一、主题内容与适用范围

1.1 本标准规定了计算机病毒防治产品的功能测试方法。

1.2 本标准对有关术语进行了定义，规定了计算机病毒防治产品的测试环境、测试步骤及测试内容。 1.3 本标准所称计算机病毒是指在磁盘操作系统DOS环境中运行的计算机病毒。

1.4 本标准所称计算机病毒防治产品是指用于磁盘操作系统DOS环境的计算机病毒防治产品。

1.5 凡在中华人民共和国境内销售的计算机病毒防治产品适用于本标准。

二、术语

2.1 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 注：引自《中华人民共和国计算机信息系统安全保护条例》第二十八条。

2.2计算机病毒宿主程序 是指寄生计算机病毒的程序。

2.3 计算机病毒样本 是指含有计算机病毒、可独立运行并能结束自我进程的程序。

2.4 计算机病毒防治产品 是指具有预防或检测或清除计算机病毒功能的软硬件产品。

2.5 计算机病毒样本加载 是指运行计算机病毒样本程序。

2.6 传染计算机病毒 是指计算机病毒将自身复制于其它程序或存储媒体中。

2.7 计算机病毒防治产品预防功能 是指运行染有计算机病毒的程序时，计算机病毒防治产品能够对其传染行为予以阻止。

2.8 计算机病毒防治产品检测功能 是指能够发现病毒或给出计算机病毒名称的功能。

2.9 计算机病毒防治产品清除功能 是指能够清除计算机程序或存储媒体中的计算机病毒。

三、计算机病毒的分类

本标准把DOS操作系统环境中的计算机病毒按寄生方式分为： a. 引导型病毒 是指寄生在磁盘引导区或主引导区的计算机病毒。 b. 文件型病毒 是指能够寄生在DOS文件中的计算机病毒。 c. 复合型病毒 是指同时具有引导型病毒和文件型病毒寄生方式的计算机病毒。

四、测试机构

测试机构由公安部计算机管理监督部门指定。

五、测试产品

送测产品的法人单位需提供产品、技术说明书、使用手册等有关文档。 含有清除计算机病毒功能的产品还需提供该产品清除引导型病毒所使用的硬盘主引导程序和DOS引导程序。

六、计算机病毒样本的制作

6.1 引导型计算机病毒样本的制作 （1）用正版磁盘操作系统格式化软磁盘。 （2）打印出引导扇区机器代码。 （3）每片软盘传染一种引导型计算机病毒。

6.2 文件型和复合型计算机病毒样本的制作 （1）制作计算机病毒宿主程序。 （2）打印同宿主程序的机器代码。 （3）将文件型和复合型计算机病毒逐一传染宿主程序。

6.3 测试用计算机病毒样本由公安部计算机管理监督部门或其指定的测试机构统一制作。

七、测试环境及其测试方法

7.1 单机测试环境及测试方法

7.1.1 单机测试环境

7.1.1.1 硬件环境 微型计算机系统一套。 打印机一台。 上述设备的具体型号由公安部计算机管理监督部门予以公布。

7.1.1.2 软件环境及初始化 正版磁盘操作系统软盘一套。 正版文件编译系统两套。 正版调试程序一套。 引导型计算机病毒样本软磁盘若干套，文件型计算机病毒样本软盘若干套，复合型计算机病毒样本软磁盘若干套。 格式化硬盘并安装正版磁盘操作系统。 无病毒软磁盘两套，并拷贝正版磁盘操作系统。一套为信息记录盘，一套为测试盘。 读出硬盘主引导区和DOS引导区中的信息，分别保存于信息记录盘中，并打印出机器代码，以备测试时使用。 读出测试盘的引导区，保存于信息记录盘中，并打印出机器代码。

7.1.1.3 计算机病毒防治软件产品的安装 用正版磁盘操作系统软盘或硬盘冷启动计算机系统,出现正确系统提示符后，根据软件产品安装说明进行安装，出现安装成功等有关信息后，被测软件产品方为正确安装。

7.1.1.4 计算机病毒防治硬件产品的安装 （1）开启机箱，根据硬件产品安装说明书要求将硬件产品正确安装。 （2）用正版磁盘操作系统软盘或硬盘冷启动计算机系统，出现安装成功等有关信息后，方为正确安装。 如有其它的配套软件需要安装，则继续按说明书要求进行安装，直到出现安装成功等有关信息后，方为正确安装。

