什么是防病毒碰撞的情况下, 假阳性, 我们怎么能处理它呢？

防病毒冲突是为一个恶意文件创建的签名, 或一个恶意软件家族的触发器, 在其他良性文件上触发, 与创建签名的原始文件无关。为了更好地了解它, 下面是一些背景信息:

防病毒签名来自哪里？

防病毒数据库包含在前24小时内创建的任何和所有野火签名。野火签名是在每天的营业时间结束时收集的, 打包成一个数据库, 并进行测试以确保它们可在我们的所有平台上安装。简而言之, 防病毒软件包是最近24小时的野火包的集合, 我们在分发之前进行了检查。

什么是防病毒签名？

帕洛阿尔托网络软件使用的防病毒签名是在遍历防火墙时在文件上覆盖的字节的组合。如果这些字节与上述文件中的字节顺序匹配, 则会触发防病毒保护配置文件中的操作预设。

如下图所示, 有两种行动: 野火行动和行动;前者用于确定当签名与野火数据库匹配时, 防火墙的操作将是什么, 如果签名与防病毒数据库匹配, 则使用后者操作来确定防火墙的操作。

实际上, 防病毒签名是一个静态字符串, 表示从恶意文件中选择的字节集合。字节的选择取决于文件类型;PE (可移植可执行文件) 的签名与用于 PDF 或 MS Office 文件类型的签名不同。我们称之为静态选择, 因为字节通常取自同一文件类型的相同位置 (相同的偏移量)。

为签名选择特定字节有明显的原因, 例如确保签名中不包括所有文件共有的字节-在这种情况下, 所有文件总是触发我们的签名。此外, 还可以选择特定的字节, 这样, 多态恶意软件示例就能被单个签名捕获, 因此如果恶意软件自动更改它使用的文件的一部分, 我们的签名仍将捕获它。

那么, 什么是碰撞？

嗯, 如上所述, 签名是一个静态字符串, 表示从恶意文件中选择的字节集合。有时, 此选择可能与良性文件中的字节顺序重叠。这就是我们所谓的签名碰撞. 事实上, 很少发生。考虑到我们每天看到多少文件以及我们每天/每月/每年发布多少个签名, 这些百分比是极小的。不幸的是, 他们仍在发生。

你如何处理碰撞？

对于某些文件类型, 我们可以扩展签名以在覆盖签名字节方面具有更好的精度;这通常可以解决冲突。当这是不可能的, 我们作出一个有教养的决定基于恶意软件遍历网络/防火墙报告到自动对焦. 如果我们最近或最近没有看到该恶意软件, 我们将禁用签名, 以支持签名触发的良性文件。这是一个工程决策;我们对最终用户的好处是加权-如果最近没有看到恶意软件, 并且良性文件是业务连续性所必需的, 我们将禁用签名以支持良性文件。

当我们说业务连续性时, 这不是一个严格的线, 我们在这里画, 但我们评估它在每个案例的基础上-一些业务文件交换做的资格是合理的业务连续性。另一方面, 如果碰撞文件是, 例如, 一些基于 flash 的视频游戏, 我们可能会保持我们的签名, 尽管它有一个良性文件的碰撞。此外, 如果恶意软件的签名, 我们禁用应再次激活, 这是可能的, 我们可以重新启用签名, 无论碰撞。

还有一件更重要的事情要注意: 在罕见的场合中, 签名的禁用和启用都是以每个案例为基础进行的, 我们的高级工程师评估业务的重要性和对最终用户的中断范围和程度, 并将其与删除签名的潜在风险. 这样的决定是不轻易做出的, 是以我们所有用户的最大利益为考虑的。 

请注意, 如果您遇到了重新启用的签名的问题, 并且您看到的是冲突问题, 但签名尚未禁用 (尚未), 则查看本文以在 AV 配置文件中创建异常: https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Use-Exceptions-to-Block-Threats/ta-p/66099