5月1日訊息,德國著名評測機構av-test發布了一份針對騰訊在其評測中作弊的調查報告,報告稱,有確鑿證據證明騰訊有操縱av-test性能測試並且會降低產品整體防護能力的作弊行為。以下是av-test報告全文:
概要
我們注意到騰訊在av-test性能測試結果的一個大幅進步。其中,在過去14個月裡,騰訊是擁有最大標準偏差的產品,標準偏差為3。36,而平均值為1。3。這表現了騰訊的產品在這段時間內結果的巨大差異。因此,我們必須進一步調查。
1、測試結果
我們列出騰訊的測試結果,並指出開始發生變化的地方。下表顯示隨著時間的推移及哪個版本被測試。請注意,av-test的分數從5(非常好)至25(非常糟糕)的範圍。騰訊的測試結果如下:
這個結果顯示騰訊版本從8。10到10。4的過度,當中的變化是非常明顯的。而12月的測試僅顯示輕微改善,但是在XX年1月開始又出現一個巨大的進步,直到3月騰訊的性能幾乎沒有影響。
2、技術背景
基於以上測試結果,我們開始檢查騰訊8。10版本和10。4版本之間的差異。我們發現一個檔案名稱為av。dat,這個檔案看起來是作為程式的某種設定。它不是一個可讀檔案格式,但可以很容易地進行解密。下圖顯示了XX年12月的原始檔案。
該檔案可以很容易地被解密,我們在12月得到了一些有趣的字元串出來:
commonprocwlist=msfeedssync。exe,setup。exe,msiexec。exe,soffice。exe,soffice。bin,simpress。exe,swriter。exe,acrord32。exe,adobearm。exe,maintenanceservice,adberdr,jre-,libreoffice,firefox,thunderbird,install_flash_player
對於av-test,這是可疑的,因為其中列出的程式和檔案名稱都是被用於av-test的性能測試的程式。所以,我們做了進一步調查,並發現騰訊在1月和3月也出現類似的事情:
commonprocwlist=msfeedssync。exe,setup。exe,msiexec。exe,soffice。exe,soffice。bin,simpress。exe,swriter。exe,acrord32。exe,adobearm。exe,maintenanceservice,adberdr,jre-,libreoffice,firefox,thunderbird,install_flash_player commoninstallerwlist=install_flash_player,jre-, adberdr, firefox_setup_,thunderbird_setup_, setup。exe commoninstallersignerwlist=adobe,oracle,adobe,mozilla,mozilla,mozilla
註:在1月這個檔案增加了兩個新的屬性:commoninstallerwlist和commoninstallersignerwlist。其他屬性保持不變。這種變化有助於他們提高自己的得分:從9進步到5。
現在的av。dat還有另一種更新,包含以下信息:
commonprocwlist=smss。exe,csrss。exe,conhost。exe,wininit。exe,services。exe,svchost。exe,lsm。exe,lsass。exe,qq。exe,chrome。exe,msfeedssync。exe,setup。exe,msiexec。exe,soffice。exe,soffice。bin,simpress。exe,swriter。exe,acrord32。exe,adobearm。exe,maintenanceservice,adberdr,jre-,libreoffice,firefox,thunderbird,install_flash_player,procmon。exe,skype。exe,procexp。exe commoninstallerwlist=install_flash_player,jre-, adberdr, firefox_setup_,thunderbird_setup_, setup。exe,vs80sp1-kb,qq6。,qq7。
commoninstallersignerwlist=microsoftcorporation,google,tencenttechnology,adobe,oracle,adobe,mozilla,mozilla,mozilla
如上所呈現的,所有的三種屬性已增加了更多的檔案和進程名。這是因為av-test同時也拓展了測試集合,例如:skype,同樣的也出現在av。dat的更新。
3、進一步分析
這些現象實際上代表什麼?
我們假設這些屬性是用來告訴產品在那些檔案被存取的時候可以跳過掃描或是檢查,這對於性能測試是重要的。因為,如果產品不需要掃描這些檔案,就可以省下很多時間進而在這些檔案的測試上得到好的性能成績。
騰訊在他們的產品使用avira和他們自己的雲引擎,而且這些屬性只會影響他們的雲引擎。這些配置在av。dat的檔案名稱不會被騰訊的雲引擎檢查但依然會被avira引擎檢查。為了驗證這個說法,我們必須找到不會被avira檢出但會被騰訊雲引擎檢出的檔案。我們重命名這些檔案為adberdr。exe來檢查這些檔案是否會被報出。
結果顯示這些重命名的檔案不再被檢出了,很明顯的,騰訊的雲引擎不會去掃描帶有特定的檔案名稱或是數字簽名的檔案。這是一個以犧牲整體防護能力為代價,操縱av-test性能測試結果的產品。