NOD32 對未知病毒的防護能力
» Bookmark on del.icio.us在過去,防毒軟體使用特徵式掃描的技術,來比對及判斷檔案是否有病毒。這樣的方法所得到的結果,精確度極高,也不太容易發生誤判的情形。然而,現今的環境和過去已經有很大的改變。過去,一個新病毒發佈,到擴散至全世界,恐怕得花上數個月的時間,甚至更久。但今日的病毒,透過 Internet 的管道,以 E-mail、IM 等即時性高的媒介,僅需極短的時間即可大量擴散,快的話僅需一、二個小時的時間,便擴散到全球各地。對防毒軟體的廠商而言,要在這麼短的時間更新病毒碼,基本上是非常困難的。所以,在防毒軟體已經是最新的情況下,仍然無法免除病毒的威脅。
如何在這段空窗期內確保電腦免於病毒的感染,應該是當前防毒軟體廠商所應努力的方向。除了前述的特徵式掃描技術,目前各家防毒軟體均致力於研發新的啟發式掃描技術。有別於過去從病毒所包含的特定程式碼來當做判斷的依據,而改以病毒的行為模式來分析,如此方可在不更新病毒碼的情況下,即時發現新的未知病毒。
當然,包括 NOD32 在內的防毒軟體,尚無法做到百分之百偵測出未知的病毒。畢竟病毒是人寫出來的,所以防毒軟體很難百分之百預測到病毒的作者會如何寫。但好的啟發式掃描技術,仍然可有效阻擋掉許多未知病毒。而且前面提過,在 Internet 的環境中,病毒的傳播速度太快了,啟發式的掃描技術已成為防毒軟體不可或缺的技術。
由許多防毒軟體均已宣稱具有偵測未知病毒的能力,可知此技術的重要性。NOD32 獨特的 ThreatSense技術即為其啟發式偵測的功能,其對未知病毒的偵測率領先業界其它產品。AV-Comaratives 於2005年11月的測試報告顯示,NOD32 對各種類型的未知病毒平均的偵測率為 62%,領先卡巴斯基的 32%、趨勢的 19%、賽門鐵克的 11%。(完整的測試報告請參閱: AV-Comaratives 2005年11月測試報告)
事實上這次的測試報告並非特例,AV-Comaratives於2005年5月的測試結果顯示: NOD32對各種類型的未知病毒平均的偵測率為 70%,其餘產品的偵測率為 49% ~ 4% 不等。2004年11月的測試結果顯示: NOD32對各種類型的未知病毒平均的偵測率為 49%,其餘產品的偵測率為 43% ~ 4%。從這些測試報告的結果可知,NOD32偵測未知病毒的能力確實領先其它競爭者。
不過,憑心而論 AV-Comaratives 的測試並無法真實地反應出防毒軟體偵測未知病毒的能力。主要是因為測試是以未來三個月所出現的病毒為依據,但事實上防毒軟體並不需要知道這麼長的緩衝時間。以目前各家防毒更新病毒碼的機制來看,數小時到數天的時間,絕對足夠。換句話說,防毒軟體只要能偵測出數小時或數天內會出現的病毒即可。若以此條件來看,防毒軟體的啟發式的掃描技術,其準確率應可比 AV-Comaratives 的測試結果高出許多。