無害程序(重打包名為DogoWar): 這個測試使用了一個在屏幕上顯示“Hello world!”的無害程序。與上面提到的DogoWar唯一的相同點就是程序的名字�。如果殺軟將這個程序列為惡意程序��,將被看做是一種誤判���。
應用程序(被Rabies感染) :這個測試是模擬一個帶有已知病毒的合法的未知程序,即將上面使用的無害程序“hello world”被com.dogbite.rabies惡意服務感染后再安裝到手機中�����,查看各個殺軟的效果��。
如果殺軟有所動作�����,說明它能夠從合法的軟件代碼中找出惡意代碼�。目前電腦中的殺軟主要采用啟發(fā)式掃描的方法來實現這個功能。目前智能手機上的安全軟件可能也會有這個功能���,但是手機系統(tǒng)的硬件資源不一定能負擔的起這種功能的資源需求��。
Adrienne的評論
我將上面的這些測試結果發(fā)給了我們的安卓技術指導��,博士生Adrienne���,她看過之后發(fā)來了下面這段評論:
“看上去這些殺軟并不會對重新打包的DogoWar進行掃描�,因為目前已知的DogoWar只有一種傳播程序��?��?赡軞④泴τ诰哂写罅孔兎N的惡意代碼會有更精確的掃描方式。”
這對于William來說是個不錯的提示����,于是他又打算使用一個名為DroidDeluxe的惡意代碼進行進一步的測試。
DroidDeluxe: 這是一個基于安卓系統(tǒng)的root exploit程序��。它可以在用戶不知情的情況下獲取手機管理權限��。
無害程序(重新打包名為DroidDeluxe) 同樣還是一個只能顯示“Hello world!”的程序����,我們將其重新打包命名為DroidDeluxe 。如果安全軟件將其標記出來��,說明是誤判����。
DroidDeluxe (重新打包): 我們利用反匯編器對這個惡意軟件進行重新打包,將其內部名稱修改�,但是其余代碼不做任何變動����。如果安全軟件在掃描內部名稱的同時也會掃描程序代碼�����,就會發(fā)現DroidDeluxe病毒�����,否則就不會發(fā)現�。
William的點評
由于通過測試, William對于這幾款安全軟件有了相當的認識���,我求他對于每個安全軟件進行一些點評:
AVG:
· 該軟件的掃描速度要慢于其它軟件
· 加載文件系統(tǒng)后���,AVG不會自動掃描SD卡中的文件
· 只掃描代碼的內部打包名稱,導致誤判
· 只在軟件安裝過程中對軟件進行掃描
· 無法有效檢測重打包的惡意軟件
· AVG 只檢測惡意軟件的打包名稱
Lookout:
· 如果惡意代碼不被安裝�����,就無法將其檢測出來��。
· 用戶界面超簡潔��。
· 有誤判情況
· 可以檢測出重新打包的惡意軟件,說明它不止掃描代碼的打包名稱��。
McAfee:
· 入侵式安裝�。試用版要求7天內注冊�����。為手機增加SMS短信驗證功能��。
· 沒有誤報����,能夠截獲抑制病毒,包括重新打包的惡意代碼��。
Norton:
· 非入侵式安裝���,但是安裝過程有些繁瑣
· 四個真正的病毒威脅只掃描到了一個
· 沒有誤報
Trend Micro:
· 軟件最近重新修改過
· 新版本具有較好的用戶體驗
· 老版本還在網上流傳
· 沒有成功捕獲一個威脅
Adrienne的評論
做完測試后�,William和我都在忐忑的等待Adrienne的評論:
“安卓系統(tǒng)上的惡意軟件相比臺式機要稀少的多����,但是最近也逐漸出現了。手機用戶如果從非官方渠道下載應用軟件���,應該小心可能產生的安全問題����,最好要安裝一個安全軟件。
你們的測試結果表明安卓系統(tǒng)上的惡意軟件掃描是一個比較新的領域�����,并不是所有知名品牌的安全產品在手機平臺都能取得良好的效果��。
從技術角度講���,目前手機安全軟件面臨的一個問題是如何識別合法程序中重新打包的惡意代碼���。我們目前看到市面上傳播的很多惡意代碼都是通過這種方式進行傳播的,因此這方面的掃描技術要加強���。
不過這個問題也確實不好處理�,因為安全軟件也需要避免過多的誤判��,如果采用啟發(fā)式查毒�����,將正常的程序誤判為病毒,用戶也會覺得產品不夠聰明和可靠�����。在這方面我也和同事們一起正在研究����,希望未來幾個月后會有有效的解決方案。”
總結
首先我要感謝那些安卓系統(tǒng)安全軟件的開發(fā)人員����。通過這次測試�,我認識到了他們對于安卓平臺所作的努力和取得的成果。
而之所以要做這個評測�����,也是William和我出于對所有使用手機安全產品的用戶負責的原因�,希望大家不要誤以為手機安全軟件只是擺設。