7.1.2 单机环境下计算机病毒预防、清除、检测功能测试方法。 7.1.2.1 单机环境下预防功能测试方法。

7.1.2.1.1 引导型病毒的预防。

7.1.2.1.1.1 硬件产品预防功能测试方法 （1）将引导型病毒样本（软磁盘）插入驱动器A中，重新冷启动计算机系统； （2）无系统提示符出现，被测产品亦无任何提示或说明，即为停机，在表1“停机”项中填入“√”，进入（6）。 （3）启动过程中，被测产品有报警信息或发现病毒说明，则在附表1中“报警”项中填入“√”。如系统不能正常引导，则进入（6）。 （4）将测试盘插入A驱动器，运行下述命令： A＞DIR〔ENTER〕 A＞DIR C：〔ENTER〕 注：〔ENTER〕指回车键。 如被测产品有报警信息或发现病毒说明，则在表1“报警”项中填入“√”。 （5）取出测试盘。 （6）插入正版磁盘操作系统软盘，冷启动计算机系统。读出硬盘主引导区记录和DOS引导区记录，读出测试软盘的DOS引导区记录，分别与信息记录盘保存的正常引导程序逐字节进行比较，如不一致，则为“病毒已传染”，在表1“传染”项中填入“√”；否则为“阻 止病毒传染”，填入“×”。 （7）恢复测试环境。用正版磁盘操作系统冷启动计算机系统后，将信息记录盘中保存的硬盘主引导程序、硬盘DOS引导程序、测试盘DOS引导程序以及正版磁盘操作系统程序全部恢复到相应的磁盘中。测试盘重新复制正版磁盘操作系统。 （8）将所有引导型病毒样本按7.1.2.1.1.1逐个测试，结果填入表1中。 表1单机／工作站环境下预防病毒功能测试结果 产品名称： 发行号或序列号： 送检单位： 病毒样本编号 停 机 报 警 传 染 备 注 检测单位（公章）： 检测人： 检测时间：

7.1.2.1.1.2 软件产品预防功能测试方法 （1）将引导型病毒样本（软磁盘）插入驱动器A中，重新冷启动计算机系统； （2）运行目录检索命令，检索硬磁盘中的文件； （3）冷启动硬盘操作系统； （4）运行被测软件产品。被测产品有报警信息或发现病毒说明，则在附表1“报警”项中填入“√”；无系统提示符出现且不能继续操作，则在附表1“停机”款项同中填入“√”，停机后进入（8）； （5）将测试盘插入A驱动器，运行下述命令： A＞DIR〔ENTER〕 A＞DIR C：〔ENTER〕 注：〔ENTER〕指回车键。 如被测产品有报警信息或发现病毒说明，则在附表1“报警”项中填入“√”。 （6）取出测试盘，插入正版磁盘操作系统软盘，冷启动计算机系统。 （7）读出硬盘主引导区记录和DOS引导区记录，读出测试软盘的DOS引导区记录，分别与信息记录盘保存的正常引导程序逐字节进行比较，如不一致，则为“病毒已传染”，在表1“传染”项中填入“√”；否则为“阻止病毒传染”，填入“×”。 （8）恢复测试环境。同7.1.2.1.1.1（7）。 （9）将所有引导型病毒样本按7.1.2.1.1.2逐个测试，结果填入表1中。

7.1.2.1.2 文件型和复合型病毒的预防 （1）将文件型病毒样本软盘插入驱动器A中，运行一个计算机病毒样本。 （2）计算机病毒防治产品如给出发现病毒等有关信息，在表1中“报警”项填入“√”，如无任何提示且无系统提示符，则为停机，在表1“停机”项中填入“√”，停机后进入步骤（4）。 （3）出现系统提示符后，将测试软盘插入驱动器A中，运行扩展名为.EXE和.COM的文件；检索硬盘和软驱A的目录。被测产品有发现病毒等有关提示，在表1中“报警”项填入“√”；无系统提示符，且没有任何说明信息则为停机，在表1“停机”项中填入“√”。 （4）用正版磁盘操作系统冷启动计算机系统，将测试软盘和硬盘中的所有文件与正版磁盘操作系统所有文件的数量和内容进行比较,如不一致，则在表1中“传染”项中填入“√”，否则填入“×”。 （5）恢复测试环境 同7.1.2.1.1.1（7）。 （6）将所有文件型和复合型病毒样本按7.1.2.1.2中（1）～（5）逐个测试，结果填入表1中。 （7）运行编译程序和DOS命令，被测产品如有发现病毒等有关提示，则在表2中“误报警”项中填入“√”，否则填入“×”。 表2 单机环境下误报警测试结果 产品名称： 发行号或序列号： 送检单位： 序或命令名称 误报警 备注 检测单位（公章）： 检测人： 检测时间：

