別受騙!慎防故弄玄虛的測試報告? 解構防毒程式的正確測試運作 (二)


2006-08-09

上一篇新聞 下一篇新聞

ESETESET NOD32 Hong Kong

上一節,我們討論了防毒軟件測試常犯的測試取樣失誤,也說明了可以從何取得最新的世界權威病毒清單 Wildlist。接下來,讓我們再看看正確的防毒軟件測試中,測試過程該如何劃分與怎樣進行。

目標為本的多種「病毒偵測」模式

剛才我們提及過,普遍用家對防毒程序的訴求,其中一項為「必須成功偵測與攔截所有電腦病毒。」,當中「病毒」一詞即病毒取樣已討論過。那麼有了正確的樣本庫,該可以進行「偵測與攔截」的測試吧?

但是,測試前我們還需要瞭解防毒軟件針對日常電腦應用狀況,而設計出多種目標為本的病毒掃瞄模式;同時,也因為用途不同,測試不同掃瞄模式時,對其實際攔截表現、掃瞄速度、掃瞄時對效能影響等,各表現在最終評分中所佔的比重亦應有所調整。

電腦安全濾網 - 常注存取掃瞄儀

防毒軟件最為人熟悉的掃瞄模式,絕對非常注存取掃瞄儀莫屬。即使對電腦不甚熟悉的用戶,在工具列裡見到防毒軟件的常注圖示,使用時亦會倍感安心。事實上, 絕大部分防毒軟件在完成安裝後,以後啟動 Windows 時都會自動加載存取掃瞄儀到系統內存裡,自始無論從互聯網下載、磁盤抄寫、光盤讀取或開啟硬盤裡的檔案等任何途徑,一切存取檔案動作均會受該掃瞄儀所監 視,目的是確保檔案在送抵系統進行處理前已經過完善的防毒掃瞄,可說是一層無形的安全濾網。

ESET NOD32 常注保護模件佔用系統資源極少
ESET NOD32 常注保護模件佔用系統資源極少。

「偵測」與「攔截」 2 種不同測試

我們剛才提及過優秀的防毒軟件必須做到「偵測與攔截」所有病毒,但應注意「偵測」與「攔截」屬於兩個不同的動作,作病毒測試時應將兩者獨立分開為 2 個項目。「偵測」測試的目的著重防毒引擎對病毒的掃瞄百分比,而「攔截」測試則應強調清除病毒威脅的完整度。

兩 個項目不應同時進行。各防毒軟件在偵測到病毒後,由於其預設執行的攔截動作有所不同,將可能影響其後的餘下偵測動作;例如某軟件清除病毒檔案時可能一併檢 查與清除其它衍生變種病毒檔案,造成其後偵測時搜尋得到的病毒種類減少;又或是某幾種病毒共享同一受感染檔案,較早的攔截動作將之清除,將誤導防毒軟件的 掃瞄效果。故此,測試「偵測」能力時應把發現病毒的預設處理設定為僅報告病毒,並寫入到掃瞄日誌裡即可。

系統效能與穩定性

儘管防毒軟件最重要的工作是偵測病毒,但測試常注存取掃瞄儀應進一步考慮在背景監察系統時,所耗用系統資源的多寡與實際對系統效能表現的影響。由於常注存 取掃瞄儀在系統啟動時已自動加載,任何檔案存取都需要經過它的檢查,直接對日常所有系統運作帶來無時無刻的負擔,因此耗用的資源越少,對操作效率的影響自 然減至最低,越不被使用者察覺。最明顯的測試方法是,直接開啟一些檔案,又或是加載一些程序,比較與關閉掃瞄儀時的速度相差。

與此同時,也由於長時間常注於系統內,掃瞄儀必須確保能完全兼容於操作系統與眾多應用程序,而不會產生系統衝突,甚至當機的情況。試想想,掃瞄儀偵測能力再高,但卻偶有引發程序衝突的問題,較差的穩定性不單暴露了感染病毒的機會,也嚴重地對使用者造成困擾。

主動出擊掃毒 - 手動掃瞄儀

除了常注存取掃瞄儀外,在某些情況下使用者也會主動要求執行手動掃瞄,對系統所有檔案、或特定扇區、數據夾或檔案進行病毒掃瞄。基本上,測試手動掃瞄儀的 方法與前者類同,包括僅進行偵測動作而不作任何攔截。同時,要注意手動掃瞄儀著重掃瞄病毒的準確度之餘,也應注重效率,但由於手動掃瞄儀是由用戶主動要求 啟動,因此對系統效能影響將較具容忍力,當然能減少系統資源耗用會更佳。相比之下,縮短系統掃瞄時間比較重要,畢竟使用者正在等待掃瞄結果。故此,在評價 手動掃瞄儀時,應加入對系統影響與掃瞄速度 2 個評分。

