AV-C误报测试详细报告之胡言乱语

jefffire

avc的误报测试详细报告  

为了让大家看懂报告，先说一说图表。
    图表一共三列。第一列是误报的文件包的类型，注意是文件包而不是具体某个文件。第二列是误报检出的报毒名称。第三列是该类型文件可能的涉及范围。
   对第三列特别说明一下。AVC将文件广度分为5个等级，颜色由绿色逐渐变为红色。1级用绿色表示，说明该文件类型预计涉及用户数量小于100名。2级用黄绿色表示，说明该文件类型预计涉及用户数量在数百名左右。  3用黄色表示，说明该文件预计涉及用户数量在数千名左右。 4级用橙色表示，说明该文件类型预计涉及用户数量在一万左右及以上。5级用红色表示，说明该文件类型预计涉及用户数量在数万至数十万甚至更多。



    先看看BitDefender的误报测试结果，一共报了3个类型包。这些类型包的分布广度都很低，均是一级或二级广度文件。这些文件除了Twitter Reader本人还见过外，剩余两个一概不知道干嘛的。BD的误报控制确实相当不错。这在国内PCSL误报测试中也得到了印证： http://bbs.kafan.cn/thread-936225-1-1.html




  
再看看360的误报测试结果，这下多了。为了更方便大家阅读，本人特意对图进行的了标注。在此说明一下。
        首先会发现一个奇怪的现象，在第二列中有不少“？？？？？？？？？”。这个本人估计是由于AVC的英文操作系统不能显示中文所致，因此无法将“行为与木马相似的程序”显示出来。  然后再看看本人画的框。蓝色表示BD引擎的误报，橙色表示云端QVM的独立误报，其余的表示云端的其他误报。 红色表示本人认为的比较严重的误报。

  360的BD引擎一共误报15个类型。云端QVM独立误报13个类型。云端其余误报76个。
其中本人认为比较严重的误报类型有：ClamWin AV、CorelDraw、ESET AV、Windows XP、Nokia Free、Norton AV、WinRAR

    比较BD和360BD引擎的误报，有一个有意思的现象。那就是原版BD引擎的Gen:启发类型检出居然没有出现在测试中，而360的BD引擎却有11个该类型的启发。预估由两种可能，BD在测试中特意关闭了这个Gen：启发，不过考虑到BD系都未出现这类启发，估这一点不太可能。那么就只有一种可能，那就是360调高了BD启发引擎的参数设置。
   在实际的使用中，这个启发引擎也确实带来了一定的问题。比如某次360网盾误报卡巴斯基安装包的原因就是BD的启发引擎。
总的来说360的国际化道路，还路漫漫修远兮。

黑羽

[:26:]AV-C的报告很多，慢慢看

z13667152750

报gen的除qvm外还有22个,楼主漏了几个?
不过不能确定是否全部来自本地BD引擎

mexth

学习了。。。这些有些问题就明白了

李白vs苏轼

那就是360调高了BD启发引擎的参数设置

觉得这个猜测挺合逻辑的
我倒不觉得这样做有什么不好的

在国内的大环境下 有比较健全的白名单可以支持

降低误报

jefffire

z13667152750 发表于 2011-4-14 19:13
报gen的除qvm外还有22个,楼主漏了几个?
不过不能确定是否全部来自本地BD引擎

哪有22个？

z13667152750

回复 6楼 jefffire 的帖子

又去统计了下,是21个

小蚂蚁的梦想

慢慢看   报告真多

jefffire

z13667152750 发表于 2011-4-14 19:18
回复 6楼 jefffire 的帖子

又去统计了下,是21个

看我的图，橙色框出的是QVM其余均不是。

z13667152750

回复 9楼 jefffire 的帖子

怎么知道是云端报的gen?

看报的名字也可以?

比如那个virweed报的gen