調查局將虛擬化用在防毒測試

因為業務屬性，而時常會接觸不知明惡意程式的調查局電腦犯罪偵辦科，日前在個人電腦導入虛擬化技術，以虛擬出一個獨立的對外作業系統，以避免因誤開惡意程式，而導致攻擊擴散至內部系統。

臺灣防治電腦犯罪的重鎮──調查局電腦犯罪偵辦科，利用VMware虛擬化軟體，在個人電腦建構一個虛擬機器，只在這個虛擬機器中讀取不明檔案，以避免病毒攻擊。

法務部調查局電腦犯罪偵辦科調查員錢世傑表示，市售防毒軟體只能防範8～9成的已知電腦病毒，防範木馬的功能最多也只涵蓋5％，而且每天都有許多惡意程式出現，若防毒軟體無法即時掌握這些惡意程式，那麼就只能透過行為模式來防範，也因而會造成誤判。由於防毒軟體無法達到百分之百完全隔絕病毒，而調查局電腦犯罪偵辦科每天都會收到許多來路不明的檔案，因而便透過虛擬化來隔絕病毒的攻擊，補強防毒軟體空窗期的風險。

調查局將一臺桌上型電腦規畫2個虛擬機器，一個虛擬機器專門負責執行日常的工作，另一個系統便用在測試病毒，錢世傑表示，由於時常接觸到許多不明的檔案，在虛擬機器中完全隔絕的運作環境中，如果測試的檔案恰巧為惡意程式，便可在虛擬的環境中被發現，同時避免被攻擊。

虛擬機器遭到病毒感染後，也無需進行修復，只要直接刪除該虛擬機器，再重掛載新的虛擬機器檔案即可，錢世傑表示，在過去沒有採用虛擬機器時，如果電腦遭受病毒攻擊，則必須要找出有問題的檔案，並修復該檔案，但這個過程的處理相當不容易。以木馬程式為例，一旦電腦遭受木馬程式攻擊時，便會不斷衍生出許多木馬程式，除非重安裝新系統，否則很難根治，但透過虛擬化，則可以快速回復到最初始的狀態，也不會影響到正在工作中的電腦。

以虛擬機器來對付防毒機制的空窗期，錢世傑只建議一般民眾或微型企業使用，中大型以上的企業並不適用，他表示，以虛擬機器建構的測試環境，成本比起專屬的病毒測試環境來得低廉，較適合小型企業或個人用戶使用，但大型企業的電腦環境較為複雜，還是需要專屬的入侵防護系統，避免惡意程式的攻擊。

CA技術顧問林宏嘉表示，虛擬化軟體只適合中高階以上用戶使用，由於目前許多惡意程式並沒有明顯的攻擊行為產生，除非以專業的工具檢測，否則很難查覺。這方面的技術門檻，對一般用戶而言太高，因此他不建議一般人採用。

趨勢科技技術部經理簡勝財表示，在防範許多惡意程式方面，確實有一段空窗期，但是目前的防毒軟體都具有智慧型掃描，可以針對一些特定行為來判斷，並配合終端設備防寫的功能，即可讓一般電腦使用者達到一定的安全防護。

Symantec資訊系統工程師杜俊霖表示，Symantec不建議一般使用者以虛擬機器來測試來路不明的檔案，使用者可將疑似藏有惡意程式的檔案，傳送到Symantec，該公司將免費替用戶進行測試。文⊙林文彬