软件开发者的无奈－杀软故意误报

我们都知道，“误”字可以理解成“失误”，也可以理解成“错误”，这两种理解的不同会导致责任轻重程度的不同。但不管怎么理解，造成“误”的人都是有责任的。然而，在IT安全行业，“误报”的责任往往转嫁给了被“误报”的一方，这导致该行业不但频繁出现误报病毒的现象，甚至出现“故意”误报的行为。个别杀软厂商在仅仅觉得有1％可能性的情况下，就100％认定该软件是风险软件，甚至是病毒木马。这里面99％的责任和压力就被转嫁给了软件开发者。

今天我把一个最近更新的软件上传到在线扫描网站进行扫描，虽然39个杀软中只有两个误报，但这两个误报的结论却让人哭笑不得。从下面的截图中，可以看出三种让软件开发者无奈的因素：

1、对正常使用加壳工具的软件进行误报。比如截图中的ClamAV误报本软件为“PUA.Win32.Packer.Upx-28”病毒，而这个误报的意思是采用了UPX加壳工具对软件进行了加壳处理。普通用户并不知道，大部分软件在编译后都会进行加壳，一方面是压缩程序大小，另一方面是简单保护一下程序的明文信息。而ClamAV或者其他潜在的相关误报，根据某些病毒也使用相同加壳工具的理由，就认定该程序是危险程序甚至是病毒。这种误报方式，真的是让开发者醉（罪）了。

2、对使用非主流编程工具的软件进行误报。比如截图中的NOD32误报本软件为“a variant of Win32/FlyStudio application”（新版NOD32已没有这个提示，详情请看《关于某些杀毒软件的误报行为》），这个误报的意思是本软件采用了飞扬工作室的易语言编程工具。易语言是中国人自己做的一个全中文开发软件，它的用户主要定位于个人开发，而不是主流的企业开发。杀软根据某些病毒使用易语言开发的理由，就认定大部分使用易语言开发的软件是病毒。这种误报方式不仅仅针对易语言，对那些过了“主流生命期”的编程工具也会有效，比如曾经辉煌一时的Delphi 7、VB6都成了杀软频繁误报的目标。对于这种误报方式，真的让开发者醉上加醉（罪）。

3、本地引擎没有误报，云查杀引擎却频繁误报。从截图中可以看到360、金山、百度等一大票国产杀软，扫描的结果都是“没有发现病毒”。但是各位不要被它忽悠了，它们在这里用来扫描的基本上是购买国外的商业引擎，比如360购买了国外的Bitdefender、小红伞作为自己的本地引擎，这些引擎的扫描技术是360等国内杀软不能比的，所以360等杀软在国际评测的时候也拿这些购买的引擎去评测。问题是，360等国内大部分杀软为了自身的利益，主打的查杀引擎是所谓的“云查杀”引擎，这种引擎是国产杀软频繁误报的根源所在。其误报的方式比以上两种方式更是让人哭笑不得，本质上就是原始的黑白名单对比，先把不认识的软件（大部分新发布的软件它都不认识）加入黑名单，然后等待软件开发者提交验证，最后再人工加入到白名单。它们这么做的目的，就是制造“高查杀率”的假象来忽悠用户，以便快速占据国内杀软市场。当市场占有率达到近乎垄断的地位后，就以收费的方式强迫软件开发者购买它的签名认证，只要买了认证，就可以直接放入白名单，不再进行误报。对于这种近乎无赖的误报方式，开发者不醉也得醉（罪）！

然而，以上说了这么多，对于普通用户来说是不会关心的，他们只要看到某个软件被报毒了，基本上就会条件反射似的相信杀毒软件，从而把原本很正常的软件拒之门外。这一点，就是某些杀软敢于大肆误报的原因所在，通过忽悠骗取用户的信任，继而通过用户的信任把误报的责任转嫁给软件开发者。

作为没有能力跟这些杀软打官司的开发者，我们只能在自己的网站和软件中对杀软的误报行为进行一点点自我辩护似的声明而已，比如我自己的《关于某些杀毒软件的误报行为》。

以下是我那个软件在线扫描的截图：