从完美卸载报告毒霸08程序为疑似木马说起

从完美卸载报告毒霸08程序为疑似木马说起

论坛有个网友反映使用完美卸载的木马查杀功能时，毒霸08被报危险。手动取消“清除”操作后，连续11次被报危险。分别对应毒霸08的11个文件。
原文：http://bbs.duba.net/viewthread.php?tid=21841516&extra=&page=1

1.报毒后，手动取消清除

00111.png (101.57 KB)

2007-10-31 19:02

2.终止后显示11个文件被列为危险


这里实际上反映了另一个问题——使用行为检测技术（很多人称之为主动防御技术）来判断程序的安全性。如果单从行为上来说，所谓走主动防御路子的安全软件，其思路是有一定问题的。如何从程序行为上判断某软件是否何法呢？这几乎是不可能的。

比如hook和钩子，杀毒软件一定会用这个，能说所有的hook和钩子程序都非法么。

说病毒木马的入侵加载点，因为会重启自动加载，几乎所有的杀毒软件都必须实现这一点。并且杀毒软件和系统结合的紧密程度，一般的病毒是难望其项背的。

再说程序是不是合法，其结果算不算有害，杀毒软件更是难辞其咎——杀毒软件不仅仅会报告某软件是有害程序，还会痛下杀手，把这个程序给删除了。并且不仅仅会删除系统外的程序，有时，还会把操作系统文件给删除了，还把系统给杀瘫了。

还有，网站挂马，什么样的程序通过IE运行，算挂马？规则在哪里？

IE下载一个RAR格式的文档，下载完毕后，尝试使用WINRAR打开。这种行为和网站挂马，IE运行一个有害程序完全是一样的。

程序是否有害，最终取决于它的结果是不是对用户有利，而不是程序运行的原理和方法，热炒的主动防御钻的就是这个牛角尖，这条路，只能算安全解决方案的方向之一，有可能是个死胡同。

除了这条路，还会有其它方向可以解决安全问题，这就是毒霸2008的开发方向。毒霸是首创采用本地特征库和远程验证库同时检查用户系统的安全软件，有关这个话题上，我会在以后的日志中详细说明。