反病毒误报问题机理技术蓝皮书(五)

五、引擎机理环节

有时特征提取本身并没有问题，但由于引擎的机理问题，也会导致误报。

哈希碰撞：很多反病毒软件的特征库中并不存储特征码，而是用特征码的某种数学描述，比如CRC、MD5等等，这种方法的好处是显而易见的，首先他把病毒库变长的数据结构，变成一种等长结构，有利于优化和减少空间占用，同时也降低了病毒特征被抄袭的风险。但显然一个CRC32值的内容涵盖力，不如一个128字节的特征码。如果正好有一段其他的代码与病毒特征的CRC32值相同，则会导致误报。

格式识别与预处理：早期病毒误报的重要原因，是反病毒引擎的格式识别与预处理机制，不够完备，比如一个病毒只感染DOSMZ可执行程序，那么对该病毒特征的匹配应该只针对同类型的文件进行。如果用来匹配一些图片、音乐文件，很难保证其中不会有特征碰撞，早期令人惊诧的“JPG病毒、BMP病毒”实际上并不是今天大家比较了解的格式化溢出，而是反病毒软件的误报。

脚本：脚本带来的误报是屡见不鲜的，因为脚本不象2进制机制有严谨的结构。因此病毒脚本和正常脚本和网页之间的往往不容易划清边界。大家比较典型的就是看到一些关于批处理命令和注册表编辑的教程经常被反病毒软件误报。

图：格式分支引擎