毒霸是如何最大限度减少误报的

ZDNet 安全频道频道 更新时间:2008-06-23 作者:佚名 来源:赛迪网

本文关键词:误报 金山毒霸病毒库 最大

  非常不幸,今天上班就接到几个朋友的电话,电话称,公司数10台机器出现相同的现象,开机时蓝屏,提示unknown hard error,甚至连安全模式也启动不了,客服也接到很多类似情况。第一感觉是病毒破坏了系统,在网上搜索发现很多在人讨论一个木马Backdoor.Haxdoor,这是个老木马,难道是它出了新的变种,由木马变成感染型或蠕虫了,要不怎么可能突然出现这么多的报警。

  问了病毒分析组,他们已经证实,这是NORTON杀毒软件的误报

  误报,对杀毒软件来说,永远是心中的痛。

  反病毒技术无法完全杜绝误报,就好比医生不可避免会出现误诊,如果某个医生一辈子没遇到一个误诊,那他肯定是个不称职的医生,他从来没看过病。

  杀毒软件通常采用两类技术对抗计算机病毒:

  1.病毒特征码查杀,分析病毒程序的特征代码,杀毒引擎扫描对象中是否存在和病毒特征代码匹配,如果有,则判断为病毒,没有,即不是病毒。

  特征码查杀历史悠久,速度快,误报率低。缺点是总是先抓到病毒,再制作特征码升级病毒库,总跟着病毒跑。

  2.启发式查毒(或其它名字),是根据病毒普遍的特征或行为进行判断。

  可以发现未知病毒,缺点是误报率太高,假报警太多。

  误报的原因:

  一是鉴定错误,把正常文件误认为病毒。二是病毒特征提取错误引起的误报。

  误报既然是不可避免,杀毒软件公司就应该最大限度减少误报,最大限度的减少由误报带来的损失。如果杀毒软件把系统重要文件误报,就可能酿成严重后果,今天朋友们遇到的情况就是如此。我们分析发现,该误报只发生在简体中文WINDOWS操作系统。难道是该杀毒厂商无视数以千万计的简体中文WINDOWS用户?没有在简体中文系统上做误报测试?尽管我们不相信,但答案显然是这样。

  金山毒霸如何减少误报:

  金山毒霸病毒库的制作、升级过程包括:样本鉴定、病毒库制作阶段、病毒库测试、病毒库升级发布三个关键步骤,由专门的小组来负责。

  1.样本鉴定、病毒库制作阶段:

  对可疑样本文件进行鉴定时,首先通过白名单过滤机制,把明确不是病毒的样本过滤掉。再通过二次人工鉴定来确认病毒样本。提取病毒特征的方法,我们进行了多年的经验积累,已经可以有效的避免提到非病毒特征的位置,最后将病毒特征制作成最后的病毒库。

  2.病毒库测试:

  包括病毒库有效性测试和误报测试。在误报测试中,与世界上各大杀毒厂商一样,不断的从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统。形成一个巨大的误报库,通常这个库在超几百个G的容量。误报库也有专人维护,不停的从互联网和用户手中收集各类程序来扩充。

  误报测试是在十几台专用误报测试服务器的速度保证下,在一小时内完成当次病毒库的测试工作。

  3.升级发布阶段:

  只有完全通过有效性测试和误报测试的病毒库才会升级发布。

  这次NORTON对简体中文windows系统文件误报,中国用户遭受重大损失。一个在盛大信息部工作的朋友告诉我说,他们公司有数千台客户机,公司购买了NORTON企业版,今天他快疯了。

[an error occurred while processing this directive]