瑞星工程师史瑀解答：《实战揭露瑞星主动防御本质》

这段时间各大论坛都在转一篇名为《实战揭露瑞星主动防御本质》的文章，称瑞星主动防御是完全依靠特征码，理由是修改了灰鸽子的关键字特征后瑞星主动防御就不能拦截了。
这篇文章表述的现象是正确的，但是由此推论的结果是不正确的。
用瑞星的朋友可以看一下瑞星恶意行为监测的设置项，有一个选项叫做“进程退出时进行家族病毒DNA扫描”。

这个“DNA扫描”确实是基于特征码，之所以会这么做主要是解决两个问题：
第一，对恶意行为检测拦截的病毒给出更精确的信息；
第二，对于疑似度不高的病毒进行辅助判断，防止误判。
恶意行为检测是基于行为分析的，是一种模糊判断，所以不可避免的会出现误判。某个主动防御软件的做法是引入白名单进制，发现有误判的就加白名单，致使软件要像升级病毒库一样升级白名单库。
我们认为这种做法意义不大，所以我们的做法是当发现疑似度不高的文件会用家族特征判断，如果发现符合家族特征，直接报家族病毒名，如果没有找到符合的为了防止误判，就不报病毒。而疑似度高的文件，如果家族特征查不到，则会报成Malicious Code（恶意代码）。凡是报出病毒名一定是由DNA家族特征报的。

画个图再解释下：

某些灰鸽子的行为动作并不多，不能因为它有这些动作就进行报警。举个例子：有个声卡程序有如下动作：
1、释放文件到Windows目录下；
2、安装驱动程序；
3、在注册表Runonce项建立和释放文件的关联（为的是下次启动Windows时能继续声卡安装操作）。
确实，很多木马经常有类似的动作，但是不能说有这些动作的都是木马。由于当时某款主动防御软件的白名单库里恰好没有这个声卡程序的特征，所以直接将其当作木马进行了处理。
不少朋友在测试主动防御拦截病毒能力的同时忘了一点，就是误判率。如果一款反病毒软件能够阻止任何程序运行，那它病毒的拦截率肯定是100%，但是这真是我们想要的么？如果一款软件的白名单库做的比病毒库还大，真的有意义么？