关于主动防御的误报问题

佛MM

说实话,主动防御要求低误报是比较困难的事情!我之所以发这帖,是希望给那些不明白杀软为何总是误报的用户一些启示.

每个杀软都有自己的误报库(它们收集的各种未发生误报或者已经误报的正常软件的所有文件)
体积达到几百上千G,每更新一次病毒定义,就要用更新的定义扫描一下误报库,看出问题与否!但是不能杜绝误报,因为误报库始终是有限的,而且每个软件还有更新,诺顿有微软的代码,但是还是被升级补丁弄得阴沟里翻船!

主动防御要减少误报更加困难,因为它不像其他杀软扫一遍了事,它要求把误报库所有软件运行起来,金山一向自诩误报库很大,但是我测试它主防的时候,它的误报库丝毫发挥不了作用,误杀率竟然100%!为什么会这样?大家想想,主动防御每更新一次行为规则就要运行误报库,运行上千G的东东,耗费很多时间和资源!所以我相信微点不是每时每刻都更新规则的,它第一时间是加特征码,然后把样本集合起来,一个月修改一次规则,大家有没有发现大概一个月左右,微点更新才会先停止程序再更新启动?它暂停运行实际上是要修改程序,增加探针!

其实大家可能一直都不知道微点有一个神秘的地方,就是有正常行为库(假如说危险行为在组合判定的时候实行减分,那么正常行为就给予加分处理,最后来综合判定,所以我认为联动分析对减少误报是有尽到努力的)当然这个正常行为规则不能公开,实际上也有病毒作者猜到了一部分,所以成功过了微点(但是相信加的分不会太多,否则风险就增加,这个看微点怎么平衡)

微点也觉察到误报无可避免,于是设立了可信程序设置给大家作为应急,大家如果有什么好的能有效避免误报的建议,不妨上报给官方,功德无量!

capsshift

误报库几百上千G，难道每个文件判断都要连网？我的微点安装文件夹没超过七十兆。

capsshift

哦，楼主的意思是病毒定义前进行测试，估计是特征码专用。

佛MM

原帖由 capsshift 于 2007-10-30 10:35 发表
误报库几百上千G，难道每个文件判断都要连网？我的微点安装文件夹没超过七十兆。

我们用户是没有误报库的,只是官方那边有,它过一遍没有问题才把更新发出来!

Nblock

就因为有些正常软件具有病毒行为  才会引起微点的“误报”  微点现在的误报已经越来越少了

google拼音每次要来一次 我把google换了搜狗