最近诺顿摆了个乌龙，导致一些用户的windows系统文件被强行删除而无法进入系统。风波之后，某国产杀毒软件厂商又因为自己的某款软件被卡巴斯基查杀而愤怒不已，继而声讨起卡巴来。

 

游虾自己就是用的卡巴，也的确遇到过一些不是病毒的“病毒”警报。那么，这些警报真的是“误报”么？

 

众所周知，卡巴从6.0开始增加了一个叫做“主动防御”的模块，主要是对一些危险行为进行拦截和报警。【如图】

 

 

可以看到，这里面有不少的选项是针对一些非常规的软件运行模式。那么，什么叫做“非常规的软件运行模式”呢？

 

首先我们来看看这个例子——

 

 

正在运行的程序是CoralQQ.exe，这是珊瑚虫外挂的主程序，他的运行特点就是将自身注入QQ的进程中，以达到随QQ运行的效果。卡巴之所以报警，原因就在于这种运行模式也常常被某些病毒木马所利用，设想一下，如果有一个病毒使用和珊瑚虫一样的运行方式，也将自身注入QQ进程中，那么要盗取你的QQ密码就是易如反掌的事情了。

 

类似的情况发生在现在的QQPhonehelp.dll上。

QQPhonehelp.dll是腾讯QQ的组件之一，它的主要作用不明，但经某些高人解密分析之后确认有后台自动下载某些组件的嫌疑（文章来源http://www.cnbeta.com/articles/26908.htm），不仅仅是卡巴，AVG Anti-Spyware也进行了报警。【如图】

 

 

因为这种行为也是某些木马所常用的，属于危险行为。

 

再看一个例子，【如图】

 

 

这次被报的软件是tuotu.exe。游虾使用的是脱兔3beta版，内嵌了浏览器。当使用软件自带的搜索框输入关键字查找资源的时候，卡巴即会报警，显示的详细信息是

 

 

报告的特征是脱兔使用了应用程序向一个网址发起了数据传输，具有后台传输隐私（比如帐号密码）的特征，数据一栏“KEY=”后面的数据是我输入的关键词“卡巴斯基”。这也是盗号木马常常使用的方式，构成了危险行为。

 

与之类似的是，某些软件的升级器也被卡巴报毒，典型的例子便是瑞星卡卡。作为一款浏览器保护插件，瑞星卡卡使用了一些自我保护措施，某些措施近似病毒常用的自保方式，加之瑞星卡卡有后台自动升级的行为，属于危险行为，所以卡巴也会报毒。

 

综上所述，卡巴之所以会报警，并不是在病毒库里将以上种种软件视为病毒，而是这些软件的某些行为具有一定的危险性，举个例子，如果我只是到集市买菜刀，但提刀闯进了闹市区，尽管我主观上没有伤害别人的行为，但一样会被警察视为危险行为而给予警告。

 

卡巴的主动防御特点便是在软件执行危险行为时给予拦截并报警，对未知病毒有着非常好的防御效果，但副作用便是报警相对比较频繁，令一些初级用户难以判断，从而造成误报的假象。解决的办法只能是卡巴对主动防御的不断完善（但面对每天新生的无数大小软件，兼容难度不小），同时软件开发作者尽量规范程序的编写，使用者也要提高自身的计算机水平。

 

本文不是为卡巴辩护，本人也不是卡巴的枪手，一切仅凭事实说话。