AVC 补充报告–2010 年 2 月
www.av‐comparatives.org
误报测试报告
AVC补充报告第25号 2010年2月
语言:中文 2010 年 2 月 最后修订:2010 年 3 月 17 日 www.av-comparatives.org
–1‐
AVC 补充报告–2010 年 2 月
www.av‐comparatives.org
检测到的误报明细 AVCP 测试重要的举措,就是不仅衡量产品的病毒检测能力,而且还有它的可靠性 - 可靠 性方面,当然要看相关产品在样本文件受到感染时的识别能力.没有哪一款产品对误报(FP's) 是有免疫力的,但是这些产品中也存在很多的差别,我们的目标就是要发现这个差别到底有多 大.没有人会有全部的,潜在可能被误报为病毒的安全文件,所以也不可能做出完整的终极误 报测试.唯一能做到的,也是合理的,就是创建和使用一个独立的样本文件库.如果对这些相 同样本文件,一款产品的误报是 50 次,而另一款产品的误报只有 10 次,那么第一款产品比另 一款更易于产生误报.但这并不意味着产生 10 次误报的产品全局没有超过 10 次误报,重要的 是相对的数字. 所有列示的误报已经上报并发送给杀软厂商核实且已得到处理.与杀毒文件有关的未加 密的数据块引起的误报并没有计算在内.如果属于同一个软件产品有多次误报,这里仅算一次 误报.非法入侵,生成密钥,或其他高级帮助工具等,即由厂商提供的和其他非独立采集获得 的样本这里也不算误报. 不是全部的的误报都是一样的,所以,为了给读者更多的误报信息,我们将试着将流行 误报分级.带有有效数字签名的文件会被考虑是最重要的.基于此,例如一个文件带有"等级 1" 和有效的数字签名将被升级到下一等级(即流行"等级 2") 流行误报等级分成 5 级并用下列不同的颜色表示:
等级 1 假定的受影响用户数量 可能少于 100 个 评论 个别案例,陈旧或极少使用的文档,未知流行
2 3 4
可能有几百个 可能有几千个 可能有几万个
这些文件的初始分布可能较高,但在系统中,目前实际使用 率是较低的(尽管它存在),这就是为什么知名度高的软 件,目前仅能够影响几百或几千用户的原因.
5
可能有几十万个
在特定的时间进行的误报测试,这样的案例可能是很少见. 因为这些样本文件通常是被列入到白名单或被通知过且很快 被确认处理.我们甚至不给这样一个影响数百万用户的案例 设定一个特殊的类别.
–2‐
AVC 补充报告–2010 年 2 月
www.av‐comparatives.org
大部分误报可能在大多的时间都落到第一和第二级别.我们认为,在这类样本文件中杀 毒产品不应该有误报,除非很多用户受到影响.同时杀软厂商低估了误报的风险而高估了病毒 风险,我们并不打算基于所谓的误报率而为产品归类定级.在我们看来,允许一定数量的误 报,然后才开始为产品评分,产生误报较高的产品,也更可能对潜在的安全文件产生误报.也 正是此原因,我们给出的这些样本文件只是作为信息目的来使用.普遍使用的文件在一些案例 中被严重的低估(比如在非 PE 文件,安全软件,极少进入的文件等),给出的流行程度也只是 在我们能够依赖的数据基础上的粗略估计(如各种"云"技术,下载量/销售报表等).这些样本 在实际中所产生的影响,可能不同于报告中所做的分析. 一些使用第三方引擎/特征码的产品,比拥有自己引擎的产品可能产生较少或较多的误 报,例如由于不同的内部执行设置,额外的检查/引擎,白名单数据库,在为第三方产品释放原 始特征码和可用特征码之间时间的延迟,在释放特征码之前的额外质量保证等. 误报是衡量杀毒产品质量的重要指标.一份客户提交的误报能够帮助软件厂商解决因为 这个问题带来的产品设计上的缺陷.有时,误报甚至能导致重要的数据丢失或系统无法使用. 即使对"不重要"的误报也值得引起注意,因为误报很可能是一种原则性的检测结果.它只是碰巧 发生在一个微不足道的文件上了.误报的可能性可能也在于产品自身,而且误报也可能再次发 生在一个重要的文件上.所以,误报还是值得一提的,也值得用于评价一个产品的好坏. 在下文列示的,就是在我们的独立样本文件中检测到的误报.红色词条突出显示了,对 带有有效数字签名的样本文件的误报. eScan
误报出处
Tiscali package
检测为
Trojan.Generic.1713592
假设流行等级
eScan 产生 1 次误报. F-Secure

下一页