关于防毒软件误杀系统文件

Webmaster

好像差不多每家都出现这个问题，都是宁可杀错三千，不放过一个。（事实上并不存在能100%杀毒的软件，因为先有毒才有病毒库）

其实这个问题很容易避免的吧，某防毒软件的N年前的版本就有默认排除系统保护文件，嗯嗯，很有先见之明，啦啦啦

好人修電腦

.................
不明白楼主啥意思..............

ch23

但这样就会出现病毒感染系统文件时，杀毒软件在原本可杀的情况下放过了，允许病毒感染了
宁可杀错三千，不放过一个的好像并不多吧，卡巴有时会出现，小红伞由于脱壳能力为0加上追求高判别率之外，好像比较多人用的杀毒软件都没有这情况

Webmaster

Windows 文件保护在 Windows 2000 以前的 Windows 版本中，安装除了操作系统之外的软件可能会覆盖一些共享系统文件，诸如动态链接库（.dll 文件）和可执行文件（.exe 文件）。覆盖系统文件后，系统性能会变得无法预测，程序运行不稳定，操作系统也会出现故障。

在 Windows 2000 和 Windows XP 中，Windows 文件保护可以防止替换受到保护的系统文件，例如 .sys、.dll、.ocx、.ttf、.fon 和 .exe 文件。Windows 文件保护在后台运行，可保护 Windows 安装程序安装的所有文件。

Windows 文件保护能检测到其他程序要替换或移动受保护的系统文件的企图。Windows 文件保护能检测文件的数字签名，以确定新文件的版本是否为正确的 Microsoft 版本。如果文件版本不正确，Windows 文件保护会用 Dllcache 文件夹或 Windows 中存储的备份文件替换该文件。如果 Windows 文件保护无法定位相应的文件，它会提示您输入该位置。Windows 文件保护还会将事件写入事件日志，注明曾有过文件替换企图。

默认情况下，Windows 文件保护一直处于启用状态，同时允许 Windows 数字签名文件替换现有文件。目前，签名文件通过以下各项进行分发：

Windows Service Pack
修补程序分发
操作系统升级
Windows Update
Windows 设备管理器/类别安装程序

Webmaster

MC也是默认读取时不会监控，写入系统保护文件时监控的

当然有利必有弊，而且签名也可以伪造

[ 本帖最后由 Webmaster 于 2009-3-9 17:09 编辑 ]

赤色彗星SE

麻痹3楼别乱说话，红伞从来没杀过系统文件，别拿他和卡巴比

明斯克

AVAST!  误杀好多 特别是最近 N个网游更新的时候它会跳出来报警
当然我也没技术了解究竟是真的有问题还是误杀

ch23

原帖由 赤色彗星SEXY 于 2009-3-9 21:58 发表
麻痹3楼别乱说话，红伞从来没杀过系统文件，别拿他和卡巴比

我没说红伞杀系统文件，但红伞的技术能力不足是事实，没有脱壳能力但又要追求判别率，虽然这样做提升了一些判别率，某些样本区测试的成绩不错，但造成的后果是误报率成倍提高，而且经常报壳，一个正常文件加壳加花很容易就报毒，提取的特征经常是壳的特征还有加花的特征，除此之外还有。现在加壳的正常软件很多，如果还不加入脱壳能力，还想误报到什么时候？所以才说宁可杀错三千，不放过一个，只要加壳（特别是加密壳），就是病毒。如果加入了脱壳能力，控制好误报，还是个不错的杀毒软件，但可惜官方没有加入脱壳能力的意愿。这浪费了红伞不错的样本收集能力。

原帖由 明斯克 于 2009-3-9 22:54 发表
AVAST!  误杀好多 特别是最近 N个网游更新的时候它会跳出来报警
当然我也没技术了解究竟是真的有问题还是误杀

有些是真有问题，有些是误报。还有AVAST!对外挂和注册机几乎是必杀的，很少有放过的

[ 本帖最后由 ch23 于 2009-3-10 09:21 编辑 ]

林檎

LZ这个是8.5 么，8.0有没这功能？

赤色彗星SE

原帖由 redwolfs 于 2009-3-10 11:33 发表
至少卡巴本土化做得最好，这一点就可以把误杀王小红伞扔一边去了

大笑，知道卡巴11月份的时候连杀两次系统文件么？

Webmaster

原帖由 林檎 于 2009-3-10 09:46 发表
LZ这个是8.5 么，8.0有没这功能？

8.0有的

chrisY

被卡巴一路杀过来
卡巴真强大，杀一次崩一次，上次终于dos下把别人的系统文件靠过来救回来了（以前都是闲麻烦直接重装了）
现先觉得nod32真省资源。。