别受骗！慎防故弄玄虚的测试报告？
解构防毒程序的正确测试运作 (一)

若你想购买的只是一张显示卡，又或是一条 DDR2 内存，报告误差所影响的可能只是效能上的 10% 差异，可叹的只是金钱上的损失；但若是关乎信息安全的病毒防护，被误导选购了错漏百出的防毒软件，任由病毒肆虐，个人信息与重要数据毁于一旦，后果实在不堪设想！在本篇文章中，我们将会探讨何谓防毒软件的应有功能，及揭露坊间防毒软件测试中的错漏之处，认识正确防毒软件测试的步骤与评核准则。
防毒软件的 3 项诉求与测试目的

让我们先来看看普遍用家对防毒程序的基本诉求吧：

防毒软件测试的常见谬误 - 「何谓病毒 ？」

若要测试防毒软件是否达标，最直接的办法就是以刚才提及的 3 项基本原则作基准，考核防毒软件是否能顺利过关。然而，市面不少防毒软件测试者，在制订测试平台与实验过程中犯下常见谬误，多是错误揣释有关原则，最常见的莫过于对误解「计算机病毒」与测试取样错误。

正确区别「计算机病毒」与其它「恶意程序」

计算机病毒 (Computer Virus) 一词由来已久，相比起其后出现的计算机蠕虫 (Worms)、间碟软件 (Spyware)、广告软件 (Adware)、特洛伊木马 (Trojan) 等要早得多，但皆可统称为恶意程序 (Malicious Code)。虽然以上各种均对计算机产生不同程度的伤害，包括损坏数据、侵犯私隐、盗取重要信息等，但业界对「计算机病毒」的性质却是强调其「自我复制能力」及「散播性」，其中计算机蠕虫具备较相近的特质，包括能够自行复制众多分身档案，并能透过网络爬行至其它计算机进行感染。因此，间碟软件、广告软件与特洛伊木马均不能归类为计算机病毒。

样本数量并不是一切！

我们经常看到很多防毒软件测试，强调测试取样数目达数千或上万种，试图以庞大的数量来证明测试报告的公信力，但实际上这种做法并不正确。首先，在统计学上样本选择应以健全的统计为基础，样本数量与选取方式亦同样重要。以数量计算，现时已知的计算机病毒超过 7 万种，数量相当惊人！若测试者强调样本数量庞大，却仅有数千款病毒取样，难免会让人质疑取样的准则与代表性，甚至怀疑测试结果受人控制。

在野病毒与实验室病毒

即使取样数目达至数万，这种测试手法却是不切实际！虽然业界已知病毒数量达 7 万种以上，但其中多达 6 万多种已属恐龙级的远古病毒，早已随计算机软硬件技术演进而烟销魂散，例如以感染 DOS 档案为生的病毒等。现时，病毒清单里仅不足 1 成是仍活跃于互联网上，数量若为 5 千种，这种生存状态称为在野 (in the wild)。

同时，全数 7 万种病毒中亦有不少品种，是创造于封闭性的实验室中，用作学术研究或其它产品实验用途，这类品种称为实验室病毒 (Zoo Virus)。由于这些病毒并未曾对外散布与流行，因此构成的危险性为零，在防毒软件测试中亦应予以忽略。

测试应切合现实所需

站在消费者立场，防毒软件提供足够的病毒保护与维持低效能耗费，这样才称得上明智之选。既然，仅在野病毒会对计算机用户构成威胁，若有防毒软件盲目加大病毒数据库，务求将全无威胁性的所有实验室病毒也纳入其中，客户端计算机需要处理的病毒数据将增大数十倍以上，将占用更多内存、硬盘空间与网络传送频宽，大大浪费系统资源；更甚的是，致使计算机效能变差，更可能促使没耐性的用户索性关闭防毒功能，任由计算机门户大开，一发不可收拾。

既然防毒软件测试目的是提供消费者的选购参考，自然亦应切合现实所需，以今时今日造成构成危机的病毒种类作样本，而非单纯为夸大其词而滥竽充数。

最具权威的在野病毒清单

计算机病毒随着计算机技术更新而增减，要建立一份在野病毒的清单并不容易，必须密切注意网络上的最新病毒状况，不停进行更新。互联网上最权威的在野病毒清单则首推 WildList，网址为 www.wildlist.org，它是由热心人士 Joe Wells 于 1993 创办，现时已成为业界用以测试与认证防毒产品的标准。该组织约有 70 名顶尖防毒研究员，每月对清单进行修订与发布工作，绝大部分国际防毒软件测试权威都以其清单为病毒取样蓝本，有兴趣的读者不妨浏览。

