【编者按:这是一篇描写反病毒测试工程师工作的文章,从测试工程师叶子的角度带领大家对反病毒测试工作进行了一次深入浅出的认识。】
诺顿“误杀门”事件被炒的沸沸扬扬,由此引发了一系列关于误杀问题的争论与思考,人们甚至开始怀疑,杀毒软件是否能够真正保障自己的电脑安全?其实,误杀对于杀毒软件来讲,是在所难免的,作为杀毒厂商更多考虑的应该是如何将误杀的几率降到最低。
对于一般的杀毒厂商而言,病毒库的制作升级过程需要有病毒库制作、病毒库测试、病毒库升级三个过程来进行,并有专门的小组来负责;而误杀的测试正是由病毒库测试团队来完成的。为了让广大网友能更深入的了解误杀的根源,了解测试的内部环节,笔者特别采访了金山毒霸测试工程师叶子。
叶子,26岁,从事病毒测试工作3年。与一般的技术工程师不同,他非常健谈,阳光、开朗的他时不时露出灿烂的笑容,让人感觉很亲切。
测试工作本来就是一项繁琐的工作,每天首先由病毒分析员制daily,然后再由测试组跑误报库,在确保不误报误报库中的文件后升级给用户。作为一个病毒测试人员,出现误报的时候是最繁忙的。
谈到误报问题,自然联想到刚刚发生的诺顿误杀事件。叶子说,其实误报对于杀毒软件来说是一件不可避免的事情,虽然大家都有做误报测试,但是毕竟不可能做到百分百覆盖,但是类似诺顿此次如此严重的误报操作系统文件,真的是不能允许的。
叶子给我们分析了一下误报的产生的原因:一是鉴定错误,把正常文件误认为病毒。比如一个网管软件,有病毒分析员收集到这个文件后,分析认为其存在不安全行为,就极有可能并将判定为病毒;二是病毒特征提取错误引起的误报。如果工程师在提取病毒特征时,因疏忽而提取错误。比如病毒一般是用高级语言编写,如果疏忽提到了该编译器的部分特征,就可能出现将使用该语言编写的所有程序判断为病毒,此次诺顿误报事件就是将简体中文版Windows XP SP2的 NetSpi32.dll 和 LsaSrv.dll判定为病毒所致。
为了加深我们对病毒分析工作的了解,叶子还特地向我们介绍了病毒分析的一个过程:
1、各种上报途径获得文件;
2、自动化分析提取出大部分病毒文件和正常文件;
3、交由分析员手工分析确认;
4、加入病毒库;
5、误报测试;
6、升级病毒库;
在这6个环节当中,每一个环节发生错误都有可能导致安全事故,而此次诺顿误报事件很可能是在第5步发生了问题,也有可能是病毒测试人员将第5、第6步一起并行做了。
叶子表示,每个杀毒厂商对误报问题的处理存在一定差别,以毒霸对误报测试的处理为例,毒霸内部有一组共n台服务器(n>10),上面安装了最常见的软件以及各种语言的操作系统(包括最新版本和各个历史版本的文件),并且包括一些历史上出过误报的文件(这个要重点查)。毒霸每天升级三次,在升级出去之前,都要在这几台服务器上进行扫描,一旦发现误报,测试组的同事将立刻收到邮件,并且马上反馈给病毒分析组的同事,暂时屏蔽出现误报的特征,然后再重新测试。只有这n台服务器全部通过的时候,病毒库才能够被升级出去。所以大家如果发现某天的某次升级相对平时晚一些,估计一般都是因为在处理这些东东——谁能保证自己完全不会出错呢?
当被问及工作中是否有一些有趣的事情,叶子说,其实什么工作中都会有些有趣的事情,关键是心态吧,心态好的话 ,很多事情都可以是有趣的。测试工作有时候会让人感觉单调,但当在测试中发现一个从未发现的严重的bug,对于测试人员来说应该是很有成就感的。
在金山的这么多年,叶子保持了一个很好的习惯,就是每天都坚持跑步,叶子开玩笑说,“身体是革命的本钱,健康的身体是与病毒做斗争的资本。”是啊,伴随着网络的发展,网络威胁日益严峻,木马、蠕虫、黑客层出不穷,反病毒工程师们必须时刻做好与病毒长期斗争的准备!(责任编辑:李磊)
