOU病毒就已经流行了。大家可以去剖析一下ILOVEYOU病毒的源码，或者阅读一下相关资料，就知道这个观点是没有道理的。

（四）题外话，错位的观点和习惯

我关于国内一些反病毒产品的评价，也曾引起了一些人的质疑。当然，这些质疑并不是从技术角度来探讨，对一个普通用户上来讲，假定媒体说某某技术是先进、广谱的什么技术，而我说这是落后过时的东西的话，多数用户并没有从产品内部结构进行深入剖析的判别能力，只能依照自己的一些好恶来判定。

所以这些用户主要的两个依据就是，我所批评过的一些产品，被大量盗版，因为只有好的才被盗版，所以他们是好产品。理由或者是产品有很高的市场占有率，只有好的才能占有市场，所以这是好的产品。

这种观点不仅是非技术性的，而且逻辑上也并不成立。拿是否被盗版、是否占有多数市场的原则来作为衡量多数软件品质的标准并非是没有道理的。但杀毒软件的若干特殊性，使这一判据不能成立。（详细内容请看关于杀毒软件错位的观点和习惯 ）

　　作为结尾 作为一名如今游离于民间的程序员，关注反病毒技术和反病毒产品发展从我的大学岁月起已经有几年的时间了，可以说，我已经逐步感到了对此的失望。本不想再参与任何的争论，如果没有一个公平的环境与游戏规则，这种小范围的民间辩论是毫无意义的，所以很久没有写任何相关的东西了。CHIP的测试只是让我觉得有必要出来说些什么罢了，但愿这种感觉会随着中国反病毒行业走向序化的过程越来越少。

我突然想到了蓝海，我非常尊敬的前水木清华病毒版版主，他连任2届版主，在民间以“呼唤公平的游戏规则”的立场做了大量有价值的工作。现在，网络上已经听不到他的声音，我猜测对于反病毒业界的风风雨雨，他已经厌倦了，而去做一些更有价值的工作去了，此时，我的耳边又回响起他的声音，“通过适当的学习、借鉴，尽可能地接近目前的反病毒国际先进水 平，也许还是有一线曙光的。但愿中国反病毒行业依靠吹嘘和欺骗的日子早日过 去…… ”。