別受騙!慎防故弄玄虛的測試報告? 解構防毒程式的正確測試運作 (一)


2006-08-09

上一篇新聞 下一篇新聞

ESETESET NOD32 Hong Kong

作為精明的消費者,在選購各類電腦軟硬件前,大概也會花點時間上網搜尋、又或從報刊裡閱讀有關產品的測試比 拚,務求以最優惠的價錢,買到最超值的商品。然而,這些比拚是否公正可靠,測試過程與方法是否務實可行,執行測試者是否專業誠實,是判斷測試報告可信性的 重要指標。也因為這些因素,聰明的讀者往往會發現,有時電腦雜誌或網站報導對某些產品撰寫的比拚測試,常常會得出截然不同的結論。所謂「差之毫釐,謬之千 里」,測試過程的小失誤,結論便可能完全改寫,因此在相信報告內容前,有必要深入瞭解測試的可信性。

若你想購買的只是一張顯示卡,又或是一條 DDR2 內存,報告誤差所影響的可能只是效能上的 10% 差異,可歎的只是金錢上的損失;但若是關乎信息安全的病毒防護,被誤導選購了錯漏百出的防毒軟件,任由病毒肆虐,個人信息與重要數據毀於一旦,後果實在不 堪設想!在本篇文章中,我們將會探討何謂防毒軟件的應有功能,及揭露坊間防毒軟件測試中的錯漏之處,認識正確防毒軟件測試的步驟與評核準則。
防毒軟件的 3 項訴求與測試目的

讓我們先來看看普遍用家對防毒程序的基本訴求吧:

  1. 必須成功偵測與攔截所有電腦病毒。
  2. 掃瞄系統必須快速準確。
  3. 當互聯網出現新病毒時,防毒程序必須能迅速應對。

作為防毒軟件的基本原則,相信大家也 不會反對。事實上,各大防毒軟件品牌也深明消費者所需,在其宣傳廣告裡大都標榜自己在這 3 方面有多出色,例如自誇「病毒數據庫數量有多龐大」、「掃瞄速度有多驚人」、「準確度高達 100%」等。可是,在幾乎每天都有新病毒出現的網絡世界裡,即使今天可完全偵測出所有潛伏的病毒,卻難保明天也同樣可以做得到!因此,防毒軟件的測試必 須定期進行,才能確保防毒軟件在任何時期也能達到標準,目標則是能掃瞄所有現實生活中有機會感染用戶的所有電腦病毒,確保消費者的電腦安全。

 

防毒軟件測試的常見謬誤 - 「何謂病毒 ?」

若要測試防毒軟件是否達標,最直接的辦法就是以剛才提及的 3 項基本原則作基準,考核防毒軟件是否能順利過關。然而,市面不少防毒軟件測試者,在制訂測試平台與實驗過程中犯下常見謬誤,多是錯誤揣釋有關原則,最常見 的莫過於對誤解「電腦病毒」與測試取樣錯誤。

正確區別「電腦病毒」與其它「惡意程序」

電腦病毒 (Computer Virus) 一詞由來已久,相比起其後出現的電腦蠕蟲 (Worms)、間碟軟件 (Spyware)、廣告軟件 (Adware)、特洛伊木馬 (Trojan) 等要早得多,但皆可統稱為惡意程序 (Malicious Code)。雖然以上各種均對電腦產生不同程度的傷害,包括損壞數據、侵犯私隱、盜取重要信息等,但業界對「電腦病毒」的性質卻是強調其「自我複製能力」 及「散播性」,其中電腦蠕蟲具備較相近的特質,包括能夠自行複製眾多分身檔案,並能透過網絡爬行至其它電腦進行感染。因此,間碟軟件、廣告軟件與特洛伊木 馬均不能歸類為電腦病毒。


樣本數量並不是一切

我 們經常看到很多防毒軟件測試,強調測試取樣數目達數千或上萬種,試圖以龐大的數量來證明測試報告的公信力,但實際上這種做法並不正確。首先,在統計學上樣 本選擇應以健全的統計為基礎,樣本數量與選取方式亦同樣重要。以數量計算,現時已知的電腦病毒超過 7 萬種,數量相當驚人!若測試者強調樣本數量龐大,卻僅有數千款病毒取樣,難免會讓人質疑取樣的準則與代表性,甚至懷疑測試結果受人控制。

