摘要：作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎，最近受到了一名安全研究人员的密切关注和审查，他在2011年黑帽大会上揭示了审查结果，结果对该产品不利。

第1页:研究人员表示：Sophos软件设计和实施存在严重缺陷 第2页:研究人员表示：Sophos软件设计和实施存在严重缺陷

　　作为漏洞猎人（Vulnerability hunter）的TavisOrmandy，白天是Google公司的一名信息安全工程师，在黑帽大会上作完演讲后，预计他将把他的发现写成书面形式，同时还有他剖析Sophos引擎所使用的一些工具。
　　
　　Ormandy表示，他在分析中发现，Sophos软件建立和匹配病毒特征使用的是弱或过时的加密方式，过多的依赖于混乱的安全（relies on obfuscation for security too often），而且在其他问题中无法理解某些开发技术。
　　
　　Ormandy在演讲开始时解释道，反病毒产品使用户不用再不得不对他们的安全作出信任决定（keep users from having to make trust decisions about their security）；但代价是攻击面增加了。他承认这是一个适当的交易，因为病毒感染需要迅速采取行动。但供应商们不会公布在他们的防毒产品技术规格，为了防止攻击者利用他们的产品。
　　
　　“我做该项目的意图是提供Sophos反病毒产品缺失的技术规格，从而帮助实现更彻底的反病毒评价，”Ormandy说道，“这样，用户在想要实施反病毒技术时，关于是否应该使用这种产品就可以作出明智的决定。”
　　
　　为了分析该产品的设计和实施，Ormandy对该产品进行了逆向工程；在他的谈话中，他并没有谈到漏洞。他发现的设计问题是使用弱加密散列函数，CRC32，他说这会影响对已知病毒匹配的签名的质量。他发现一些校验是无法进行的，琐碎的或与代码无关的，且非自动生成的签名质量很差，因为签名方案通常比较弱。