- UID
- 311
- UCC
-
- 声望
-
- 好评
-
- 贡献
-
- 最后登录
- 1970-1-1
|
原文网址 : http://taiwan.cnet.com/enterprise/column/0,2000062893,20101527,00.htm
根据众多防毒软体厂商的统计,目前全球网路里号称约有7万只已知的电脑病毒,并且均宣称自家产品可以防止此一庞大数量的威胁--那么在此提醒各位,千万别被这种幌子给唬了。这个“7万只病毒”的说法,有误导消费者之嫌,而更糟的是这形同空口说白话。为什么会这么讲呢?其实市面上的防毒软体,大多以侦测及防范正在流行中 (in the wild) 的几千种病毒为主,它们才是真正在网路上进行散布,并且可能感染使用者电脑的危险份子--而这个数目远比7万种少的多。
有鉴于此,在业界备受敬重的相关病毒防范组织,对病毒种类做出了区分。除了上述流行中的病毒之外,其他的 6 万多种病毒,都被归类为“实验室病毒” (zoo virus)--它们其实都已经算是恐龙级的上古时代电脑病毒,在现今的电脑系统中近乎绝迹。过去 20 年直到现在所出现成千上万种的病毒,只有一小部份才会真正在网路上繁殖与流行,其他大多数都已消失无踪。
这也就是为什么现今的防毒软体厂商,在测试自家软体时,大多仅利用包含少部份病毒且广为人知的“Wildlist”流行病毒清单做为基准。被列在此清单上的,都是实际上正在散布,并且会感染电脑系统的病毒。
什么是WildList?
大约在十年前左右,电脑业界里没有人能够整理出“所有病毒”的清单。所以一位名为 Joe Wells 的有心人士(现为 Fortinet 防毒架构技术长),将数份病毒清单重新加以整理,并且提供给几位防毒专家做为参考,请他们协助修改这份病毒清单,加入其他被遗漏掉的已知病毒。这份完整的流行病毒清单,在 1993 年中正式公诸于世,并且命名为 WildList(网址为 www.wildlist.org)。
公布不久之后,WildList 就成为电脑业界用以测试及认证产品用的标准。现在全球各地约有 70 名的顶尖防毒研究员,每个月都会重新修订并对外发布此份清单。
许多令人尊敬的测试组织,像是ICSA Labs、Secure Computing和Virus Bulletin等,均采用 WildList 做为它们的防毒产品测试及认证方案标竿。之前也有一些测试组织也额外测试一些不在 WildList 里的“实验室病毒”,但现今采取这种作法的组织已很少见了。
WildList 目前已演进为包含数个章节的大型清单,以确保能够尽可能包含目前已被侦测出的各式病毒威胁,其中只列出具有样本及已被验证过的病毒:
·主要清单 (Main List)
包含了至少由两位以上防毒研究员所提报的病毒,在 2005 年 6 月的主要清单里共登记了 633 个病毒。每个月的调整幅度大约是旧清单增减 10 个左右,另新增 10 至 20 个全新病毒,并删除掉已不合测试准则的病毒。
·补充清单 (Supplemental List)
包含只有一个研究员所提报的病毒,2005年6月的补充清单中登记了 3,631 个病毒,和主要清单合计后达到约 4,300 个左右的病毒。
根据这段时间的观察,加入清单的病毒比删除的多,而且混合式威胁的数目也在缓慢增加中。另外从这些专家们的角度来看,真正在网际网路领域里活动,并且实际感染电脑的病毒数目,要比 7 万只病毒少的多。就以今年 6 月份的总数 4,300 只来看,其数量只占了 7 万只里不到 7% 的比例呢!
剖析WildList与防毒软体的关系
如同前文所提到的,有将近 93% 以上的已知病毒是“无害”的,听起来似乎很难接受。那么 WildList 这种谨慎的列举方式和一般防毒厂商的行销文宣当中,倒底存在着那些落差呢?
# 已知病毒的数量被厂商夸大了。许多变种病毒只在某些小部份有所不同,但防毒厂商们将每个变种病毒均视为独立种类。实际的病毒种类(排除所有小型变种)大约在 1 万种以下,更可能不到 5 千种。
# 病毒常因为电脑软、硬体技术的演进而随之消失。
# 有许多老病毒只能在特定的硬体平台上发作。像是一度列入清单中的 Ping Pong 病毒,就只能在 Intel 8086/8088 的 CPU 上执行,所以很明显地已消失于现今的电脑环境中。
# 许多种病毒随著作业系统的更新而消失。当 Windows 3.1 开始普及之后,感染 DOS 档案的病毒就开始减少;而在 Windows 95 问世之后,相同的情形再次发生。
# 大众化的应用软体升级所造成的电脑环境变更,也会使得特定病毒不易生存。像是微软 Office系列升级之后,以 WordBasic 做为基础的 Concept 巨集病毒就不见了(新的 Office 系列已改用 VBA 做为巨集程式的架构)。
# 许多病毒是在具有限制性或是封闭式的环境下创造出来的,所以没机会对外散布;这种类型的病毒通常都被归类于“不具威胁性”种类当中。那么是否有实验室病毒“逃脱”,变成可发作病毒的情形呢?理论上是有可能的,但在 WildList 的历史中并未发生过这种特殊案例。在现有实际案例中,WildList 清单都能掌握最新的病毒状况。
既然清单中列举的病毒不过只有 4,300 多种,那么防毒软体是否应该连实验室病毒一并扫瞄,以防万一呢?不建议这么做的原因是,这种做法并不会带来太多好处:
1.如果要扫瞄实验室病毒的话,病毒资料库的大小可能是现在的 100 倍,会占用更多的记忆体、硬碟空间及网路传输频宽。
2.需要占用更多的电脑运算能力,并使得防毒软体的效能变差,有些没耐心的使用者可能就直接关掉防毒软体,反而造成不具防卫能力的情形。
3.一天到晚在维护防毒引擎的“向前相容性”,可能浪费太多时间,扼杀防毒软体厂商的创意,阻碍了防毒软体的成长。
现今的即时性网路运作环境,所需要的是即时性的防毒保护,其重要目的是聚焦于侦测及消除实际存在的病毒威胁,而不是对存在久远的病毒考古。也因此使用者应当寻找能够即时对抗最新智慧型网路威胁的整合式防毒防火墙,它们才能以高效能的防护能力,带来更少的延误、更小的浪费及更低的成本。 |
评分
-
查看全部评分
|
/1 
狗仔卡
发表于 2007-8-17 09:06:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2007-8-17 09:14:12
发表于 2010-6-11 23:26:55