揭秘：杀毒软件为何会出现误杀

5月18日，一场突如其来的诺顿误报事件波及了中国数百万电脑用户，一时间，各大媒体纷纷报道，网络上关于杀毒软件误报的讨伐声也不绝余耳。   
% e* L7 M; O! L* ~" P7 L
8 g$ O! A, \$ p3 P 5月19日，在事件发生的十几个小时后，诺顿发表公开声明，并公布了本次误报问题的解决方案，事件尘埃落地。   
% [$ u6 n0 B6 \9 K$ y& b3 [5 C  ^1 ]8 s' t  N& T
然而这场被反病毒专家称为“近5年来最大的误报”事件，是否就这样结束？误杀到底是如何产生的？能否避免？类似的误杀事件是否可能再次发生？一系列的问题都还没有答案。   
7 i; N2 v$ F( f1 a" Z/ o, S6 w4 `  _. Z- F# A% c
误报是如何产生的？   
. _' s% E# A; G) S
' g) z' r+ e  c 误报是杀毒软件最忌讳的事情，也是难免的，但在有保证的情况下，是可以最大限度的去避免误报。   
) i, ?% U7 C2 A4 x9 ?% O. h/ n9 N, B" K: G- V
金山毒霸反病毒专家戴光剑表示，误报的产生主要有两种原因：一是鉴定错误，把正常文件误认为病毒。比如一个网管软件，有病毒分析员收集到这个文件后，分析认为其存在不安全行为，就极有可能并将判定为病毒；二是病毒特征提取错误引起的误报。如果工程师在提取病毒特征时，因疏忽而提取错误。比如病毒一般是用高级语言编写，如果疏忽提到了该编译器的部分特征，就可能出现将使用该语言编写的所有程序判断为病毒，此次诺顿误报事件就是将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll判定为病毒所致。   1 m1 z3 E, z3 n' o) M, C

& t; p; D4 l; G 人非圣贤，孰能无过？但作为一个国际知名的杀毒软件出现将系统文件判定为病毒这种严重的误报问题，确实需要反思一下。   5 l6 Y1 v( f: O) r0 c

; V% O4 g9 x7 B 是突发事件，还是早有隐患？   % l- I8 d$ t( _! C/ S4 p9 @

( _& I0 k$ R7 P7 U, i2 l. m 其实，误报问题在杀毒软件中时有发生，尤其是一些国外的杀毒软件，由于一些操作机制的问题，发生误报的几率要高于国内的杀毒软件。   . \- ^4 u3 I% k/ W
4 h0 G; g* b3 e. ~9 w
2001年诺顿“误报”瑞星2002版杀毒软件带“欢乐时光”病毒；2006年卡巴斯基误报金山词霸为病毒；同年，误报QQ2006正式版和QQ游戏2006为木马病毒；2007年卡巴斯基提示暴风的升级模块是木马，造成大部分用户无法正常使用暴风影音；2007年趋势误报联众客户端为病毒等等。   # U( `0 j( \" F6 b! \& b
% U! O8 X1 R2 I2 a* q0 H
既然误报问题并非技术难题？为什么同样的错误一再发生？而且这些被误报的软件均是很受国内用户欢迎的应用软件。问题又出在哪里呢？   - t4 |8 g, [6 A5 [

# }7 d! f& `6 [' _5 T 金山毒霸反病毒专家戴光剑给出了答案，“各大杀毒厂商通常会不断的从用户、互联网中收集大量的程序和软件，其中最重要的就是各种操作系统，形成一个巨大的误报库，通常这个库多达几百个G的容量。在十几台专用误报测试服务器的速度保证下，完成当次病毒库的测试工作:</BR>。与国内杀毒软件相比，国外产品对中国软件的收集不足，误报库不全面。”   
- e! o' q8 w) ]) N- N; @+ }/ q  q- j/ v+ O2 t
而此次诺顿误报简体中文版Winxp sp2系统文件为病毒的根本原因，正是因为没有将中文版的操作系统文件加入到误报库中。   
6 P4 f) Z; ^& N+ S! X! z( R
: u8 h4 T/ x! u) u+ f* x 如何避免误报？   2 u7 |' b, [/ b2 y+ K0 U

( v8 e6 {  `  i) X. c/ \$ {# N* Z 诺顿误报事件已经告一段落，但没人会知道明天是否再会发生类似的事件，误报问题是否有根本的解决办法呢？   , |. I6 F( v8 Y0 U
0 u" l- W$ T3 ~% ]8 S6 [
戴光剑指出，各大杀毒厂商在防止误报方面都在进行着积极的努力，以金山毒霸为例，采取了很多积极的措施来最大限度的减少误报的可能。     g% [  b0 J6 b$ a. L* G, W
: b1 z  m& g% X7 P  B  g4 O! C
首先，金山毒霸的病毒库的制作升级过程需要有病毒库制作、病毒库测试、病毒库升级三个过程来进行，并使用专门的小组来负责；   / C& e" p' h4 H4 S2 j; f

- C, y8 J0 D3 R! Y; I+ b 其次，金山毒霸在对可疑样本文件进行鉴定时，是通过了有效的白名单过滤机制，再通过二次人工鉴定方法来确认病毒样本的可信性，这是为了有效的确认样本文件确为病毒，排除误鉴定的问题。提取病毒特征的方法上我们进行了多年的经验积累，已经可以有效的避免提到非病毒特征的位置。将病毒特征制作成最后的病毒库。   ' p- D5 w6 ^( l3 B3 {" t( g

4 h7 ^7 N' M; ~) P9 b 再次，在病毒库测试阶段又分为病毒查杀有效性测试和误报测试，有专人维护，不停的从互联网和用户手中收集各类程序来扩充。   . {$ |( q) ^" r
# q0 @; [7 i# p. M6 \
最后，将测试完毕的病毒库放给用户升级。金山毒霸每周17次升级，每次升级前都会用最新制作的病毒库扫描这个庞大的误报库，如果在鉴定和提取特征时出现失误，也基本会在误报库测试中发现并即时修正。   
/ {* a+ a9 Z$ j* `- n5 w; n' K" d! f6 P4 b2 H- _. M* C
互联网的迅猛发展，人们对网络的依赖程度越来越高，网络银行、网络炒股、网络查询等等，人们的生活开始日益网络化。然而面对蠕虫、木马、黑客的频繁入侵，人们对杀毒软件的需求也日益强烈。用户越多，杀毒厂商的责任就越大，任何无视用户利益的行为必将遭到用户的质疑。   :