【賽迪網-IT技術報道】時間:2008年4月28日晚11點;地點:家;人物:我的電腦;事件:瀏覽器文件的誤報。
第一幕:驚魂
今天如同往常一樣,回家、開機器、上網,但是與往日不同的是,系統在啟動後總是先彈出VC2005的DEBUG調試框,我開始沒有在意,只是直接關閉了事,然而電腦長時間只顯示桌面壁紙,無法看到桌面圖標和開始菜單,我開始以為是我把筆記本電腦合上之後系統休眠導致此情況,但重啟之後現象依然如故。(見圖1)
我用的系統是WINDOWS XP SP2,這時我一方面懷疑是瀏覽器自身出現了問題,另一方面懷疑是病毒將瀏覽器幹掉了。但是無法瀏覽,我的硬碟裡的一些系統工具無法使用。
我報著試試看的態度按下了任務管理器組合健(CTRL+SHIFT+ESC),還好任務管理器還能用,於是點擊「文件/新建任務」,在創建新任務框裡敲入EXPLORER.EXE點擊確定,這時瑞星監控報警,報出系統裡的瀏覽器文件EXPLORER.EXE為下載木馬Trojan.DL.Win32.Mnless.zib。(見圖2)
點擊清除後,提示Windows無法訪問指定設備、路徑或文件。(見圖3)
原因找到了,原來是瑞星監控阻止了瀏覽器文件的運行,導致上述現象的出現。再次運行瀏覽器文件,依然如此提示,這證明瑞星並未將瀏覽器文件刪除,倒底是不是誤報,到現在為止還無法判斷。
第二幕:尋根
接下來,我需要找到被瑞星報出病毒的文件,看看是瀏覽器文件被真的木馬置換還是瑞星的誤報,因為我的瑞星殺毒軟體設置了啟動前監控功能,只要監控開著,系統就無法正常進入。我本來想用WindowsPE來啟動系統來提取樣本文件,因為想到在安全模式下,監控模塊並不會起作用,因此報著試試看的心態先進入了安全模式。在安全模式下提取了Explorer.exe的樣本文件,然後在另一台電腦提取了一個正常系統的樣本文件,版本是6.0.2900.3156,通過計算MD5值,發現同為0b55963e2c8129d9d2504a3c291447e0,由此排除了被木馬置換的可能,確定是瑞星的誤報。
在安全模式下,我將瑞星文件監控功能關閉,然後重啟系統,結果一切正常,至此問題解決,虛驚一場,看了看瑞星殺毒軟體的版本,20.42.01。
由於時間很晚,解決完後就睡了,結果今天上網搜了一下,已經有關於瑞星誤報的帖子,也有了一個官方聲明,大致意思是道歉,其它情況未提及。
第三幕:正源
這次誤報事件雖然誤報的也是重要的系統文件,但是並沒有象諾頓誤報反應那樣強烈,我覺得這是正確的態度,對於殺毒軟體來說,誤報從理論上無法避免,寬容是應有的態度。不過,在寬容之後,我們應該瞭解一下誤報的原因,這是負責的態度。
面對誤報,我想先說一下反病毒廠商是如何處理海量樣本的。由於樣本集越來越大,各家的樣本數量都已經達到了百萬量級,為了能夠將這些樣本的特徵都及時加入到病毒庫中,一般有兩種方法,一是開發一套特徵碼自動提取系統,通過神經網絡等智能算法進行機器提取,在提取後做海量正常文件的誤報測試。二是進行多特徵匹配,即一條特徵盡可能多地匹配到更多的樣本,這種方法對木馬、對病毒家族是很有效的。不過,這兩種方法不管是哪一種,都有誤報的可能,一種是自動機的BUG,一種是多特徵匹配時的特徵碰撞。
因此,為了彌補特徵提取的誤報問題,大家在進行海量正常樣本的誤報測試外,現在越來越多的廠商開始加入一個白名單機制,即對市面上所有正常的軟體裡的可執行程序做一個散列資料庫,掃瞄引擎在做特徵匹配之前先做一個白名單的排除匹配掃瞄。
瑞星這次誤報,有兩種可能,一種是有可能程序中並沒有提供這樣一個白名單機制,因為散列匹配的速度要比特徵碼匹配速度慢,它要對所有文件做動態散列的計算。另一種可能是做了白名單,但是由於操作系統的版本眾多,沒有收集到更全的的操作系統版本和文件。不過這一種可能有個說不通的地方就是,誤報的系統文件是WINDOWSXP SP2中文版,誤報的瀏覽器文件版本是6.0,這是國內目前最流行的操作系統版本,不太可能收集不到,那麼經過分析,第一種可能性相對大些。
反病毒軟體經過二十年的發展,技術體系已經非常成熟,不過,在今後的日子裡,如何解決海量樣本的及時入庫和誤報問題將成為擺在反病毒廠商面前的首要問題。
(