证据确凿！三大评测机构揭秘腾讯作弊手法

增添诗意

　　5月5日，国际三大反病毒评测机构AV-C、AV-TEST和VB100联合发布声明，指责腾讯电脑管家存在操纵AV-TEST性能测试成绩并导致降低产品整体防护能力的作弊行为，并宣布取消腾讯2015年以来的所有成绩和认证。
　　三大机构联合发布的声明中称：经过深入调查，我们确定腾讯在AV-TEST性能测试中做出针对性调整以优化成绩，这些调整对普通用户没有任何意义，而且会降低产品实际的防护能力。这些行为已经证实存在于腾讯测试产品近期的公开下载版本中。
　　包括AV-TEST、AV-C、Virus Bulletin在内的三家测评机构，将对参加测评厂商提出更为严格的要求，以防止厂商在测评中使用欺诈手段，并决定取消腾讯产品在2015年测评中获得的认证和奖项。
　　
　　
　　

　　美杂志PCMagzine揭露腾讯以牺牲用户安全来提高成绩

　　
　　月6日，全球历史最悠久，最具影响力的电脑杂志美国PCMagzine报道，腾讯为了在AV-TEST性能测试中提升成绩，对某些常用软件的文件名不做扫描，从而加快其扫描速度来作弊。这意味着病毒只要改个常用软件的名字，就可以攻破腾讯电脑管家而感染电脑。

　　一个深度分析报告揭露：腾讯送评产品中包含一个精心构造的白文件名称列表，运行或者安装的文件名只要在白列表中，产品就完全不做任何扫描。更令人匪夷所思，这个精心构造的列表仅包含AV-Test性能测试的程序，每次AV-Test更新测试方法,该列表同步更新。

　　一方面，忽略扫描这些白名单上的软件可以确保腾讯不会减缓系统的使用速度；另一方面，包括恶意软件在内的任何软件，只要伪装为白名单上的程序，就可以绕过腾讯感染用户电脑。因此，腾讯的开发者为获得良好的性能测试结果，而将其用户陷入险境。

　　腾讯作弊的消息是紧随着另一个在测试中“作弊”的实例被爆出，然而在我看来，另外一个所谓的“作弊”对用户并没有任何危害。在RSA大会的第一天，百度发布了一篇指责反病毒厂商奇虎360在AV-C测试中作弊的文章。根据谷歌简略的自动翻译，我们得知这篇文章的作者叫“特别调查员”，但实际上该作者与百度反病毒部门并没有官方联系。此外，这篇文章还声称奇虎360用于测试的产品与提供给用户的产品存在着巨大差异。

　　在这个消息被爆出之后，我与其中一家反病毒软件测试的负责人有过短暂交谈，并得到确认不仅奇虎360测试用产品有不同的默认设置，实际上它就是一个拥有不同架构的产品。依据这一点，AV-C、AV-Test与VB剥夺了所有奇虎360在2015年获得的认证。

　　我在奇虎360的联系人表示，360对于参测产品的特殊设置并没有对测评机构有任何隐瞒。目前我仍在等待来自奇虎360官方关于第三方杀毒引擎（BitDefender）已获得使用权限、为何在用户版本却默认关闭这些引擎的消息。无论如何，用户仍然可以获取来自奇虎360测试产品Qihoo 360 Total Security Essential的免费全方位保护。我没有看到任何证据表明奇虎360的产品对用户有害。

　　AV-TEST报告揭秘腾讯作弊手法

　　早在5月1日，德国著名评测机构AV-TEST就曾发布过一份针对腾讯在其评测中作弊的调查报告，报告称，有确凿证据证明腾讯有操纵AV-TEST性能测试并且会降低产品整体防护能力的作弊行为。以下是AV-TEST报告全文：
　　文档版本：1.0，发布日期：2015年5月1日
　　概要
　　我们注意到腾讯在AV-TEST性能测试结果的一个大幅进步。其中，在过去14个月里，腾讯是拥有最大标准偏差的产品，标准偏差为3.36，而平均值为1.3。这表现了腾讯的产品在这段时间内结果的巨大差异。因此，我们必须进一步调查。
　　1.测试结果
我们列出腾讯的测试结果，并指出开始发生变化的地方。下表显示随着时间的推移及哪个版本被测试。请注意，AV-TEST的分数从5(非常好)至25(非常糟糕)的范围。腾讯的测试结果如下：
　　
　　这个结果显示腾讯版本从8.10到10.4的过度，当中的变化是非常明显的。而12月的测试仅显示轻微改善，但是在2015年1月开始又出现一个巨大的进步，直到3月腾讯的性能几乎没有影响。
　　2.技术背景
　　基于以上测试结果，我们开始检查腾讯8.10版本和10.4版本之间的差异。我们发现一个文件名为av.dat，这个文件看起来是作为程序的某种设置。它不是一个可读文件格式，但可以很容易地进行解密。下图显示了2014年12月的原始文件。
　　　
　　该文件可以很容易地被解密，我们在12月得到了一些有趣的字符串出来：
　　
　　如上所呈现的，所有的三种属性已增加了更多的文件和进程名。这是因为AV-TEST同时也拓展了测试集合，例如：Skype，同样的也出现在av.dat的更新。
　　3.进一步分析
　　这些现象实际上代表什么?
　　我们假设这些属性是用来告诉产品在那些文件被存取的时候可以跳过扫描或是检查，这对于性能测试是重要的。因为，如果产品不需要扫描这些文件，就可以省下很多时间进而在这些文件的测试上得到好的性能成绩。
　　腾讯在他们的产品使用Avira和他们自己的云引擎，而且这些属性只会影响他们的云引擎。这些配置在av.dat的文件名不会被腾讯的云引擎检查但依然会被Avira引擎检查。为了验证这个说法，我们必须找到不会被Avira检出但会被腾讯云引擎检出的文件。我们重命名这些文件为AdbeRdr.exe来检查这些文件是否会被报出。
　　结果显示这些重命名的文件不再被检出了，很明显的，腾讯的云引擎不会去扫描带有特定的文件名或是数字签名的文件。这是一个以牺牲整体防护能力为代价，操纵AV-TEST性能测试结果的产品。