測試殺毒軟件好不好，用什么？廢話，當然是用病毒和木馬咯。而微軟的工程師也很牛，用黑客攻擊軟件（類似僵尸網絡）來測試Office 2010的BUG，居然能找出1800多處BUG，怪不得我們測試使用的Beta版本的Office 2010已經很完善了，還是很欽佩微軟的哈，期待正式發行的Office 2010！

看新聞吧——

微軟公司的工程師們最近利用一種名為“Fuzzing”的測試技術發現了Office 2010軟件中的1800多處bug。Fuzzing測試技術是軟件開發者和安全專家們常用的一種新型軟件bug自動化測試技術，其原理是自動用隨機的方式將軟件所需處理的數據進行修改，使這些數據成為非法數據，并測試軟 件對這些非法數據的響應狀況。在某些情況下，向軟件傳輸非法數據會導致程序崩潰并產生黑客可利用的漏洞，黑客可利用這些漏洞來插入惡意代碼等。對 Fuzzing測試技術的研究是目前黑白兩道的安全專家們的熱點所在。

　　“我們在Office 2010的代碼中發現了1800多處bug，”微軟可信賴計算部門（Trustworthy Computing group）的首腦Tom Gallagher表示，“盡管bug的數量較多，但需要說明的是這些bug并不等同于安全漏洞。我們也會積極地修補其中一些涉及系統安全的漏洞。”不過他拒絕透露這些bug中涉及系統安全漏洞的bug的具體數量，只稱微軟Office 2010開發組確實發現了一些安全漏洞。

　　 Gallagher還表示，Office 2010先前版本的Office軟件中，一些與這次新發現的Office2010的非安全性性bug類似的漏洞則會在最新的SP升級版本中得到修復。

　　　有趣的是，這次微軟用來進行Office 2010 Fuzzing測試的工具不只是公司試驗室中的機器，他們還動用了公司閑置的員工用電腦進行這項測試。這種測試方法與Prime95等協同計算程序的理念非常相似，就是利用互聯網上的許多機器來分別負責一部分計算，在客戶機處于閑置狀態時，安裝在客戶機上的這種軟件會自動開始Fuzzing計算，然后再將這些計算的結果通過網絡傳輸給服務器合并成最終的計算結果，從某種程度上看，這種技術與僵尸網絡的設計思想也非常相同。

　　“我們稱這種計算網絡為Fuzzing用僵尸網絡，”Gallagher風趣地將這種學名為分布式Fuzzing框架（DFF）的技術稱為僵尸網絡。據稱這種Fuzzing僵尸網絡測試技術是由Access團隊的設計師David Conger所開發出來的。

　　過去，微軟公司做Fuzzing測試的方法則是在單臺機器上連續運行一周時間，而現在“我們不需要花太多的力氣就可以做1200萬次運算”Gallagher稱：“過去要花數天時間完成的計算現在只要一個小時就能完成了。”

　　盡管Office開發團隊已經在使用這種 DFF測試技術，但微軟公司內部只有少數的幾個其它開發團隊也在使用類似的技術，目前只有SharePoint團隊，MSN客戶端團隊，Fast search團隊在使用DFF測試技術，而Windows開發團隊則沒有使用這種技術。

　　不過微軟的這種做法則遭到了一些安全專家的嘲笑，指其做法相當"愚笨",而且還嘲笑微軟，蘋果以及Adobe公司對其軟件所作的Fuzzing測試很不充分。三屆Pwn2Own黑客技能競賽的得主 Charlie Miller上周在訪談節目的現場，使用了一種非常簡單的Fuzzing測試技術，只使用了5臺電腦，便測試出了微軟Powerpoint，Mac OSX，蘋果Safari以及Adobe Reader軟件中存在的20處安全漏洞和數百種可引起程序崩潰的bug。

　　Miller拒絕透露這些軟件漏洞的細節信息，不過他提供了他所使用的測試方法的細節。他表示：“我只是想教教他們該如何正確地找出程序的這些bug，這樣他們以后做 Fuzzing測試時就會更仔細小心。”

　　不過Gallagher則沒有就微軟是否會采納Miller的建議而發表肯定的評論，他說：“我們正在研究他的技術，研究如何復制和應用這種技術，使其為我們所用。”