几乎任何严肃的软件保护系统的每个用户有时都可能从不同的防病毒软件供应商那里得到错误检测(误报检测)。什么是误检?它只是错误地检测到受保护文件中的任何一种病毒......
为什么会出现False Detection?
很难说只有一个误报检测的主要原因,但通常有以下原因:
- 保护系统的主要目的之一——使分析、逆向和破解应用程序变得更加困难。恶意软件(病毒)制造商也经常使用保护系统来保护病毒,使其难以分析。因此,防病毒软件供应商有时会错误地检测到任何受保护文件中的病毒,例如,如果前几天有很多受保护的病毒
- 反病毒软件的启发式和通用分析器可能经常失败,因为这些是机器人,自动机器人检测不能给我们 100% 的结果
- 只是杀毒软件工程师的错误,可能会错误地分析和检测受保护文件中的病毒
有什么办法可以阻止错误检测?
是的,当然,有一种方法可以避免错误检测。如果出现误检,您需要将文件样本发送给反病毒研究团队,请他们解决问题。通常,专家会迅速回复并乐于帮助解决问题。根据我们的经验,如果您今天发送文件样本,明天杀毒软件的数据库将是干净的。
一年前我们从 IEEE.com 成员那里得到的另一件非常有希望的事情。他们决定联合杀毒软件厂商,为软件保护厂商制定一个复杂的解决方案,避免大部分由受保护文件引起的误检。Enigma Protector 开发人员也加入了这个过程,所以我们希望很快我们将完全摆脱大多数误报!
您可以在此处阅读有关新防伪检测系统的一些信息:http ://www.pcmag.com/article2/0,2817,2390388,00.asp
如何解决误检?
下面我列出了防病毒软件供应商以及如何解决对他们软件的误报检测的方法。另请注意,Enigma Protector 的客户可以随时通过 support@enigmaprotector.com 联系支持团队,并就任何错误检测寻求帮助。
#########################################
这里有些地方可以在线扫描程序和让您知道哪些 AV 公司对文件进行了误报:
注意:我们不建议使用以下服务来检查您的文件是否存在误报,因为提交的文件将被直接重定向到防病毒软件供应商。根据我们的经验,防病毒软件供应商正在将这些文件移至黑名单,因此您不会成功删除错误检测,而是会得到一些新的错误检测。本说明仅根据我们的经验制作,您可能会或不会相信它。
http://virustotal.com/
http://virusscan.jotti.org/
我将继续列出一些特定 AV 公司的电子邮件地址和网站表格,以方便您使用。
A-Squared:将错误检测样本发送至 fp@emsisoft.com
AntiVir:http
://analysis.avira.com/samples/index.php
误报:
如果您认为我们的扫描仪错误地检测到干净的文件,请从上方的下拉菜单中选择“误报怀疑”。注意可疑文件和误报需要分开上传。请确保您确认最新版本仍会检测到该文件,并且此时它不是已解决的误报。
ArcaVir:将错误检测样本发送至 support@arcabit.com
Avast:使用联系表提交文件:http
://www.avast.com/contact-form.php
确保您已注意到这是“文件的错误警报”。
另一种方法,将文件发送至virus@avast.com
将“受感染”文件打包到 ZIP 压缩包中,并使用密码“virus”(不带引号)将其锁定,并将其附加到电子邮件中。
在邮件正文中写入相同的密码,Alwil 病毒分析人员无需猜测即可立即知道密码。
如果该文件(或文件/程序的网页)在 Internet 上,您还可以将网址添加到该文件。
添加您自己的说明,说明您为什么认为这是误报。每个信息都有助于 Alwil 员工。
将邮件发送至:virus@avast.com
一段时间后,您可能会收到一封关于文件信息的回复邮件(如果它真的是误报)。
如果没有,请在发布新的 VPS 时检查带有 Explorer 扩展名的文件。
这样你就会知道误报是否已修复。
在此之前,您可以将“误报”文件添加到排除项中:
左键单击时钟旁边的“a”球并选择 Standard Shield。
单击自定义...并选择高级选项卡。
现在只需在行中输入完整路径(路径加上带扩展名的文件名),然后按键盘上的 [Enter]。
这将从扫描中排除该文件,因此您可以使用它直到误报得到解决。请谨慎执行此操作,或者如果您 100% 确定警报对该文件的误报。
Alwil 工作人员处理误报的速度非常快,因此通常会在下一次 VPS 更新时修复它们,或者如果在任何广泛使用的程序中发现误报,甚至会立即修复。
尝试将误报直接发送到 Alwil 病毒提交邮件,而不是在论坛上。这样可以更快地解决误报。
AVG Antivirus:
使用此表单检查文件: http:
//samplesubmit.avg.com/ww-en/sample-scanning
如果文件被错误检测到,请使用密码将其添加到 zip 存档。然后将 zip 文件通过电子邮件发送至 virus@avg.com。不要忘记注意它是“文件被错误地标记为病毒(误报)”和 zip 文件的存档密码。
BitDefender:
使用以下表格(指定这是误报):
https ://www.bitdefender.com/submit/
ClamAV:http
://www.clamav.net/sendvirus
填写 http://www.clamav.net/sendvirus 上的表格。请务必选择 The file attached is... 误报。
Comodo Antivirus:malwaresubmit@avlab.comodo.com或desktopsupport@comodo.com
确保在主题中注明“误报”并尝试解释程序是什么。
或使用此在线表格上传文件样本:http:
//internetsecurity.comodo.com/submit.php
Commtouch
不要忘记注意这是错误检测
– 主题行的格式应为:病毒样本
– 将样本作为加密的 zip 文件附加,密码为“infected”
– 在邮件正文中包括该文件是受 Enigma Protector 及其版本保护
– 将样本提交至:AVsample@blockvirus.biz
Dr.Web: http://vms.drweb.com/sendvirus/
确保选择“False Detect”。
Emsisoft
– 将嫌疑人发送至fp@emsisoft.com
– 在提交之前,创建一个包含文件的受密码保护的存档(ZIP 或 RAR)。请用密码保护档案:“fp”(无引号)
eSafe:http
://www.aladdin.com/forms/send-email/form.aspx
填写联系表格,让他们知道这是误报。
F-Prot Antivirus:http
:
//www.f-prot.com/virusinfo/submission_form.html 一定要说明是误报!
