Created: 2006-08-09 00:00:00
提供最準確的病毒清單
Wildlist Organization
網址: http://www.wildlist.org
閱讀有關防毒技術的文章時,我們經會聽到 Wildlist 這個字眼,事實上它就是由 Wildlist Organization 提供的在野 (in the wild) 病毒清單,備受各大防毒機構所推崇,包括 ICSA Labs、Secure Computing 和 Virus Bulletin 等。該機構源於約 1993 年,由一名熱心人士 Joe Wells 所創辦,目的為整理當時多份病毒清單,並把該報告交由幾位防毒專家作參考,並協助修改與補充遺漏的部分。公佈後不久,Wildlist 即成為業界用以測試與認識產品的重要標準,現時約有 70 名頂尖防毒研究人員參與其工作,每月重新修訂該清單並向外發佈。
由業界攜手修訂清單內容
現時,Wildlist Organization 已成為全球主要防毒訊息的提供者,以讓防毒業界所有成員可快速而安全地分享最緊急的病毒樣本;它所提供的 Wildlist 是採集自全球權威反病毒組織與專家,並由防毒研究者 Joe Wells 主力維護與更新。該列表裡包含的病毒是當時有實際感染和傳播行為而被發現的病毒種類。為了確保 Wildlist 裡的病毒是真正流行於現實網絡世界,Wildlist Organization 對病毒的收錄採取非常嚴謹的態度,首先必須有兩位或以上的病毒專家向該機構報告發現該款病毒,該報告亦必須附有病毒的樣例,才能列入主要清單中。這樣 Wildlist 的收集過程雖然較慢,但卻可確保所有收錄病毒都是確實存在與具破壞性,而不是單純而無意義的統計數字。
Wildlist 清單內容的分類
由於病毒發展迅速,現時 WildList 已由當初的簡單清單,演化成包含多個章節的大型清單,以確保能夠盡可能包含目前已被偵測出的各種病毒品種,當中包括「主要清單」(Main List) 與「補充清單」 (Supplemental List)。
「主要清單」(Main List) 當中的病毒品種必須由 2 位專家所呈報,於 2006 年 4 月就有 667 種病毒,而每月修整的幅度不過是增減 10 至 30 種左右。而「補充清單」 (Supplemental List) 則包含了只有一位研究員呈報的病毒,在 2006 年 4 月就有 3606 種,與主要清單合計起來就是 4273 種,所以真實在網絡世界裡流傳的病毒種類其實並不算太多。
國際最權威病毒測試機構
Virus Bulletin
網址 www.virusbtn.com
Virus Bulletin 可說是國際間最有名、歷史最悠久的病毒測試機構之一,由 1989 年於英國成立至今,一直致力於提供 PC 使用者公正、客觀、獨立的防毒相關訊息。同時它也定期出版以有害軟件與垃圾郵件防護、偵測及移除為題材的雜誌 Virus Bulletin magazine,當中刊載了由業界專家撰寫的技術文章、最新病毒威脅分析、探索反病毒領域的最新進展、並提供防毒軟件的詳盡測試報告。同時,它也不時於世界各地舉辦不同題材的 VB 會議 (VB Conference),給予業界代表們聚首一堂討論最新研究成果與分享新技術的機會。
最嚴謹的防毒標準 VB100
Virus Bulletin 其中一個最大成就,就是以獨立公正而嚴謹的態度,定期對各大防毒品牌產品進行測試,其報告備受全世界防毒業界所公認與推崇。測試著重防毒軟件對病毒偵察率與搜描速度的表現,其中能夠在主動的手動掃瞄 (On-demand) 與被動的檔案存取器 (On-access) 2 種模式下均能完全辨認出 Wildlist 清單中的所有病毒,並在掃瞄過程中沒有任何誤判情況,方可取得 Virus Bulletin 的最高榮譽 VB100 獎狀。
同時,由於網絡上的病毒不斷更新,防毒品牌表現亦有好有壞,Virus Bulletin 每 2 個月便會針對不同的電腦軟硬件平台進行防毒測試,包括 Linux 與服務器平台等,官方指出應以防毒軟件取得 VB100 次數多寡來衡量其表現。雖然 Wildlist 裡提供的當月活躍在野病毒不算很多,但要連續在多次測試中取得 VB100 卻不是一件容易的事,也表示出該軟件在長時間測試裡也能 100% 攔截所有現實世界裡的任何病毒感染。
