科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道反病毒误报问题机理技术蓝皮书(五)

反病毒误报问题机理技术蓝皮书(五)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

有时特征提取本身并没有问题,但由于引擎的机理问题,也会导致误报。格式识别与预处理:早期病毒误报的重要原因,是反病毒引擎的格式识别与预处理机制,不够完备,比如一个病毒只感染DOSMZ可执行程序,那么对该病毒特征的匹配应该只针对同类型的文件进行。

作者:论坛整理 来源:zdnet网络安全 2008年3月11日

关键字: 木马 反病毒 病毒防范 防病毒 病毒 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

五、引擎机理环节

有时特征提取本身并没有问题,但由于引擎的机理问题,也会导致误报。

哈希碰撞:很多反病毒软件的特征库中并不存储特征码,而是用特征码的某种数学描述,比如CRC、MD5等等,这种方法的好处是显而易见的,首先他把病毒库变长的数据结构,变成一种等长结构,有利于优化和减少空间占用,同时也降低了病毒特征被抄袭的风险。但显然一个CRC32值的内容涵盖力,不如一个128字节的特征码。如果正好有一段其他的代码与病毒特征的CRC32值相同,则会导致误报。

格式识别与预处理:早期病毒误报的重要原因,是反病毒引擎的格式识别与预处理机制,不够完备,比如一个病毒只感染DOSMZ可执行程序,那么对该病毒特征的匹配应该只针对同类型的文件进行。如果用来匹配一些图片、音乐文件,很难保证其中不会有特征碰撞,早期令人惊诧的“JPG病毒、BMP病毒”实际上并不是今天大家比较了解的格式化溢出,而是反病毒软件的误报。

脚本:脚本带来的误报是屡见不鲜的,因为脚本不象2进制机制有严谨的结构。因此病毒脚本和正常脚本和网页之间的往往不容易划清边界。大家比较典型的就是看到一些关于批处理命令和注册表编辑的教程经常被反病毒软件误报。

图:格式分支引擎

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章