时至今日,还有一些朋友在抱怨Norton误报windows文件带来的损失,但是看了很多朋友的分析和回复,大多数都是替norton喊冤或者是狂骂赛门铁克的,但是深入分析事件原因的帖子不多,我在金山毒霸铁军的博客上看到了一篇深入分析原因的文章,非常精彩,转载给大家: 今天下午,我的一个朋友打电话和我说他们公司40多台机器出现相同的现象,开机时蓝屏,提示unknown hard error,甚至连安全模式也启动不了……其实之前金山毒霸的客服也接到很多类似情况。第一感觉是病毒破坏了系统,在网上搜索发现很多在人讨论一个木马Backdoor.Haxdoor,这是个老木马,难道是它出了新的变种,由木马变成感染型或蠕虫了,要不怎么可能突然出现这么多的报警。 问了病毒分析组,他们已经证实,这是NORTON杀毒软件的误报 反病毒技术无法完全杜绝误报,就好比医生不可避免会出现误诊,如果某个医生一辈子没遇到一个误诊,那他肯定是个不称职的医生,他从来没看过病。 杀毒软件通常采用两类技术对抗计算机病毒:
1.病毒特征码查杀,分析病毒程序的特征代码,杀毒引擎扫描对象中是否存在和病毒特征代码匹配,如果有,则判断为病毒,没有,即不是病毒。
特征码查杀历史悠久,速度快,误报率低。缺点是总是先抓到病毒,再制作特征码升级病毒库,总跟着病毒跑。 2.启发式查毒(或其它名字),是根据病毒普遍的特征或行为进行判断。
可以发现未知病毒,缺点是误报率太高,假报警太多。 误报的原因:
一是鉴定错误,把正常文件误认为病毒。二是病毒特征提取错误引起的误报。 误报既然是不可避免,杀毒软件公司就应该最大限度减少误报,最大限度的减少由误报带来的损失。如果杀毒软件把系统重要文件误报,就可能酿成严重后果,今天朋友们遇到的情况就是如此。我们分析发现,该误报只发生在简体中文WINDOWS操作系统。难道是该杀毒厂商无视数以千万计的简体中文WINDOWS用户?没有在简体中文系统上做误报测试?尽管我们不相信,但答案显然是这样。 金山毒霸病毒库的制作、升级过程包括:样本鉴定、病毒库制作阶段、病毒库测试、病毒库升级发布三个关键步骤,由专门的小组来负责。 1.样本鉴定、病毒库制作阶段:
对可疑样本文件进行鉴定时,首先通过白名单过滤机制,把明确不是病毒的样本过滤掉。再通过二次人工鉴定来确认病毒样本。提取病毒特征的方法,我们进行了多年的经验积累,已经可以有效的避免提到非病毒特征的位置,最后将病毒特征制作成最后的病毒库。 2.病毒库测试:
包括病毒库有效性测试和误报测试。在误报测试中,与世界上各大杀毒厂商一样,不断的从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统。形成一个巨大的误报库,通常这个库在超几百个G的容量。误报库也有专人维护,不停的从互联网和用户手中收集各类程序来扩充。 误报测试是在十几台专用误报测试服务器的速度保证下,在一小时内完成当次病毒库的测试工作。 3.升级发布阶段:
只有完全通过有效性测试和误报测试的病毒库才会升级发布。
看到这里,不免对norton有些失望,一直以来norton一向以运行稳定、误杀误报少而著称,然而面对市场激烈的竞争, Symantec的产品因为不具备启发式杀毒的功能、无法查杀未知病毒和潜在威胁而被网友诟病。这次symantec的举动也可以被看作是赛铁矫枉过正的体现,然而心急吃不了热豆腐,任何产品在市场上参与竞争,还是要以产品质量和用户感受为出发点,norton这么长时间也没有给大家一个误杀时间准确的回复,对待用户的态度上已经输给了其他对手一筹。
而金山积极进取、诚恳认真的态度却形成了鲜明对比。我们看到不论是对待威金、灰鸽子还是ARP病毒,金山不仅仅提供给用户优秀的解决方案,还把问题的本质说的明白,让不同层次的用户都可以感受到金山毒霸工作的机制机理,就算是出了问题也可以在第一时间处理和解决。这正是广大用户所需要的。在这里我要一如既往的支持金山,支持国货,希望国产软件越办越好!也希望真正有远见的朋友一起来支持国产软件,毕竟在这方面,我们还有很长的路要走。
相反,这次NORTON对简体中文windows系统文件误报,中国用户遭受重大损失。一个在盛大信息部工作的朋友告诉我说,他们公司有数千台客户机,公司购买了NORTON企业版,今天他快疯了。
| 
[复制链接]
发表于 2007-5-23 16:13:05
