Windows病毒与“假阳性”的分辨与对策

有时,我们明明知道一个程序或文档没有任何恶意或破坏性,但其总是被某些安全软件识别为病毒或木马并给出安全警示,这种“症状”类似于医学上的“假阳性”。那么,Windows下的文件为何会出现“假阳性”?我们如何才能知道一个文件是否包含病毒,或者它只是一种“假阳性”呢?

1. 造成“假阳性”的可能原因

○启发式扫描技术的短板

目前许多安全软件普遍采用了一种称为“启发式”的扫描技术,它们根据已有的大量数据来推断眼下的这个文件是否具有类似的“症状”,从而据此猜测威胁的可能性(图1)。那么,既然是猜测,尽管有理有据,也不可能百分之百地准确,因而误判是很自然的事。

2110A-JYX-1

○支持捆绑或广告推送的软件

目前有不少软件会捆绑一些广告或其他的软件,这些内容尽管不一定会对用户的电脑造成破坏,但也会给人增添麻烦,一些不正规的软件尤其多见此类现象(图2)。因此,多数安全检测软件会将此类软件视为威胁因素而加以提醒。

2110A-JYX-2

○因为程序的特殊行为引起

还有的软件会访问特定的Windows设置,例如,产品密钥查找器类软件会查找包括系统密钥和一些已经安装的应用软件的密钥,有时这样的程序会被列入报警的对象。此外,还有系统或软件激活类的工具等。具有上述行为的一些软件,一般也容易被安全监测软件列为威胁因素而弹出警告(图3)。

2110A-JYX-3

2. “假阳性”的识别和应对

要百分之百地识别是真病毒还是“假阳性”是非常困难的一件事。但我们可以通过已有的常识和识别技巧,尽可能地加以识别、阻止或放行。

例如,TXT文本中可能会有某些类似病毒的代码,该文本可能会被杀毒软件截获,这种警示显然可以被判断是误报或“假阳性”;DOC文档中的宏明明是用户自己编制的,也可能会被误报;如果你在使用一个管理注册码的工具,这样的软件被误报也很自然;而如果你使用一个病毒测试包来测试杀毒软件的有效性,那么被拦截的可能性一定会是100%。

小提示:利用虚拟机来运行

如果你对报警的程序不能确定其安全性,那么,可以寻找同类替代品来解决,这时尽可能使用可移植的、免费的、开源的、绿色的软件。如果不得不使用该程序,在虚拟机环境下运行为妙。

3. 需要另装杀毒软件吗

主流的杀毒软件能拦截绝大多数的恶意软件,但即便是再先进的杀毒产品,监控之下都会出现“漏网之鱼”,无法做到百分之百的查杀,这其中被漏掉的那部分也许会被我们遇上。那么,还需要单独安装其他的杀毒软件以织密防护网吗?

其实,Windows 10自带的安全软件就已经非常优秀。对于普通的用户来说,为了获得不确定效果的拦截性能的提升,冒着可能出现的更多误报或软件冲突,而再去安装另一个或另一些杀毒软件,其结果仍然还是不一定能完全地堵住所有的漏洞,显然没有太大的必要。当然,如果另有目的,例如测试各种杀毒软件的性能,或者要说明厂商对用户更加负责而进行更为细致的检测等,则需另当别论。