关于防毒软件误杀系统文件
好像差不多每家都出现这个问题,都是宁可杀错三千,不放过一个。(事实上并不存在能100%杀毒的软件,因为先有毒才有病毒库)其实这个问题很容易避免的吧,某防毒软件的N年前的版本就有默认排除系统保护文件,嗯嗯,很有先见之明,啦啦啦
.................
不明白楼主啥意思.............. 但这样就会出现病毒感染系统文件时,杀毒软件在原本可杀的情况下放过了,允许病毒感染了
宁可杀错三千,不放过一个的好像并不多吧,卡巴有时会出现,小红伞由于脱壳能力为0加上追求高判别率之外,好像比较多人用的杀毒软件都没有这情况 Windows 文件保护在 Windows 2000 以前的 Windows 版本中,安装除了操作系统之外的软件可能会覆盖一些共享系统文件,诸如动态链接库(.dll 文件)和可执行文件(.exe 文件)。覆盖系统文件后,系统性能会变得无法预测,程序运行不稳定,操作系统也会出现故障。
在 Windows 2000 和 Windows XP 中,Windows 文件保护可以防止替换受到保护的系统文件,例如 .sys、.dll、.ocx、.ttf、.fon 和 .exe 文件。Windows 文件保护在后台运行,可保护 Windows 安装程序安装的所有文件。
Windows 文件保护能检测到其他程序要替换或移动受保护的系统文件的企图。Windows 文件保护能检测文件的数字签名,以确定新文件的版本是否为正确的 Microsoft 版本。如果文件版本不正确,Windows 文件保护会用 Dllcache 文件夹或 Windows 中存储的备份文件替换该文件。如果 Windows 文件保护无法定位相应的文件,它会提示您输入该位置。Windows 文件保护还会将事件写入事件日志,注明曾有过文件替换企图。
默认情况下,Windows 文件保护一直处于启用状态,同时允许 Windows 数字签名文件替换现有文件。目前,签名文件通过以下各项进行分发:
Windows Service Pack
修补程序分发
操作系统升级
Windows Update
Windows 设备管理器/类别安装程序 MC也是默认读取时不会监控,写入系统保护文件时监控的
当然有利必有弊,而且签名也可以伪造
[ 本帖最后由 Webmaster 于 2009-3-9 17:09 编辑 ] 麻痹3楼别乱说话,红伞从来没杀过系统文件,别拿他和卡巴比 AVAST!误杀好多 特别是最近 N个网游更新的时候它会跳出来报警
当然我也没技术了解究竟是真的有问题还是误杀 原帖由 赤色彗星SEXY 于 2009-3-9 21:58 发表 http://bbs.saraba1st.com/images/common/back.gif
麻痹3楼别乱说话,红伞从来没杀过系统文件,别拿他和卡巴比
我没说红伞杀系统文件,但红伞的技术能力不足是事实,没有脱壳能力但又要追求判别率,虽然这样做提升了一些判别率,某些样本区测试的成绩不错,但造成的后果是误报率成倍提高,而且经常报壳,一个正常文件加壳加花很容易就报毒,提取的特征经常是壳的特征还有加花的特征,除此之外还有。现在加壳的正常软件很多,如果还不加入脱壳能力,还想误报到什么时候?所以才说宁可杀错三千,不放过一个,只要加壳(特别是加密壳),就是病毒。如果加入了脱壳能力,控制好误报,还是个不错的杀毒软件,但可惜官方没有加入脱壳能力的意愿。这浪费了红伞不错的样本收集能力。
原帖由 明斯克 于 2009-3-9 22:54 发表 http://bbs.saraba1st.com/images/common/back.gif
AVAST!误杀好多 特别是最近 N个网游更新的时候它会跳出来报警
当然我也没技术了解究竟是真的有问题还是误杀
有些是真有问题,有些是误报。还有AVAST!对外挂和注册机几乎是必杀的,很少有放过的
[ 本帖最后由 ch23 于 2009-3-10 09:21 编辑 ] LZ这个是8.5 么,8.0有没这功能? 原帖由 redwolfs 于 2009-3-10 11:33 发表 http://bbs.saraba1st.com/images/common/back.gif
至少卡巴本土化做得最好,这一点就可以把误杀王小红伞扔一边去了
大笑,知道卡巴11月份的时候连杀两次系统文件么? 原帖由 林檎 于 2009-3-10 09:46 发表 http://bbs.saraba1st.com/images/common/back.gif
LZ这个是8.5 么,8.0有没这功能?
8.0有的 被卡巴一路杀过来
卡巴真强大,杀一次崩一次,上次终于dos下把别人的系统文件靠过来救回来了(以前都是闲麻烦直接重装了)
现先觉得nod32真省资源。。
页:
[1]