在野病毒與實驗室病毒

即使取樣數目達至數萬,這種測試手法卻是不切實際!雖然業界已知病毒數量達 7 萬種以上,但其中多達 6 萬多種已屬恐龍級的遠古病毒,早已隨電腦軟硬件技術演進而煙銷魂散,例如以感染 DOS 檔案為生的病毒等。現時,病毒清單裡僅不足 1 成是仍活躍於互聯網上,數量若為 5 千種,這種生存狀態稱為在野 (in the wild)。

同時,全數 7 萬種病毒中亦有不少品種,是創造於封閉性的實驗室中,用作學術研究或其它產品實驗用途,這類品種稱為實驗室病毒 (Zoo Virus)。由於這些病毒並未曾對外散佈與流行,因此構成的危險性為零,在防毒軟件測試中亦應予以忽略。

測試應切合現實所需

站 在消費者立場,防毒軟件提供足夠的病毒保護與維持低效能耗費,這樣才稱得上明智之選。既然,僅在野病毒會對電腦用戶構成威脅,若有防毒軟件盲目加大病毒數 據庫,務求將全無威脅性的所有實驗室病毒也納入其中,客戶端電腦需要處理的病毒數據將增大數十倍以上,將佔用更多內存、硬盤空間與網絡傳送頻寬,大大浪費 系統資源;更甚的是,致使電腦效能變差,更可能促使沒耐性的用戶索性關閉防毒功能,任由電腦門戶大開,一發不可收拾。

既然防毒軟件測試目的是提供消費者的選購參考,自然亦應切合現實所需,以今時今日造成構成危機的病毒種類作樣本,而非單純為誇大其詞而濫竽充數。

最具權威的在野病毒清單

電腦病毒隨著電腦技術更新而增減,要建立一份在野病毒的清單並不容易,必須密切注意網絡上的最新病毒狀況,不停進行更新。互聯網上最權威的在野病毒清單則 首推 WildList,網址為 www.wildlist.org,它是由熱心人士 Joe Wells 於 1993 創辦,現時已成為業界用以測試與認證防毒產品的標準。該組織約有 70 名頂尖防毒研究員,每月對清單進行修訂與發佈工作,絕大部分國際防毒軟件測試權威都以其清單為病毒取樣藍本,有興趣的讀者不妨瀏覽。

 WildList Organization
WildList 由國際權威病毒專家組成,並每月合力更新在野病毒清單。 

 只要觀看一下每月 WildList 中,就會知道平均每月活躍的病毒不過數千種
只要觀看一下每月 WildList 中,就會知道平均每月活躍的病毒不過數千種。

別枉稱正常檔案為病毒

消費者容易被龐大的數字迷惑,甚至有網站以十多萬「病毒樣本」來強調報告的權威性。剛才已提及過數量的謬誤,但相信大家不禁要問:「病毒清單實際才得 7 萬多,多出來的幾萬樣本從可而來?」這問題則歸咎於 2 大原因,其一為錯誤把非病毒檔案也歸類為樣本。

最 常見是測試者的取樣過程,透過不同品牌的防毒軟件進行掃瞄,把所有曾被任何一款掃瞄器標示為「病毒」的檔案收集到樣本庫。事實上,由於不同防毒軟件的掃瞄 引擎設計不同,加上安全限制與敏感度各異,有防毒軟件把正常檔案誤當「病毒」也並不出奇!如果以這種方式取樣,樣本庫中將同時夾雜有毒與無毒的檔案,那麼 一來測試結果的優勝者就是誤測冠軍,反而與實際掃毒能力拉不上一點關係。

也 有些情況是測試者或掃瞄器,故意將病毒相關的非病毒檔案當作成「病毒」取樣。不少病毒是會利用其它檔案作輔助工具,例如運用日誌檔案、修改登錄文件、又或 是已損壞的舊病毒分身等。嚴格來說,這些檔案不能稱為病毒,因為它們並不具備病毒應有的「自我複製」能力與「感染性」,故此它們並不能構成電腦病毒應有的 危險特性,在測試時應予以忽略。

 

錯誤警報的危險性!

