别受骗!慎防故弄玄虚的测试报告?
解构防毒程序的正确测试运作 (二)
上一节,我们讨论了防毒软件测试常犯的测试取样失误,也说明了可以从何取得最新的世界权威病毒清单 Wildlist。接下来,让我们再看看正确的防毒软件测试中,测试过程该如何划分与怎样进行。目标为本的多种「病毒侦测」模式
刚才我们提及过,普遍用家对防毒程序的诉求,其中一项为「必须成功侦测与拦截所有计算机病毒。」,当中「病毒」一词即病毒取样已讨论过。那么有了正确的样本库,该可以进行「侦测与拦截」的测试吧?
但是,测试前我们还需要了解防毒软件针对日常计算机应用状况,而设计出多种目标为本的病毒扫描模式;同时,也因为用途不同,测试不同扫描模式时,对其实际拦截表现、扫描速度、扫描时对效能影响等,各表现在最终评分中所占的比重亦应有所调整。
计算机安全滤网 - 常注存取扫描仪
防毒软件最为人熟悉的扫描模式,绝对非常注存取扫描仪莫属。即使对计算机不甚熟悉的用户,在工具列里见到防毒软件的常注图示,使用时亦会倍感安心。事实上,绝大部分防毒软件在完成安装后,以后启动 Windows 时都会自动加载存取扫描仪到系统内存里,自始无论从互联网下载、磁盘抄写、光盘读取或开启硬盘里的档案等任何途径,一切存取档案动作均会受该扫描仪所监视,目的是确保档案在送抵系统进行处理前已经过完善的防毒扫描,可说是一层无形的安全滤网。
ESET NOD32 常注保护模件占用系统资源极少。
「侦测」与「拦截」 2 种不同测试
我们刚才提及过优秀的防毒软件必须做到「侦测与拦截」所有病毒,但应注意「侦测」与「拦截」属于两个不同的动作,作病毒测试时应将两者独立分开为 2 个项目。「侦测」测试的目的着重防毒引擎对病毒的扫描百分比,而「拦截」测试则应强调清除病毒威胁的完整度。
两个项目不应同时进行。各防毒软件在侦测到病毒后,由于其预设执行的拦截动作有所不同,将可能影响其后的余下侦测动作;例如某软件清除病毒档案时可能一并检查与清除其它衍生变种病毒档案,造成其后侦测时搜寻得到的病毒种类减少;又或是某几种病毒共享同一受感染档案,较早的拦截动作将之清除,将误导防毒软件的扫描效果。故此,测试「侦测」能力时应把发现病毒的预设处理设定为仅报告病毒,并写入到扫描日志里即可。
系统效能与稳定性
尽管防毒软件最重要的工作是侦测病毒,但测试常注存取扫描仪应进一步考虑在背景监察系统时,所耗用系统资源的多寡与实际对系统效能表现的影响。由于常注存取扫描仪在系统启动时已自动加载,任何档案存取都需要经过它的检查,直接对日常所有系统运作带来无时无刻的负担,因此耗用的资源越少,对操作效率的影响自然减至最低,越不被使用者察觉。最明显的测试方法是,直接开启一些档案,又或是加载一些程序,比较与关闭扫描仪时的速度相差。
与此同时,也由于长时间常注于系统内,扫描仪必须确保能完全兼容于操作系统与众多应用程序,而不会产生系统冲突,甚至当机的情况。试想想,扫描仪侦测能力再高,但却偶有引发程序冲突的问题,较差的稳定性不单暴露了感染病毒的机会,也严重地对使用者造成困扰。
主动出击扫毒 - 手动扫描仪
除了常注存取扫描仪外,在某些情况下使用者也会主动要求执行手动扫描,对系统所有档案、或特定扇区、数据夹或档案进行病毒扫描。基本上,测试手动扫描仪的方法与前者类同,包括仅进行侦测动作而不作任何拦截。同时,要注意手动扫描仪着重扫描病毒的准确度之余,也应注重效率,但由于手动扫描仪是由用户主动要求启动,因此对系统效能影响将较具容忍力,当然能减少系统资源耗用会更佳。相比之下,缩短系统扫描时间比较重要,毕竟使用者正在等待扫描结果。故此,在评价手动扫描仪时,应加入对系统影响与扫描速度 2 个评分。
统一的测试设定
为了适应使用者的不同需要,手动扫描仪通常设有多重选项微调扫描功能,其中默认值 (一般设定) 多为速度较快但省略度较高,而完全扫描 (最佳设定) 则耗用较多资源与较长时间、但完整扫描所有档案类型,因此在测试时必须理解各防毒软件正采用何种设定,与该设定的特性,统一有关设定才能达致公平的测试。
手动扫描仪多提供多种设定,以适应用户不同需要。
防范于未然 - 智能扫描仪
「当互联网出现新病毒时,防毒程序必须能迅速应对。」,但每次出现新病毒或新变种时,防毒软件公司需要时间更新病毒数据库,在这段时间便得靠智能扫描仪,透过分辨档案是否含有不知名的入侵危险来判定。由于智能扫描仪担当后补辅助角色,病毒样本也必须特别处理,因此智能扫描仪的测试更为困难,准备工作也必须更仔细,测试前应要注意以下几点。
入侵性与错误警报的平衡度
刚才提及过,智能扫描仪的运作原理,是透过侦测档案是否具备病毒的特性,与是否存在不知名的入侵危险,从而估计档案是否新病毒。在这种情况下,扫描仪设定的反应越活跃,可网罗的「危险档案」亦越多,但误报机率也会增加。
某些防毒软件对智能侦测扫描加入了等级设定,例如 ESET NOD32 设有正常模式及进阶模式 2 种,后者具备较强的侵略性,对危险性的触觉较强,也特别留意某些高危的档案种类。更具侵略性的扫描将无可避免增加误报机率,上一篇文章里我们也提及过误报的有关影响。在评核智能扫描仪时,应考虑实际应用时所产生的错误警报与侵略性之间是否取得理想的平衡点。
测试前先冻结数据库更新
测试智能扫描仪时,样本必须是各防毒软件的病毒数据库中未包含的品种,这样才能确保防毒软件运用智能扫描仪作侦测。然而,我们无法取得未来的病毒作样本,而采用实验室病毒测试亦无法表达扫描仪的实用性。最佳方法应为在一定时间内停止更新各防毒程序的病毒数据库,并收集这段时间内的新病毒作测试样本。注意一点,停止更新病毒数据库并不代表采用较旧版本的程序核心,因为智能扫描仪的侦测能力会随程序核心版本而更新,使用旧版本就不能反映现实环境里的实际侦测能力。因此,采用最新版本程序而不作病毒定义更新是最理想的做法。
与此同时,评核智能扫描仪表现前,应作较长时间的反复测试,原因之一是病毒样本数量较少。即使一个月不作病毒数据库更新,收集到的新病毒品种也可能只有数种至十数种不等,样本数量少也意味着测试准确度较低。
测试病毒时应只作侦测,把病毒记录至日志已足够。
防毒权威机构逐个捉
一连两期讨论了如何正确测试防毒软件,日后面对不同的防毒软件测试报告时亦可凭此考虑其可信性。然而,国际上有哪些具备公信力的防毒权威机构,又有哪些权威性的防毒测试报告可供参考呢?下期我们将深入介绍。