F-Secure Antivirus:http
://www.f-secure.com/samples/index.html
如果您遇到误报,请提交样本进行测试验证,注明您提交的是误报。文件来源、扫描报告文件和误报检测名称等任何其他信息都有助于更快地解决问题。
Fortinet:http
://www.fortiguardcenter.com/antivirus/virus_scanner.html
提交文件并填写表格说明它是误报
Ikarus:将错误检测样本发送至false-positive@ikarus.at
K7AntiVirus:
密码保护样本并将其发送至:reportfp@k7computing.com
在电子邮件中包含密码。
卡巴斯基:
用密码“virus”压缩文件并使用此表格发送样本:http:
//support.kaspersky.com/virlab/helpdesk.html
或电子邮件:
newvirus@kaspersky.com
1) 将疑似病毒放入受密码保护的zip 或rar 文件中。
2) 撰写电子邮件(仅简短说明)并附上 zip 文件。
3) 在电子邮件的正文/主题中包含密码。如果您怀疑是误报,请在主题行中包含“可能是误报”。
4) 将 zip/rar 文件发送到newvirus@kaspersky.com
McAfee:virus_research@avertlabs.com
向 McAfee 发送电子邮件,让他们知道这是误报。
确保压缩文件并使用受感染的密码对其进行保护。即使它不是病毒,此密码也必须包含在 zip 文件中,否则他们将忽略您的电子邮件。
NOD32:
1. 将文件压缩成 .zip 或 .rar 存档,并使用密码“infected”对其进行密码保护。
2. 在电子邮件中记下此密码(以语音标记为界),附上压缩文件,然后通过电子邮件发送至 samples@eset.com。
3. 使用主题行明确说明附件是否包含疑似感染或误报(即,如果您报告误报,请使用主题疑似感染或主题误报)。此外,请包括客户服务案例编号(如果适用)。
4. 在电子邮件的正文中包含以下内容非常重要:
有关样本在哪里找到的任何背景信息,尤其是您从中下载样本的 url
为什么您认为它是恶意软件或误报报告。
如果您知道另一家防病毒公司已经检测到它。
如果您报告的是潜在的误报,请尽可能多地提供有关软件来源的信息,包括开发者名称、名称和版本应用程序以及下载文件的站点地址。
发送电子邮件至:samples@eset.com
更多信息: http://kb.eset.com/esetkb/index?page=content&id=
SOLN141
诺曼病毒控制:http ://www.norman.com/Support/fp/
Panda Antivirus:falsepositives@pandasecurity.com
如果您想向我们报告误报,请将带密码的 RAR 或 ZIP 文件中的示例发送至falsepositives@pandasecurity.com
PCTools
请发送电子邮件至 support@pctools.com,主题为“false positive”,并提供检测详情。
Prevx: http://info.prevx.com/service.asp
通过填写表格并说明有关误报的信息来联系支持人员。
Sophos Antivirus:https
:
//secure.sophos.com/support/samples/ 确保让他们知道这是“误报”。
Sunbelt
填写误报提交表格,附上错误检测文件
http://www.sunbeltsecurity.com/falsepositive/
赛门铁克:
在以下位置处理错误检测提交表单:
https ://submit.symantec.com/false_positive/
或者
向安全响应中心提交误报电子邮件
创建一个 RFC-822 MIME 格式的新电子邮件,并附上误报电子邮件。
在“收件人”框中,键入:
北美:gfeedback@feedback-1.brightmail.com
欧洲、
中东和非洲:eurofeedback@feedback-23.brightmail.com
亚太地区:apacfeedback@feedback-22.brightmail.com
日本:jpnfeedback@feedback-47.brightmail .com
仅向此地址发送误报电子邮件。
将消息发送到安全响应中心。
Trend Micro
别忘了注意是误检
Email: trendlabs@av-emea.com
或者:http://subwiz.trendmicro.com/SubWiz/Default.asp
VirusBuster:将错误检测样本发送至support@virusbuster.hu
确保通知他们这是“误报”。
ViRobot
转到http://www.hauri.net/support/false_report.html有一个误报提交表单。输入您的姓名、电子邮件地址,在主题中输入 False Positive,在文本字段中输入一些单词,然后选择一个文件。注意,错误检测到的文件应该是 zip 压缩的!
VIPRE
使用此表格提交错误检测
http://www.sunbeltsecurity.com/falsepositive/
VBA32:将错误检测样本发送至newvirus@anti-virus.by
在主题中注明“False Positive”!
Windows Defender
使用此表单:
https://www.microsoft.com/en-us/wdsi/filesubmission
指定该文件是误报
