FAQ-终端安装Agent后 ,杀毒软件为什么报发现病毒

发布时间:  2012-07-18 浏览次数:  62 下载次数:  0
问题描述

Q:

终端安装Aagent后,杀毒软件为什么报发现病毒?

告警信息
处理过程
A:
Agent端杀毒软件由于基于行为方式来进行杀毒,导致误报。
目前杀毒软件厂商杀毒原理主要有以下两种:
1、病毒特征库 
            依据是分析的病毒文件,提取的病毒二进制代码,各杀毒厂商技术不同,提取的代码不同,此种方法误报率低,但由于需要提取二进制代码,所以都是在病毒出现后才更新病毒库,存在滞后性,为了解决滞后性问题,从而出现了第二种杀毒机制。
2、行为特征库
            行为特征库为厂家自定义,认为病毒可能具有的行为,如扫描更改注册表,添加服务,添加自启动,隐藏进程,更改系统文件等等,综合判断软件到底满足了其中的多少行为特征,从而判断其是否为病毒,虽然解决了滞后性问题,但是但来了另外的问题,那就是误报率高。
很多杀毒厂商都具备以上两种杀毒机制。
Agent为了保护自己,存在更改注册表,自动加载启动项,隐藏进程等行为特征,所以有的杀毒软件会报病毒,对终端机器不会造成任何危害。
根因
建议与总结

END