7.1.2.2 单机环境下计算机病毒防治产品检测功能测试方法

7.1.2.2.1 测试环境同

7.1.1 7.1.2.2.2 引导型、文件型和复合型计算机病毒的检测 （1）用正版磁盘操作系统冷启动计算机。 （2）启动被测产品的检测功能。逐个把病毒样本软盘插入驱动器A。如被测产品给出病毒名称，则在表3“提示病毒名称”项中填入“√”，否则为未发现病毒，填入“×”。 表3 单机／工作站环境下检测病毒功能测试结果 产品名称： 发行号或序列号： 送检单位： 样本编号 样本名称 提示病毒名称 备注 检测单位（公章）： 检测人： 检测时间：

7.1.2.3 单机环境下计算机病毒防治产品清除功能测试方法

7.1.2.3.1 测试环境同7.1.1 7.1.2.3.2 引导型计算机病毒的清除

7.1.2.3.2.1 软盘中引导型计算机病毒的清除 （1）用正版磁盘操作系统冷启动计算机系统，然后启动含有病毒清除功能的软硬件产品，逐个将引导型病毒样本软磁盘插入驱动器A，并清除。 （2）取出引导型计算机病毒样本磁盘，读出引导区信息，与正版磁盘操作系统引导区进行比较，或者与被测产品使用的引导程序进行比较，如一致，则为“清除”，并在表4“清除”项中填入“√”，否则为“未清除”，填入“×”。 表4 单机／工作站环境下清除病毒功能测试结果 产品名称： 发行号或序列号： 送检单位： 样本编号 样本名称 清 除 备 注 检测单位（公章）： 检测人： 检测时间： 7.1.2.3.2.2 硬盘中引导型计算机病毒的清除 （1）用病毒样本磁盘冷启动计算机系统，检索硬盘中的文件。 （2）用正版磁盘操作系统冷启动计算机系统，然后启动含有病毒清除功能的软硬件产品，并清除硬盘中的引导型病毒。 （3）读出硬盘主引导区和DOS引导区的信息，分别与信息记录盘保存的主引导、DOS引导程序进行比较，或者与被测产品所使用的主引导、DOS引导程序进行比较，如一致，则为“清除”，并在表4“清除”项中填入“√”，否则为“未清除”填入“×”。 （4）将所有引导型病毒样本按7.1.2.3.2.2中（1）～（3）逐个测试,结果填入表4中。

7.1.2.3.3 文件型和复合型计算机病毒的清除。 （1）用正版磁盘操作系统冷启动计算机系统。 （2）启动含有病毒清除功能的软硬件产品，将计算机病毒样本软盘插入A驱动器，逐个清除文件型和复合型病毒。 （3）将计算机病毒样本磁盘中的所有文件分别与宿主程序进行比较，如同时满足下述条件，在表4“清除”项中填入“√”，否则为“未清除”填入“×”。 a. 清除计算机病毒后的样本不得含有病毒程序。 b. 宿主程序应能正常运行。

7.2 网络测试环境和测试方法

7.2.1 网络测试环境

7.2.1.1 网络硬件环境 网络服务器一台。 网络工作站一台。 打印机一台。 上述设备的具体型号由公安部计算机管理监督部门予以公布。

7.2.1.2 网络软件环境和初始化 （1）正版网络操作系统一套。 （2）正版磁盘操作系统一套。 （3）引导型计算机病毒样本磁盘若干套，文件型和复合型计算机病毒样本磁盘若干套。 （4）格式化工作站硬盘，安装正版磁盘操作系统。 （5）格式化网络服务器硬盘，安装正版网络操作系统，建立计算机病毒目录。 （6）测试软磁盘、信息记录盘各一套，并分别复制正版磁盘操作系统。

