质疑VB100%

yitp

质疑VB100%测试
漏查了一个就不能通过VB100%,但是VB100%的测试包就不会对病毒做一些技术处理?
如果做了处理那Kaspersky,Nod32还能100%查杀?如果是过去的病毒,就算100%查杀又有什么意义?
那行为与启发不就没分别了吗?
本人对VB100%不是很了解,借此机会也希望了解一下,欢迎拍砖

solcroft

杀毒软件要通过 VB100% 检验条件有二。其一，杀毒软件必须在原本包装设置下查出 100% in-the-wild (ItW) 样本，其二，不可有误报。ItW 病毒定义为正在活跃扩散的病毒种类，ItW 黑名单收集于全世界反毒公司，一个月更新一次。详情请参考 Virus Bulletin 网站，www.virusbtn.com

VB100% 鉴定的目的是考察杀毒软件在实用状况下的真正能力，所以不搞“技术修改病毒”这一类卖神弄鬼的手段。相同的，Virus Bulletin 病毒库里的样本都经过检查，以确保样本都是真正活跃的病毒。听起来要获得 VB100% 鉴定似乎轻而易举，但要做到，然后再保持常胜军的纪录，实在不简单。

[ 本帖最后由 solcroft 于 2007-2-2 00:34 编辑 ]

wangjay1980

不了解就下此结论？

lee8062

LZ太年轻了啊  
年少轻狂  原谅你一次

yitp

欢迎拍砖

The EQs

什么是WildList？

大约在十年前左右，计算机业界里没有人能够整理出「所有病毒」的清单。所以一位名为 Joe Wells 的有心人士（现为 Fortinet 防毒架构技术长），将数份病毒清单重新加以整理，并且提供给几位防毒专家做为参考，请他们协助修改这份病毒清单，加入其他被遗漏掉的已知病毒。这份完整的流行病毒清单，在 1993 年中正式公诸于世，并且命名为 WildList（网址为 www.wildlist.org）。

公布不久之后，WildList 就成为计算机业界用以测试及认证产品用的标准。现在全球各地约有 70 名的顶尖防毒研究员，每个月都会重新修订并对外发布此份清单。

许多令人尊敬的测试组织，像是ICSA Labs、Secure Computing和Virus Bulletin等，均采用 WildList 做为它们的防毒产品测试及认证方案标竿。之前也有一些测试组织也额外测试一些不在 WildList 里的「实验室病毒」，但现今采取这种作法的组织已很少见了。

WildList 目前已演进为包含数个章节的大型清单，以确保能够尽可能包含目前已被侦测出的各式病毒威胁，其中只列出具有样本及已被验证过的病毒：

・主要清单 (Main List)

包含了至少由两位以上防毒研究员所提报的病毒，在 2005 年 6 月的主要清单里共登记了 633 个病毒。每个月的调整幅度大约是旧清单增减 10 个左右，另新增 10 至 20 个全新病毒，并删除掉已不合测试准则的病毒。

・补充清单 (Supplemental List)

包含只有一个研究员所提报的病毒，2005年6月的补充清单中登记了 3,631 个病毒，和主要清单合计后达到约 4,300 个左右的病毒。

根据这段时间的观察，加入清单的病毒比删除的多，而且混合式威胁的数目也在缓慢增加中。另外从这些专家们的角度来看，真正在互联网领域里活动，并且实际感染计算机的病毒数目，要比 7 万只病毒少的多。就以今年 6 月份的总数 4,300 只来看，其数量只占了 7 万只里不到 7% 的比例呢！

剖析WildList与防毒软体的关系

如同前文所提到的，有将近 93% 以上的已知病毒是「无害」的，听起来似乎很难接受。那么 WildList 这种谨慎的列举方式和一般防毒厂商的行销文宣当中，倒底存在着那些落差呢？


已知病毒的数量被厂商夸大了。许多变种病毒只在某些小部份有所不同，但防毒厂商们将每个变种病毒均视为独立种类。实际的病毒种类（排除所有小型变种）大约在 1 万种以下，更可能不到 5 千种。

病毒常因为计算机软、硬件技术的演进而随之消失。

有许多老病毒只能在特定的硬件平台上发作。像是一度列入清单中的 Ping Pong 病毒，就只能在 Intel 8086/8088 的 CPU 上执行，所以很明显地已消失于现今的计算机环境中。

许多种病毒随着操作系统的更新而消失。当 Windows 3.1 开始普及之后，感染 DOS 档案的病毒就开始减少；而在 Windows 95 问世之后，相同的情形再次发生。

大众化的应用软体升级所造成的计算机环境变更，也会使得特定病毒不易生存。像是微软 Office系列升级之后，以 WordBasic 做为基础的 Concept 巨集病毒就不见了（新的 Office 系列已改用 VBA 做为巨集程序的架构）。

许多病毒是在具有限制性或是封闭式的环境下创造出来的，所以没机会对外散布；这种类型的病毒通常都被归类于「不具威胁性」种类当中。那么是否有实验室病毒「逃脱」，变成可发作病毒的情形呢？理论上是有可能的，但在 WildList 的历史中并未发生过这种特殊案例。在现有实际案例中，WildList 清单都能掌握最新的病毒状况。
既然清单中列举的病毒不过只有 4,300 多种，那么防毒软体是否应该连实验室病毒一并扫瞄，以防万一呢？不建议这么做的原因是，这种做法并不会带来太多好处：

1.如果要扫瞄实验室病毒的话，病毒资料库的大小可能是现在的 100 倍，会占用更多的内存、硬盘空间及网络传输频宽。

2.需要占用更多的计算机运算能力，并使得防毒软体的效能变差，有些没耐心的使用者可能就直接关掉防毒软体，反而造成不具防卫能力的情形。

3.一天到晚在维护防毒引擎的「向前相容性」，可能浪费太多时间，扼杀防毒软体厂商的创意，阻碍了防毒软体的成长。

现今的即时性网络运作环境，所需要的是即时性的防毒保护，其重要目的是聚焦于侦测及消除实际存在的病毒威胁，而不是对存在久远的病毒考古。也因此使用者应当寻找能够即时对抗最新智能型网络威胁的整合式防毒防火墙，它们才能以高效能的防护能力，带来更少的延误、更小的浪费及更低的成本。

solcroft

楼上解释得好，建议定为推荐主题。

jhq0530

全是主观臆断，根本没任何依据。

wmh2008

希望有一个专家级的建议

solcroft

请问楼上还有什么疑问？