大家都是如何定义“误报/误杀”的？谈谈我的个人看法……

wellofsouls

个人感觉大家常说的误报/误杀主要分三种类型：

1）把明确正常的程序给报成病毒，或者把某些仅仅是有可疑特征的程序给报成错误的明确病毒。
个人遇到这种情况很少，印象比较深的是几年前用a-squared和Ikarus结果把中文版XP的explorer.exe，notepad.exe等等都给报成木马，应该是当时对中文市场完全忽略的结果。还有比较有名的诺顿，卡巴误杀系统文件，报道的沸沸扬扬，不过当时我没在用这俩杀软。另外微点经常把刚出的测试版Flash，测试版Opera什么的以100%的自信给报成木马，当然一般很快就会加入白名单。还有几次小红伞因为某个病毒常用一种壳，就把另外用这种壳的无关程序给信心十足的报成这种病毒的情况。个人认为这种类型就是完全的、真正的误报/误杀，没有什么可怀疑的。


2）把有某些可疑行为的程序给报成未知的可疑程序。
这种情况就比较多了，一般是遇见加了壳的程序无法脱壳分析，或者黑名单白名单里都没有但行为可疑，和其他病毒有某些共同特征的程序，有的是报成generic PUP（未知的可能有害的程序），有的按照具体行为报的详细些，比如Runtime Packer（运行时打包程序），generic dialer（未知的拨号程序），只要你经常用注册机，算号器什么的，几乎每个杀软隔三差五都会报这类警报。只不过有的杀软自信过满直接报成不相关的病毒（变成误报类型1），有的杀软就保守一些，既然没有把握，就及不确定说病毒，也不确定说无害，报个“未知的可能有害程序”让你自己去判断。这种类型说误报也不能完全算是误报，人家报的也的确是你这程序的特征，但这就好像有人用板砖拍了人，你就说所有用砖头盖房子的人都可疑一样，个人感觉算是一半的误报。

3）把某些特定的程序给准确报成确定的可能有害的程序
这种情况也很多见，就是某些特定的程序，明确的在杀软的特征库里面，你认为有用，但杀软认为是可能有害的，所以就给你报警，而且报的非常准确，比如你下来个密码查看器，端口扫描器，破解工具什么的，就给你报Hacktool（黑客工具），下个按键记录器，给你报keylogger，有广告行为的软件报adware，还有卡巴的not-a-virus系列等等，种类名称编号描述样样齐全，摆明了告诉你我报的就是你这个程序。像是安装迅雷，搜狗，就经常能碰见杀软把里面的某几个dll和exe给干掉，还有最近微软删除搜狗浏览器，很多人都喊误报，实际上人家就是摆明了删的就是你。这种类型个人感觉完全不能算误报/误杀，顶多算是不同杀软/地域对有害程序的认知概念有些许不同，但无论报的还是杀的都很准确，没有什么“误报/误杀”之说。

第一种类型的误杀，没有什么好说的，遇到了就只有囧一个字 第二种类型的误杀虽然表现出了杀软能力不足，而且有将分析判断的责任转嫁到用户身上的嫌疑，不过总比自信心过剩到乱指一通要稍微好些，但这种情况能减少还是要尽量减少为好。至于第三种类型的“误杀”，我个人倒是认为这种杀迅雷，杀搜狗的做法以后如果能多些会更好，有助于减少国内知名软件流氓安装的习性，而且很多杀软里面都有“可能的有害程序”（PUP/PUA）的选项，如果不想要这种“误杀”，直接把查杀PUP给取消掉就好了。如果一边留着勾选查杀PUP的选项，一边看见报PUP就喊误报，那就没什么可说的了……

欢迎大家评论拍砖

★比尔·盖帽★

楼主说的不错  我支持  不拍砖

jason_jiang

一句话，“unwanted detection”

明镜星空

LZ 说的挺好。

wyq124618898

顶楼主。。。。。。。卡巴现在在国内误杀率很低了。。国产费尔也不错。。。

post8

误报破解游戏的文件

大大小

只要不是系统文件，宁可错杀一千，绝不放过一个！

寒山竹语

只要不是系统文件，宁可错杀一千，绝不放过一个！
大大小 发表于 2010-2-21 09:39

    这句话对于我安装各种商业软件的遭罪了。指望这东西赚钱呢，结果钱先没了。

Lelouch

差不多就是这个意思，说白了就是恶意软件判断错误。

皇柝

楼主分析的很细致