統一的測試設定

為了適應使用者的不同需要,手動掃瞄儀通常設有多重選項微調掃瞄功能,其中默認值 (一般設定) 多為速度較快但省略度較高,而完全掃瞄 (最佳設定) 則耗用較多資源與較長時間、但完整掃瞄所有檔案類型,因此在測試時必須理解各防毒軟件正採用何種設定,與該設定的特性,統一有關設定才能達致公平的測試。

手動掃瞄儀多提供多種設定,以適應用戶不同需要
手動掃瞄儀多提供多種設定,以適應用戶不同需要。

防範於未然 - 智能掃瞄儀

「當互聯網出現新病毒時,防毒程序必須能迅速應對。」,但每次出現新病毒或新變種時,防毒軟件公司需要時間更新病毒數據庫,在這段時間便得靠智能掃瞄儀, 透過分辨檔案是否含有不知名的入侵危險來判定。由於智能掃瞄儀擔當後補輔助角色,病毒樣本也必須特別處理,因此智能掃瞄儀的測試更為困難,準備工作也必須 更仔細,測試前應要注意以下幾點。

入侵性與錯誤警報的平衡度

剛才提及過,智能掃瞄儀的運作原理,是透過偵測檔案是否具備病毒的特性,與是否存在不知名的入侵危險,從而估計檔案是否新病毒。在這種情況下,掃瞄儀設定的反應越活躍,可網羅的「危險檔案」亦越多,但誤報機率也會增加。

某 些防毒軟件對智能偵測掃瞄加入了等級設定,例如 ESET NOD32 設有正常模式及進階模式 2 種,後者具備較強的侵略性,對危險性的觸覺較強,也特別留意某些高危的檔案種類。更具侵略性的掃瞄將無可避免增加誤報機率,上一篇文章裡我們也提及過誤報 的有關影響。在評核智能掃瞄儀時,應考慮實際應用時所產生的錯誤警報與侵略性之間是否取得理想的平衡點。

測試前先凍結數據庫更新

測試智能掃瞄儀時,樣本必須是各防毒軟件的病毒數據庫中未包含的品種,這樣才能確保防毒軟件運用智能掃瞄儀作偵測。然而,我們無法取得未來的病毒作樣本, 而採用實驗室病毒測試亦無法表達掃瞄儀的實用性。最佳方法應為在一定時間內停止更新各防毒程序的病毒數據庫,並收集這段時間內的新病毒作測試樣本。注意一 點,停止更新病毒數據庫並不代表採用較舊版本的程序核心,因為智能掃瞄儀的偵測能力會隨程序核心版本而更新,使用舊版本就不能反映現實環境裡的實際偵測能 力。因此,採用最新版本程序而不作病毒定義更新是最理想的做法。

與此同時,評核智能掃瞄儀表現前,應作較長時間的反覆測試,原因之一是病毒樣本數量較少。即使一個月不作病毒數據庫更新,收集到的新病毒品種也可能只有數種至十數種不等,樣本數量少也意味著測試準確度較低。

測試病毒時應只作偵測,把病毒記錄至日誌已足夠
測試病毒時應只作偵測,把病毒記錄至日誌已足夠。

防毒權威機構逐個捉

一連兩期討論了如何正確測試防毒軟件,日後面對不同的防毒軟件測試報告時亦可憑此考慮其可信性。然而,國際上有哪些具備公信力的防毒權威機構,又有哪些權威性的防毒測試報告可供參考呢?下期我們將深入介紹。

關於 Version 2 Limited
Version 2
Limited 是亞洲其中一間最有活力的IT公司,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,當中包括通訊系統、保安、網絡、多媒體及消費市場產品。透過 公司龐大的網絡、銷售點、分銷商及合作伙伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括香港、中國、台灣、新加坡、澳門等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企 及來自亞洲各城市的消費市場客戶。

如對產品有興趣,請瀏覽以下網址 :

ESET NOD32 防病毒系統

http://www.nod32.com.hk/
http://www.version-2.com/products/nod32

如對產品有任何問題,歡迎隨時與我們聯絡 !

香港 Hong Kong
查詢熱線 : (852) 2893 8860
台灣 Taiwan
查詢熱線 : 886 (02) 7718-3759
新加坡 Singapore
查詢熱線 : (65) 6220-8823
中國 China
查詢熱線 : (755) 8301-5850

上一篇新聞 下一篇新聞

返回前一頁