最新 6 月發表的測試報告,只有不多於三分一的防毒軟件是可以 100% 掃除病毒,參與測試的品牌接近 30 套,而提供測試的病毒則是世界各地的防電腦病毒專家每月得到的新發現,收綠於 Wildlist 上的病毒庫。測試報告分三類及不同平台去偵察病毒的成功率及速度,當中只有 9 套防毒軟件可100%完成任務,僅 4 間機構取得 VB100 獎狀,但只有 ESET NOD32 連續取得 38 次,是得獎次數最多的品牌。
最強主動式偵測測試
AV-Comparatives
網址 www.av-comparatives.org 剛才我們介紹過的 Virus Bulletin,可算是在野 (In the Wild) 病毒的測試權威,其報告結果用作參考各大防毒軟件的常注存取掃瞄儀與手動掃瞄儀的準確性可說無庸置疑。但各軟件對於面對未知病毒的掃瞄與防護能力,在 Virus Bulletin 報告就顯然並無著墨,有關測試我們可參考另一國際權威測試機構 AV-Comparatives。
跟 Virus Bulletin 一樣,AV-Comparatives 同樣是國際性的獨立測試機構,測試由奧地利人 Andreas Rechengasse 主理,並為保證評測獨立性與公正性,所有測試項目均不接受任何贊助。截至 2006 年 7 月為止,AV-Comparatives 的防毒軟件測試對像一共有 16 個品牌,而測試項目則分為手動掃瞄 (On-demand comparative) 與主動式智能檢測掃瞄 (Retrospective / ProActive Test),每年各進行 2 次測試。
最龐大的 42 萬種病毒取樣?
AV-Comparatives 進行手動掃瞄測試的最大特色是病毒取樣庫龐大,目前該病毒庫已增至 42 萬種以上,數量相當驚人。然而,我們在上一篇文章裡已討論過,單憑數量並不足以證明測試的完整性,畢竟 42 萬種之巨難免讓人質疑有多少是真正存在於網絡世界裡,能有機會感染消費者的電腦系統?又有多少是僅收納在封閉的實驗室環境裡?站在實用性為依歸的立場來看,以 AV-Comparatives 作手動掃瞄測試的輔助參考數據,作為 Virus Bulletin 的補充亦未嘗不可。
測試掃毒引擎對未知病毒的偵測能力
AV-Comparatives 最突出的測試莫過於主動式智能檢測掃瞄 (Retrospective Test)。由於不少新病毒設計上已故意避開防毒軟件採用的特徵檢測系統 (Signature-based Detection),因此大部分防毒軟件都加入了直接分析毒行為模式來判斷未知病毒的主動防護 (Proactive Protection),像 ESET NOD32 就內建了 ThreatSense 技術,因此也有主動式智能檢測掃瞄測試的需要。
測試方法則採用凍結防毒軟件引擎與病毒數據庫 3 個月,並在這 3 個月內出現的病毒新品種作為測試取樣。在測試評核中,除了會考慮防毒軟件能認出的新病毒比例外,亦會考慮其掃瞄速度與病毒誤判數量,最後給予各參賽防毒軟件 3 個不同的成績評分,包括最佳的「ADVANCED+」、滿意的「ADVANCED」與一般的「STANDARD」。
舉例來說,在 5 月的主動式智能檢測掃瞄測試中,各防毒軟件對 3 個內的新病毒品種成功掃率為 7% 至 58%,其中表現最優秀的為 ESET NOD32,是 4 個取得 ADVANCED+ 評分品牌中的最高分者。大家看到這裡或會驚訝僅 5 成多掃瞄率似乎有點偏低,而且各品牌間的分歧這麼大!但事實上 AV-Comparatives 在測試前也說明了,單看掃瞄率高低並不完全正確,因為沒有用戶會依賴 3 個月前的智能掃瞄引擎來防護自己的電腦系統;它只是用作抵抗新病毒出現後尚未更新病毒數據庫的一段短時間,一般防毒品牌更新病毒數據庫不過需要數小時至數天時間。測試目的則是給予讀者一個基本概念,瞭解單靠主動式智能引擎來捍衛未來 3 個月的新病毒會出現怎樣的景況。比率高低顯示出技術的差異,但不代表用戶採用這些品牌在正常更新下的中毒機會率。
除了以上 3 所獨立組織外,國際間還有多家同類型機構進行電腦病毒相關測試,不過卻以以上組織公信力與參考價值最高。另外,在參考各測試報告並選擇防毒軟件品牌時,應以長時間多次報告的綜合成績來評定其效率,畢竟病毒種類日新月異,路遙才能知馬力啊。