AVAST误报多的原因！

可沁

转自百度avast!贴吧

1：avast!拥有先进的杀毒引擎和全模块化的架构，它的引擎核心可与许多的客户端程序或 Plungin 配合，不仅可以查杀大量已知病毒木马，其基因启发扫描技术甚至可以查杀很多未知或变种病毒！

基因查杀技术的原理是通过分析大量病毒样本提取一类病毒的共同代码来防杀这类病毒，通常是提取关键代码。优点：提升侦测率，降低病毒分析师的压力。缺点：有误报的可能性。难点：必须不断更新基因代码，否则会使效果大打折扣。

2：扫描引擎还内置采用先进GMER技术的ANTI-ROOTKIT功能.

最可怕的其中一种恶意软件就是rootkit,而许多类型的反恶意软件都检测不到这种恶意软件。利用rootkit把特洛伊木马隐藏起来,然后利用木马在你毫不知情的情况下控制PC,这种情况并不少见。

3：avast!的实时监控功能十分强大！它拥有七大防护模块：网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护，avast!专业版还有脚本拦截功能，可以有效拦截网页上的恶意脚本，这么完善的防护系统，定能让你的系统练就一副金刚不坏之身！avast!的实时监控有独特的静寂模式，在发现病毒时会自动与带毒网址断开，可以有效的防止病毒从网上入侵

4：再说说启发式扫描技术  

启发式扫描技术，不是单纯搜索一个程序体内的特征码，而是把静态扫描技术，比如特征码与动态虚拟结合起来。动态虚拟是让被检测的程序在一个虚构的环境中执行，带病毒的程序自然表现出一些特征，可让病毒体释放出来，再进行特征码检测，进行加权或其他基于数学统计的方式进行启发式扫描。这种技术的优点是误报率低，且能够检测出病毒变形; 缺点是对未知病毒的检测能力较低。

5：接着说说行为判定技术
基于虚拟机技术，还有一种叫行为判定技术。它真实地模拟操作系统，称为虚拟机，让病毒在虚拟环境里尽量真实地执行。如果这个文件会打开另外一个文件，或者将系统终端修改了，或者将特定的扇区修改了，总之符合现有的规则条件，就认为它是一个病毒。这种技术的优点是能够对未知病毒进行判别，对标准病毒判别准确率高。缺点是实现难度很大。

6：病毒的主动防护技术就是实时监控了。  

文件监控技术是为了对付文件型病毒，当点击一个文件时，监控程序会通过操作系统截获到文件操作，把这个文件抓住，扔到反病毒引擎里进行病毒扫描，一旦发现文件带毒，就拒绝打开，这样设备不会受病毒的干扰。  

内存监控技术是为了对付内存型病毒的，在程序运行起来时检测是否带毒。  

邮件监控是为了对付邮件病毒而产生的。用户发送邮件之前，首先用反病毒引擎对其进行扫描，如果带毒就拒绝邮件发送。接收邮件时，反病毒软件把邮件先收下来，直接转交给反病毒引擎，进行检测后，如果发现有病毒，就将病毒清除后再发送给用户。  

嵌入脚本监控是为了对付脚本病毒而研制的。当打开网页时，脚本监控程序首先对网页检测是否带毒。如果有病毒，就会显示发现病毒代码，数秒内自动跳过。

7：说到底，AVAST4.8PRO之所以误报的原因就是它所使用的基因查杀技术，再加上病毒库更新快，软件的监控能力又强，所以很容易就产生误报。这种基因扫描技术虽然误报多，可是对未知病毒防范的确效率非常的高

病毒变了，但万变不离其宗，变型总是有踪迹可循，比如特征串里可能有十个字符，变了八个，还有两个没变，我们把这两个作为特征，可以检测到部分变形病毒，但是一个很大的缺点是容易误报。

[ 本帖最后由 可沁 于 2009-1-21 22:24 编辑 ]

月影花痕

avast!最著名的一条基因特征码：Trojan-gen{other}

gho

这个就是误报根源

月影花痕

只能说功过参半吧，没有它，病毒检出率会大大降低！[:1:]

可沁

原帖由 gho 于 2009-1-21 22:39 发表
这个就是误报根源

是吗？

收益了

月影花痕

去掉它，avast!也就不能称其为avast!啦！可以到扫描测试区看看，你就知道Trojan-gen{other}的功劳了！

禅师归来

“病毒的主动防护技术就是实时监控了”跟我的观点差不多，我在考虑要不要把它加进我的“禅师语录”。

我的原话是这样的——“主动防御？您是在说实时监控吗？”^_^
通常我遇到月亮鱼说的Trojan-gen{other}都暂时放过O(∩_∩)O哈哈~

gho

呵呵受教了

月影花痕

客气，您谦虚啦！

冲动的小白

我只知道avast的基因查杀很强