別以為「寧枉莫縱」的防毒手法比較安全,試想像若防毒程序誤把 Windows 或常用應用程序的重要系統檔案當成「病毒」,用戶信任它的判斷並將之刪除或修改,將可能導致系統不穩、應用程序與操作系統無法啟動等嚴重問題,因此評審防 毒軟件對病毒的掃瞄成功率外,亦應考慮錯誤警報等級。

一旦誤信錯誤警報,錯把系統檔案刪除,便有可能導致死機
一旦誤信錯誤警報,錯把系統檔案刪除,便有可能導致死機。

以人為方式修改或創造的「新病毒」?

除了把非病毒檔案歸類為樣本外,促使病毒測試樣本增大的另一原因,就是測試者以人為方式修改病毒的特性或種類,甚至利用各種手法創造非實際生活中出現的病毒品種,以不當的手法歪曲測試環境。

最 常見的情況就是妄自修改與損壞病毒檔案的名稱或擴展名,例如把 myscreensaver.exe 修改成 myscreensaver.ex$,這裡不單把病毒的「名稱」特徵歪曲了;亦把病毒由 .EXE 執行檔變成 .EX$ 非執行檔,變成無法執行與無法散播,完全歪曲了「屬性」特徵。由於這種改變非出於病毒本身的變化,因此若有防毒軟件將之忽略是相當合理的。

其 次則是測試者自行修改病毒的在野狀態,使它形式一種新的變種。無論因何原因,改變病毒意味著出現新病毒,這是不道德與不專業的做法,就等於醫學博士為證明 某種新疫苗的能力而創製出新品種的天花絕症一樣可恥。也有情況是測試者利用某些仿真病毒產生器,透過仿真病毒的一些程序代碼,運算出一系列的仿真病毒,但 並不存在自我複製能力與感染特性。正如前文所述,防毒軟件測試以消費者為對象,應表現出在實際日常環境下的掃毒表現,這類經由測試者修改或創製的樣本並非 真實病毒,甚至根本是假病毒,以此為樣本談不上測試防毒軟件對真實世界病毒的偵測能力。

切忌主觀混淆病毒與非病毒檔案

剛才我們已提及過,病毒與其它惡意程序之間存有截然不同的本質,而市場上的產品亦傾向以惡意程序類別來劃分不同功能的電腦安全防護產品。然而,部分測試者 卻主觀地認為一些病毒以外的惡意程序,例如木馬、間碟軟件與廣告軟件,也同樣應列入病毒樣本中作測試之用,亦以為防毒軟件也應同樣擁有掃瞄其它惡意程序的 能力。事實上,縱然有些防毒軟件的引擎添加了相關的掃瞄功能,但在以「病毒」為最終目的的測試中,在樣本中混入非病毒檔案將對專注於病毒防護的品牌明顯不 公平,更會混淆了產品對病毒掃瞄的真實結果。情況就像進行H5N1 禽流感疫苗測試,但在樣本中卻混入了普通流行性感冒的樣本一樣可笑。

一口氣說完了防毒軟件測試在制訂測試樣本中常犯的謬誤,那麼測試可以進行了吧?慢著!即使有了正確的樣本,測試過程中還是有很多容易疏忽之處,造成測試不公。下期我們將集中討論測試方法,敬請留意。

關於 Version 2 Limited
Version 2
Limited 是亞洲其中一間最有活力的IT公司,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,當中包括通訊系統、保安、網絡、多媒體及消費市場產品。透過 公司龐大的網絡、銷售點、分銷商及合作伙伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括香港、中國、台灣、新加坡、澳門等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企 及來自亞洲各城市的消費市場客戶。

如對產品有興趣,請瀏覽以下網址 :

ESET NOD32 防病毒系統

http://www.nod32.com.hk/
http://www.version-2.com/products/nod32

如對產品有任何問題,歡迎隨時與我們聯絡 !

香港 Hong Kong
查詢熱線 : (852) 2893 8860
台灣 Taiwan
查詢熱線 : 886 (02) 7718-3759
新加坡 Singapore
查詢熱線 : (65) 6220-8823
中國 China
查詢熱線 : (755) 8301-5850

上一篇新聞 下一篇新聞

返回前一頁