太可怕了！竟然有人弄不清楚误杀和高查杀的关系？！

尘梦幽然

好吧，先提出论点---从杀软本地启发/QVM引擎的角度（意思就是不包括后期添加的白名单）来说，高误报不等于高查杀，但是高查杀等于高误报！
为什么我会这么说？很简单，不少人，包括一些"非普通卡饭"，并没弄清安软引擎的工作机制。
我说过的，启发式/QVM引擎就那样，提高查杀，误报也会提高。不少正常软件包含大量的木马特征，很明显的就是腾讯QQ的早期版本。

至于qq的问题，从设计上qq就犯了大忌，qq具有下列特征：1。端口枚举，没有固定的端口，触犯1024以下的系统保留端口和高端端口（端口上的安全隐患）2，全局hook行为和修改ie关键项3。加载驱动而不征求用户4。后台通过udp暗中通讯（用于传输用户在线，等级，本地ip，好友列表等敏感信息）5。改修注册表的系统关键数值，并且用ssm，还可以发现启动时调用的东西不算少。6。包含的东西太多，而且开的端口和服务过多（就是业务）7。包含3389服务，激活时强制枚举端口来绕过防火墙，且会保留绝对控制权，但没有任何的匿名用户的防御。======================以上任何一条都和木马的特征相似，所以，包含如此多的木马特征的软件，当然被列为木马。

这样一个“包含如此多木马特征的软件”曾经被国外的Avira的反病毒软件追杀也并不奇怪。启发式的本质就是提取病毒的程序逻辑进行判定。提取的非关键逻辑越多，误报越高。QVM通过"自我学习"获得了大量的黑白样本特征后建立的数学模型也是一样。要提高查杀，就要增加特征和判定逻辑，就要增加误报。
高速通用虚拟机（ESET）和白名单是目前解决误报的最有效方法。虚拟机模拟程序的真实意图可以避免误判，但要做到ESET那样的超低占用的厂商是非常少的，而且，ESET这样做导致其启发式引擎很容易被虚拟机补丁免杀，还是在一定程度上降低了启发检测率。白名单是大部分厂商选择走的捷径。但是这带来但可怕后果就是目前的白加黑样本。目前，就样本区反馈的状况来看，尚未有能够100%主动检测白加黑样本的国内厂商。国外厂商产品需要设定严格设置才能主动检测。
想要高查杀，安全地带JS引擎和百锐启发式绝对够高，比360的本地QVM还高！但是，误报测试呢？同样，在国外呢？360的QVM由于没有足够的白名单支持被降级到1星。所以，单从引擎上说，"高查杀低误报"目前在国内的技术水平下还是个"伪命题"。
另，又有人说到“360是因为加了QVM误报才高的”。好吧，本帖说的就是QVM和启发式引擎的误报问题，这算是不打自招，前后矛盾了。话说，如果单从启发/QVM引擎的角度说，目前看来的确高查杀是与高误报有直接关系的。
Bitdefender、Kaspersky和Symantec这几家大厂的传统特征码引擎误报率都差不多的。误报主要还是因为厂商开发的启发式检测引擎造成的，比如Symantec的信誉云。
今天贴出一些360官人zdolo曾经的发言：http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037的319L，

去误报是检出降低的主要原因，去一点点误报，检出损失都很大...

http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037，89L，

那当然，所以这段时间QVM一直在调整误报，检出率不断下降

http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037，1276L，

达到高检出容易，控制误报难啊

http://bbs.kafan.cn/forum.php?mo ... d=974743&page=9，85L，

每天都这么强，呵呵，如果允许1%的误报率，做到95-98%比较容易

有如此多的开发者言论可以证明：目前国内外绝大部分情况下光从启发式/QVM引擎的角度来说，高查杀=高误报。我想，“从启发式/QVM引擎上可以做到高查杀低误报”这个谣言，是该毁灭的时候了吧？

-oAo-

感觉高查杀和低误报是鱼和熊掌，不能兼得

苏怅

高误报不等于高查杀，但是高查杀等于高误报   这句话很赞同

驭龙

我倒是认为查杀高，真的不等于高误报。就拿本次AVC测试，卡巴和比特梵德的误杀并不高，但查杀非常高。

另外不管厂商使用什么手段，只要获得查杀高，误报低，就等于是成功

hdy0775

杀软，
原则上，
要求100%查杀，
0%误报。。。
高查杀与高误报没有必然联系。
139÷300000×100%=某杀软误报率，因为实在太小了，只好用具体误报数目来表示。

独家的记忆

hdy0775 发表于 2012-4-20 14:07
杀软，
原则上，
要求100%查杀，

又来误导广大饭友了
谁告诉你除数是30万了？ 说不定除数才150呢

怎么样了

360如果没有QVM引擎,  只是云和常规引擎 , AVC测试误报肯定不会高 ,    查杀率可未必就低 , 这从以前的AVC和VB100的测试成绩报告就能得出结论 ,

所以说,  高查杀等于高误报 = 谬论

hdy0775

独家的记忆 发表于 2012-4-20 14:18
又来误导广大饭友了
谁告诉你除数是30万了？ 说不定除数才150呢

什么“误导”？
什么“说不定”
你自己都不知道，还说什么“误导”？

独家的记忆

hdy0775 发表于 2012-4-20 14:23
什么“误导”？
什么“说不定”
你自己都不知道，还说什么“误导”？

正因为不确定才用“说不定”

不像你，毫无根据就使用“30万”这个不知道从那里随便搞来的数据，不是误导又是什么？

hdy0775

独家的记忆 发表于 2012-4-20 14:27
正因为不确定才用“说不定”

不像你，毫无根据就使用“30万”这个不知道从那里随便搞来的数据，不是误 ...

是你自己不确定，
那是你的事；
与大家的关系不太大。