use*_*487 5 c++ antivirus virus malware malware-detection
假设我创建了一个文件压缩库,这个库用于1000(非恶意)程序.但现在恶意软件开发人员决定创建一个恶意软件并使用我的库来压缩一些文件.
根据我对防病毒如何工作的一点知识,它从恶意软件中选择一组字节串并将其存储在其数据库中.现在,当防病毒软件扫描具有这些字节字符串的程序时,它会警告用户这是恶意软件.
但是,如果Antivirus选择了与我的库代码的一部分相对应的字符串,那么这不意味着我的库现在被检测为恶意软件(因此1000个非恶意程序现在被检测为恶意软件)?
如果防病毒程序将一段广泛使用的代码标记为恶意代码,那么它会(错误地)将许多程序检测为恶意软件。但恶意软件签名并不是随机选择的;而是随机选择的。它们是由人类分析师开发的,他们研究恶意软件以了解其功能和工作原理。这些分析师会根据恶意软件实际特定的内容(而不是恰好包含在其中的一段非恶意库代码)谨慎地构建签名。