关于Windows Defender和MSE统计病毒数量的一些非常常见的误解的纠正

hez2010

之所以说非常常见，是因为包括很多技术大牛在内都会把这个东西搞错。

绝大多数人使用Windows Defender或者MSE测试查杀率的时候，总是使用它报出来的威胁数量来算，实际上这种算法是错误的。
实际上，Windows Defender和MSE都会把拥有同一个病毒名的病毒文件归为一个威胁，或者叫一个项目。

现在举个例子，我用精睿8.13的包（包含50个病毒样本）来测试一下Windows Defender：

从图中看好像是发现了28个威胁，所以有人就说查杀率是28/50*100%=56%，其实并不是。

现在我们来展开详细信息看一下：

如图所示，在一个威胁下实际上包含了2个不同的文件，因为他们的病毒名相同，所以归为了一个威胁。

现在就有人会说，那我把所有的containerfile或file的数量加起来不就是最终的吗？
然而，下面这两张图证实这是错误的：


由于这个文件包含有两种病毒，于是按两个威胁来算了，如果用上面的方法你会把这个文件重复算一次。

所以如何统计Windows Defender或MSE的查杀率呢？只有一个方法：处理以后统计剩余文件个数。
但是还有一点，因为Windows Defender和MSE默认只清理警报级别为“严重”和“高”的项目，而其他警报级别的会被无视，除非你点开详细信息选择操作然后点击下面的“应用操作”按钮。直接点击“清理电脑”是不行的，哪怕选择了操作然后关掉详细信息点击“清理电脑”也不行，因为它不保存你的选项。然而有时候他会要求你重启，那就只能重启以后再统计。


我这里选择“删除”然后应用操作。


现在处理完了，是不是可以统计了呢？答案是：绝对不行！
如图所示：

看见了吧？遇到错误，我们发现这个威胁（项目）包含的文件是46.vir，打开文件目录一看，46.vir完好无损的出现在目录中，显然它并没有被处理掉。所以我们得手动把这些处理失败的文件删掉最后才能统计。因此，如果需要重启，在重启之前一定要注意哪些文件处理结果是“遇到错误”，我们需要将这些威胁（项目）中所包含的文件手动删除掉。


关于“找不到”的解释：因为有个文件被报了多个威胁，所以这个文件在Windows Defender或MSE处理其中一个威胁（项目）的时候就已经被删掉了，所以处理另外的威胁（项目）时当然就会“找不到”。

现在我们把46.vir删掉，再统计。

剩余19个文件，查杀率：(50-19)/50*100%=62%。虽然说跟上面的结果相比并没有提高多少，但是这仅仅是50个病毒样本，可以想象，如果是1000个病毒样本进行测试，病毒名重复、一个文件包含多种病毒的概率是多么高！

所以说，Windows Defender的查杀率并不像你们想象的那样是“基准线”，其实只是因为你们的统计方式错了而已。

maomao110

我也发现了  所以我换回了WD

我是隔壁的小号

哇哦，真细心。
我这么多年一直没有注意过。
谢谢科普了。
@pal家族 @root1605

白露为霜

我是隔壁的小号 发表于 2015-8-16 19:10
哇哦，真细心。
我这么多年一直没有注意过。
谢谢科普了。

Windows Defender的查杀率并不像你们想象的那样是“基准线”，其实只是因为你们的统计方式错了而已。

AVC不会不清楚这个吧

hez2010

root1605 发表于 2015-8-16 19:13
AVC不会不清楚这个吧

这个说不准

pal家族

我是隔壁的小号 发表于 2015-8-16 19:10
哇哦，真细心。
我这么多年一直没有注意过。
谢谢科普了。

一直知道

国民艾特

暫時WD  先觀望

卡布达

确不太会扫到的每个病毒都一 一点击然后看下面的详细信息包含的是哪几个文件然后再数一数叠加？
但是再查看一下文件夹基本都会吧，拉完粑粑还看一眼马桶呢
竟然是技术原创标签

htc360

写了那多么字，就该顶

驭龙

这个我多年前就说过，MA强制修复样本，修复数必须统计，否则无法展现MA家族的查杀水平。

PS：其实这个问题不需要写这么多字的，很累哟