WildList 由国际权威病毒专家组成，并每月合力更新在野病毒清单。


只要观看一下每月 WildList 中，就会知道平均每月活跃的病毒不过数千种。

别枉称正常档案为病毒！

消费者容易被庞大的数字迷惑，甚至有网站以十多万「病毒样本」来强调报告的权威性。刚才已提及过数量的谬误，但相信大家不禁要问：「病毒清单实际才得 7 万多，多出来的几万样本从可而来？」这问题则归咎于 2 大原因，其一为错误把非病毒档案也归类为样本。

最常见是测试者的取样过程，透过不同品牌的防毒软件进行扫瞄，把所有曾被任何一款扫瞄器标示为「病毒」的档案收集到样本库。事实上，由于不同防毒软件的扫瞄引擎设计不同，加上安全限制与敏感度各异，有防毒软件把正常档案误当「病毒」也并不出奇！如果以这种方式取样，样本库中将同时夹杂有毒与无毒的档案，那么一来测试结果的优胜者就是误测冠军，反而与实际扫毒能力拉不上一点关系。

也有些情况是测试者或扫瞄器，故意将病毒相关的非病毒档案当作成「病毒」取样。不少病毒是会利用其它档案作辅助工具，例如运用日志档案、修改登录文件、又或是已损坏的旧病毒分身等。严格来说，这些档案不能称为病毒，因为它们并不具备病毒应有的「自我复制」能力与「感染性」，故此它们并不能构成计算机病毒应有的危险特性，在测试时应予以忽略。

错误警报的危险性！

别以为「宁枉莫纵」的防毒手法比较安全，试想像若防毒程序误把 Windows 或常用应用程序的重要系统档案当成「病毒」，用户信任它的判断并将之删除或修改，将可能导致系统不稳、应用程序与操作系统无法启动等严重问题，因此评审防毒软件对病毒的扫瞄成功率外，亦应考虑错误警报等级。

一旦误信错误警报，错把系统档案删除，便有可能导致死机。

以人为方式修改或创造的「新病毒」？

除了把非病毒档案归类为样本外，促使病毒测试样本增大的另一原因，就是测试者以人为方式修改病毒的特性或种类，甚至利用各种手法创造非实际生活中出现的病毒品种，以不当的手法歪曲测试环境。

最常见的情况就是妄自修改与损坏病毒档案的名称或扩展名，例如把 myscreensaver.exe 修改成 myscreensaver.ex$，这里不单把病毒的「名称」特征歪曲了；亦把病毒由 .EXE 执行档变成 .EX$ 非执行档，变成无法执行与无法散播，完全歪曲了「属性」特征。由于这种改变非出于病毒本身的变化，因此若有防毒软件将之忽略是相当合理的。

其次则是测试者自行修改病毒的在野状态，使它形式一种新的变种。无论因何原因，改变病毒意味着出现新病毒，这是不道德与不专业的做法，就等于医学博士为证明某种新疫苗的能力而创制出新品种的天花绝症一样可耻。也有情况是测试者利用某些仿真病毒产生器，透过仿真病毒的一些程序代码，运算出一系列的仿真病毒，但并不存在自我复制能力与感染特性。正如前文所述，防毒软件测试以消费者为对象，应表现出在实际日常环境下的扫毒表现，这类经由测试者修改或创制的样本并非真实病毒，甚至根本是假病毒，以此为样本谈不上测试防毒软件对真实世界病毒的侦测能力。

切忌主观混淆病毒与非病毒档案

刚才我们已提及过，病毒与其它恶意程序之间存有截然不同的本质，而市场上的产品亦倾向以恶意程序类别来划分不同功能的计算机安全防护产品。然而，部分测试者却主观地认为一些病毒以外的恶意程序，例如木马、间碟软件与广告软件，也同样应列入病毒样本中作测试之用，亦以为防毒软件也应同样拥有扫瞄其它恶意程序的能力。事实上，纵然有些防毒软件的引擎添加了相关的扫瞄功能，但在以「病毒」为最终目的的测试中，在样本中混入非病毒档案将对专注于病毒防护的品牌明显不公平，更会混淆了产品对病毒扫瞄的真实结果。情况就像进行H5N1 禽流感疫苗测试，但在样本中却混入了普通流行性感冒的样本一样可笑。

一口气说完了防毒软件测试在制订测试样本中常犯的谬误，那么测试可以进行了吧？慢着！即使有了正确的样本，测试过程中还是有很多容易疏忽之处，造成测试不公。下期我们将集中讨论测试方法，敬请留意。