7.2.1.3 网络环境下软件产品的安装 （1）用正版磁盘操作系统分别启动服务器和工作站，启动网络操作系统。 （2）根据软件产品安装说明进行安装，出现安装成功等有关信息后，方可正确安装。 7.2.2 网络环境下计算机病毒预防、检测、清除功能测试方法

7.2.2.1 网络环境下预防功能测试方法

7.2.2.1.1 服务器预防功能测试 （1）运行服务器中计算机病毒样本。 （2）被测产品给出发现病毒等有关信息，则为报警，在表5“报警”项中填入“√”；如被测产品无任何提示信息且无系统提示符出现，则为停机，在表5“停机”项中填入“√”。停机后进入（5）。 （3）将测试软盘插入工作站驱动器A中，分别运行服务器磁盘操作系统目录和测试盘中的文件，文件扩展名为.EXE和.COM；检索服务器磁盘操作系统目录和测试盘中的所有文件。 （4）将工作站与服务器脱机，取出测试磁盘。 （5）用正版磁盘操作系统冷启动工作站，将服务器中磁盘操作系统目录下所有文件及测试软盘中的所有文件，与正版磁盘操作系统文件的内容和数量进行比较，如果不一致，则为“传染”，在表5传染项中填入“√”，否则为“阻止病毒传染”填入“×”。 （6）恢复工作站环境。 同7.1.2.1.1.1（7）。 （7）将所有文件型和复合型病毒样本按7.2.2.1.1逐个测试，结果填入表5中。 　 表5 服务器预防病毒功能测试结果 　 产品名称： 发行号或序列号： 送检单位： 病毒样本编号 停 机 报 警 传 染 备 注 检测单位（公章）： 检测人： 检测时间： 　

7.2.2.1.2 工作站预防功能测试方法 同单机环境下计算机病毒预防功能测试7.1.2.1.2。

7.2.2.2 网络环境下检测功能测试方法

7.2.2.2.1 服务器检测功能测试方法 （1）启动网络服务器，建立计算机病毒子目录。 （2）将所有文件型和复合型计算机病毒样本复制到计算机病毒子目录下。 （3）安装网络环境下的计算机病毒防治产品，同7.2.1.3。 （4）启动待测产品的检测功能，将检测结果填入表6中，同7.1.2.2.2（2）。 　 表6 服务器检测病毒功能测试结果 　 产品名称： 发行号或序列号： 送检单位： 样本编号 样本名称 提示病毒名称 备 注 检测单位（公章）： 检测人： 检测时间：

7.2.2.2.2 工作站检测功能测试方法 同单机环境下计算机病毒检测功能测试方法7.1.2.2.2。

7.2.2.3 网络环境下清除功能测试方法

7.2.2.3.1 服务器清除功能测试方法 （1）启动网络服务器，建立计算机病毒子目录。 （2）将所有文件型和复合型计算机病毒样本复制到计算机病毒子目录下。 （3）安装网络环境下的计算机病毒防治产品，同7.2.1.3。 （4）启动待测产品的清除功能，清除计算机病毒子目录下的病毒。 （5）将计算机病毒子目录下的所有文件与宿主程序进行比较，同7.1.2.3.3（3），结果填入表7中。 　 表7 服务器清除病毒功能测试结果 产品名称： 发行号或序列号： 送检单位： 样本编号 样本名称 清 除 备 注 检测单位（公章）： 检测人： 检测时间：

7.2.2.3.2 工作站计算机病毒清除功能测试方法 同单机环境下计算机病毒清除功能测试方法7.1.2.3。

8 将测试结果归纳、整理，填入表8中。

表8 测试结果统计 产品名称： 发行号或序列号： 送检单位： 结 果 单 机／网 络 测试环境 预 防 检 测 清 除 测试样本总数 实际测出数 备 注 检测单位（公章）： 检测人： 检测时间：

附加说明：

本标准由中华人民共和国公安部提出。

本标准由北京市公安局计算机安全监察处起草。

本标准主要起草人欧阳昌明、王世铎、刘达、王学海、黄小苏。