百款防毒軟體測試：病毒樣本的處理過程(轉)

百款防毒軟體測試：病毒樣本的處理過程(轉)[@more@]　　一、預處理

　　所有樣本作了一系列預處理，去除了重複檔案、多數防毒軟體不能識別的檔案、同一種病毒感染出的多個檔案、和被誤報的檔案，詳細步驟如下。

　　1、經過專用程式生成CRC32、MD5簽名資料庫，剔除重複檔案;

　　2、經過測試前病毒掃描，不能夠同時被三種及以上不同查毒軟體報告出病毒的檔案剔除;

　　3、透過全球最大專業的誤報和Joke程式資料庫，儘可能剔除樣本中可能被誤報的非病毒檔案;

　　4、透過病毒命名交叉索引資料庫，儘可能保證樣本中每一種病毒在被多種防毒軟體報作相同病毒時只保留一個樣本檔案。

　　二、分類

　　樣本檔案分為基本樣本、打包樣本和加殼樣本，分類情況如下

　　1、全部檔案經手工檢查分類，詳細記錄檔案日期、長度;

　　2、經多數防毒軟體監測後，按照字首分類法放入不同的目錄;

　　3、有較多爭議和沒有字首的歸入子類別的其他。

　　最後基本樣本分為37大類共246子類。

　　三、加殼與打包

　　1、基本樣本儘可能沒有被打包或加殼

　　2、打包的樣本在打包前能夠被多數防毒軟體識別

　　3、加殼的樣本在加殼前能夠被多數防毒軟體識別

　　4、打包和加殼的層數只有一層

　　5、打包和加殼的時候使用所有歷史版本(如upx 1.0-2.9共359個版本)處理後，然後剔除結果重複檔案

　　6、加殼的時候每種版本使用所有的格式(如upx 2.9共支援10種格式)處理後，然後剔除結果重複檔案

　　Upx 2.x 支援的格式atari/tos、djgpp2/coff、dos/com、dos/exe、dos/sys、linux/386、rtm32/pe、tmt/adam、watcom/le、win32/pe

　　7、打包的時候每種版本使用所有的壓縮方法(如rar 3.61共支援6種方法)、所有的自解壓格式處理後，然後剔除結果重複檔案

　　Winrar 3.x 支援的壓縮方法:儲存、最快、較快、標準、較好、最好;自解壓格式包括:win介面、控制檯、DOS、Linux自解壓

　　8、由於多數防毒軟體出現將加殼後的檔案直接報作病毒，而且報告中不明確是否脫殼，在統計時將這種“支援查出這種病毒”情況視為“支援此種加殼格式”。

　　四、樣本彙總

　　1、最後樣本檔案1,126,464個，其中打包格式檔案27296個，加殼格式檔案287138個，基本樣本812030個。

　　2、分佈在E、F盤2145個子目錄中，佔據硬碟空間760G

　　3、每個檔案平均大小約600K，NTFS分割槽的單元大小為4K