第一幕:惊魂
今天如同往常一样,回家、开机器、上网,但是与往日不同的是,系统在启动后总是先弹出VC2005的DEBUG调试框,我开始没有在意,只是直接关闭了事,然而电脑长时间只显示桌面壁纸,无法看到桌面图标和开始菜单,我开始以为是我把笔记本电脑合上之后系统休眠导致此情况,但重启之后现象依然如故。(见图1)
图1
我用的系统是WINDOWS XP SP2,这时我一方面怀疑是浏览器自身出现了问题,另一方面怀疑是病毒将浏览器干掉了。但是无法浏览,我的硬盘里的一些系统工具无法使用。
我报着试试看的态度按下了任务管理器组合健(CTRL+SHIFT+ESC),还好任务管理器还能用,于是点击“文件\新建任务”,在创建新任务框里敲入EXPLORER.EXE点击确定,这时瑞星监控报警,报出系统里的浏览器文件EXPLORER.EXE为下载木马Trojan.DL.Win32.Mnless.zib。(见图2)
图2
点击清除后,提示Windows无法访问指定设备、路径或文件。(见图3)
图3
原因找到了,原来是瑞星监控阻止了浏览器文件的运行,导致上述现象的出现。再次运行浏览器文件,依然如此提示,这证明瑞星并未将浏览器文件删除,倒底是不是误报,到现在为止还无法判断。
第二幕:寻根
接下来,我需要找到被瑞星报出病毒的文件,看看是浏览器文件被真的木马置换还是瑞星的误报,因为我的瑞星杀毒软件设置了启动前监控功能,只要监控开着,系统就无法正常进入。我本来想用WindowsPE来启动系统来提取样本文件,因为想到在安全模式下,监控模块并不会起作用,因此报着试试看的心态先进入了安全模式。在安全模式下提取了Explorer.exe的样本文件,然后在另一台电脑提取了一个正常系统的样本文件,版本是6.0.2900.3156,通过计算MD5值,发现同为0b55963e2c8129d9d2504a3c291447e0,由此排除了被木马置换的可能,确定是瑞星的误报。
在安全模式下,我将瑞星文件监控功能关闭,然后重启系统,结果一切正常,至此问题解决,虚惊一场,看了看瑞星杀毒软件的版本,20.42.01。
由于时间很晚,解决完后就睡了,结果今天上网搜了一下,已经有关于瑞星误报的帖子,也有了一个官方声明,大致意思是道歉,其它情况未提及。
第三幕:正源
这次误报事件虽然误报的也是重要的系统文件,但是并没有象诺顿误报反应那样强烈,我觉得这是正确的态度,对于杀毒软件来说,误报从理论上无法避免,宽容是应有的态度。不过,在宽容之后,我们应该了解一下误报的原因,这是负责的态度。
面对误报,我想先说一下反病毒厂商是如何处理海量样本的。由于样本集越来越大,各家的样本数量都已经达到了百万量级,为了能够将这些样本的特征都及时加入到病毒库中,一般有两种方法,一是开发一套特征码自动提取系统,通过神经网络等智能算法进行机器提取,在提取后做海量正常文件的误报测试。二是进行多特征匹配,即一条特征尽可能多地匹配到更多的样本,这种方法对木马、对病毒家族是很有效的。不过,这两种方法不管是哪一种,都有误报的可能,一种是自动机的BUG,一种是多特征匹配时的特征碰撞。
因此,为了弥补特征提取的误报问题,大家在进行海量正常样本的误报测试外,现在越来越多的厂商开始加入一个白名单机制,即对市面上所有正常的软件里的可执行程序做一个散列数据库,扫描引擎在做特征匹配之前先做一个白名单的排除匹配扫描。
瑞星这次误报,有两种可能,一种是有可能程序中并没有提供这样一个白名单机制,因为散列匹配的速度要比特征码匹配速度慢,它要对所有文件做动态散列的计算。另一种可能是做了白名单,但是由于操作系统的版本众多,没有收集到更全的的操作系统版本和文件。不过这一种可能有个说不通的地方就是,误报的系统文件是WINDOWSXP SP2中文版,误报的浏览器文件版本是6.0,这是国内目前最流行的操作系统版本,不太可能收集不到,那么经过分析,第一种可能性相对大些。
已被阅读: 次
重庆电脑维修上门电脑维护电脑外包
公司包月维护
【讯闪科技 pc3721电脑维修中心】 正规公司运营
技术实力优秀 服务有保障!
热线电话:
023-62607382 66399947
|
