每當文件實際上非常安全時被標記為危險或惡意時,就會發生“誤報”。任何使用過防病毒軟件的人都時不時地遇到過誤報。直到今天,我仍然收到大量用戶的評論,他們想知道某個文件(通常是可執行文件)是否已被一個或多個防病毒引擎通過 VirusTotal 是否是惡意的。
現在,VirusTotal 通過多個防病毒引擎掃描文件,通常有 60 到 70 個不同的防病毒引擎,如果只有一個或兩個將文件標記為惡意文件,但所有其他引擎都會給該文件提供乾淨的健康狀況證明,我的建議始終是,這很可能是誤報,特別是如果那些將文件標記為惡意的防病毒引擎屬於鮮為人知的種類。
誤報是如何發生的
防病毒解決方案本質上是錯誤的謹慎行事,這是一件好事。安全總比後悔好。然而,僅僅基於可執行文件的行為模式加上防病毒軟件無法判斷該行為是否具有惡意意圖,這通常會導致誤報。
一個典型的例子是任何密碼恢復軟件,例如 NirSoft 的 MailPassView 。由於此類軟件具有洩露隱藏密碼的能力,因此如果落入壞人之手,它顯然可以用於惡意目的。這就是防病毒解決方案如何查看情況並將軟件標記為惡意軟件的方式。然而,許多用戶利用 MailPassView 來檢索自己忘記的電子郵件密碼,這根本不是惡意的,恰恰相反。
防病毒解決方案不具備區分可能的惡意使用和用戶只是簡單使用的能力。嘗試恢復自己的密碼,因此,正如我所提到的,他們會謹慎行事,並且始終將此類軟件標記為惡意軟件。
啟發式檢測
所有現代防病毒解決方案包括一個根據行為特徵標記項目的組件,稱為啟發式檢測。這種類型的保護對於抵禦零日(以前未知)威脅非常有效,但也容易偶爾出錯。這些偶爾出現的錯誤被稱為誤報。
您如何確定?
如果您不確定,VirusTotal 是一個很好的資源,可以清楚地表明文件(可執行文件)是否是惡意的。無論如何,如果您是第一次安裝程序,特別是如果該軟件相對未知,您應該在安裝之前始終通過 VirusTotal 掃描安裝文件。
每當我在 DCT 測試軟件時考慮到審查,我總是首先通過 VirusTotal 掃描可執行文件(安裝文件),以確保推薦它是安全的。
—