NOD32官网的新闻。。。。

显示全部楼层 · 发表于 2007-2-1 21:07:49

要通过 Virus Bulltein的VB100%病毒测试，必须能完全辨认来自业界公认的The WildList的病毒样本，同时不会对无害档案发出主动错误讯息(false positives)，才算通过测试，NOD32 正是能高速扫瞄档案，达到完全无遗漏之余，亦没有发出错误警报，做到真正的快而准。

啓发式辨认病毒引擎ThreatSense™
一些防毒软件的软件商经常标榜着数据库庞大，软件更新速度频密等等。但数据库庞大就是否等于侦测速度又准又快?其实，数据库庞大正反映其软件内的Proactive病毒侦测系统(Generic Signature)主动侦测能力不足；或是其软件需要庞大数据库来侦测病毒，但这些庞大数据库侦测新式强力变种的新型病毒则会变得十分累赘。而且，这些庞大的数据库会拖慢对新式、强力变种的新型病毒的侦测，因为采用超庞大的病毒数据库会造成系统效率的低降。

此外，很多产品标榜其对病毒的反应有多快(e.g.1小时内会有更新)，其实最顶尖的产品对病毒的反应应为”0”，因为使用 "Generic Signature" 及 "Advance Heuristics" 的技术，病毒数据库的数目会不断变化，旧的病毒数据会被新的取代。
Proactive及zero respond time正是NOD32最强劲的地方。NOD32的 Generic Signature 能使用单一病毒数据识别同一类型病毒的不同变种，所以病毒数据库的数目少但能侦测所有已知的毒病。

至于 NOD32 采用的"Advance Heuristics" 是一种更先进的技术，可在未有病毒定义前侦测到80-90%的病毒及间谍程序。配合 ThreatSense.Net 样本传送技术以最短时间把样本传送到开发人员手上，使用户免受网络上充斥的"零天攻击"(Zero Day Attack)侵害。

感觉这个数字很假。。。。就是在现有的技术上。。最高也只能达到80％左右。。而NOD32正是在80％左右。。so明显有夸大的说法。。。

而且如果你知道the wildlist的话，就知道为什么nod32能获得这么多的奖项。。。the wildlist被很多反病毒厂商所承认和追捧，有非常多的反病毒厂商加入到其中，少数反病毒厂商还在官网提供了wildlist的说明，还有全球顶级反病毒分析师的加入，wildlist是世界最大的病毒库之一

显示全部楼层 · 发表于 2007-2-1 21:12:09

什么是WildList？

大约在十年前左右，计算机业界里没有人能够整理出「所有病毒」的清单。所以一位名为 Joe Wells 的有心人士（现为 Fortinet 防毒架构技术长），将数份病毒清单重新加以整理，并且提供给几位防毒专家做为参考，请他们协助修改这份病毒清单，加入其他被遗漏掉的已知病毒。这份完整的流行病毒清单，在 1993 年中正式公诸于世，并且命名为 WildList（网址为 www.wildlist.org）。

公布不久之后，WildList 就成为计算机业界用以测试及认证产品用的标准。现在全球各地约有 70 名的顶尖防毒研究员，每个月都会重新修订并对外发布此份清单。

许多令人尊敬的测试组织，像是ICSA Labs、Secure Computing和Virus Bulletin等，均采用 WildList 做为它们的防毒产品测试及认证方案标竿。之前也有一些测试组织也额外测试一些不在 WildList 里的「实验室病毒」，但现今采取这种作法的组织已很少见了。

WildList 目前已演进为包含数个章节的大型清单，以确保能够尽可能包含目前已被侦测出的各式病毒威胁，其中只列出具有样本及已被验证过的病毒：

・主要清单 (Main List)

包含了至少由两位以上防毒研究员所提报的病毒，在 2005 年 6 月的主要清单里共登记了 633 个病毒。每个月的调整幅度大约是旧清单增减 10 个左右，另新增 10 至 20 个全新病毒，并删除掉已不合测试准则的病毒。

・补充清单 (Supplemental List)

包含只有一个研究员所提报的病毒，2005年6月的补充清单中登记了 3,631 个病毒，和主要清单合计后达到约 4,300 个左右的病毒。

根据这段时间的观察，加入清单的病毒比删除的多，而且混合式威胁的数目也在缓慢增加中。另外从这些专家们的角度来看，真正在互联网领域里活动，并且实际感染计算机的病毒数目，要比 7 万只病毒少的多。就以今年 6 月份的总数 4,300 只来看，其数量只占了 7 万只里不到 7% 的比例呢！

剖析WildList与防毒软体的关系

如同前文所提到的，有将近 93% 以上的已知病毒是「无害」的，听起来似乎很难接受。那么 WildList 这种谨慎的列举方式和一般防毒厂商的行销文宣当中，倒底存在着那些落差呢？

已知病毒的数量被厂商夸大了。许多变种病毒只在某些小部份有所不同，但防毒厂商们将每个变种病毒均视为独立种类。实际的病毒种类（排除所有小型变种）大约在 1 万种以下，更可能不到 5 千种。

病毒常因为计算机软、硬件技术的演进而随之消失。

有许多老病毒只能在特定的硬件平台上发作。像是一度列入清单中的 Ping Pong 病毒，就只能在 Intel 8086/8088 的 CPU 上执行，所以很明显地已消失于现今的计算机环境中。

许多种病毒随着操作系统的更新而消失。当 Windows 3.1 开始普及之后，感染 DOS 档案的病毒就开始减少；而在 Windows 95 问世之后，相同的情形再次发生。

大众化的应用软体升级所造成的计算机环境变更，也会使得特定病毒不易生存。像是微软 Office系列升级之后，以 WordBasic 做为基础的 Concept 巨集病毒就不见了（新的 Office 系列已改用 VBA 做为巨集程序的架构）。

许多病毒是在具有限制性或是封闭式的环境下创造出来的，所以没机会对外散布；这种类型的病毒通常都被归类于「不具威胁性」种类当中。那么是否有实验室病毒「逃脱」，变成可发作病毒的情形呢？理论上是有可能的，但在 WildList 的历史中并未发生过这种特殊案例。在现有实际案例中，WildList 清单都能掌握最新的病毒状况。
既然清单中列举的病毒不过只有 4,300 多种，那么防毒软体是否应该连实验室病毒一并扫瞄，以防万一呢？不建议这么做的原因是，这种做法并不会带来太多好处：

1.如果要扫瞄实验室病毒的话，病毒资料库的大小可能是现在的 100 倍，会占用更多的内存、硬盘空间及网络传输频宽。

2.需要占用更多的计算机运算能力，并使得防毒软体的效能变差，有些没耐心的使用者可能就直接关掉防毒软体，反而造成不具防卫能力的情形。

3.一天到晚在维护防毒引擎的「向前相容性」，可能浪费太多时间，扼杀防毒软体厂商的创意，阻碍了防毒软体的成长。

现今的即时性网络运作环境，所需要的是即时性的防毒保护，其重要目的是聚焦于侦测及消除实际存在的病毒威胁，而不是对存在久远的病毒考古。也因此使用者应当寻找能够即时对抗最新智能型网络威胁的整合式防毒防火墙，它们才能以高效能的防护能力，带来更少的延误、更小的浪费及更低的成本。