防毒軟體的記錄
» Bookmark on del.icio.us所有的防毒軟體在偵測到惡意程式時, 都會留下記錄. 如果是企業的版本, 更是會將所有的記錄集中到中央主控台. 但是這些記錄有什麼作用? 或者常常有人問, 如何知道哪些電腦是有中毒的?
首先, 必須要知道所有的病毒記錄都是過去式, 而且防毒軟體不可能百分之百偵測到這個世界上所有的惡意程式. 常有人問, 某一筆記錄是表示什麼意思? 記錄註明的動作是刪除、隔離或者未處理… 那到底病毒是否還存在? 其實很簡單, 防毒是動態的, 不必在乎過去防毒軟體看到什麼, 或者做了什麼動作, 只有一個關鍵, 同樣的事件是否重覆發生. 試想, 如果防毒軟體持續重覆偵測到某個檔案, 那即使記錄上註明該檔案已經被刪除, 又有什麼義意?! 所以從時間軸來看, 而不要侷限在某個點上面.
舉一個例子來說, 下面這張表, 這是我們公司的 AVLog 從客戶匯整並經過整理的資料. 這是其中一部電腦的資料, 裡面記錄發生的日期、物件及當天的次數.
試問, 您看到這部電腦, 反覆不斷出現偵測到同樣的檔案, 您會認為這部電腦沒有問題嗎?
有些人花了很多時間在防毒的議題上面, 想或做了很多事, 但是真正最根本的問題卻忽略了, 放任電腦中毒不管. 就像上面這個例子, 這部電腦的問題已經數個月了 (為了節省空間, 我們的 AVLog 資料庫只保留 30 天內的資料), 但並沒有被處理.
另外, 有些人總認為防毒軟體天生就會做好防毒的工作, 但從這個例子來看, 已經數個月過去了, 問題持續存在.