Avast WEBforum

Non-English Zone => Italiano => Topic started by: karrygun on January 21, 2013, 01:05:41 PM

Title: falso positivo
Post by: karrygun on January 21, 2013, 01:05:41 PM
volevo capire di piu sul falso positivo. so che i falsi positivi sono file non infetti, ma rilevati come infezione.

i falsi positivi vengono rileati solamente come sospetti? se è cosi, allora posso stare tranquillo: nelle azioni ho messo nessuna azione per i sospetti.
Title: Re: falso positivo
Post by: niklg3 on January 21, 2013, 01:52:52 PM
di solito i falsi positivi sono applicazione compilate per dos in C oppure i "crack" dei giochi o file .bat l'unica cosa su cui devi stare attento e sui "crack" dei giochi per pc.
Title: Re: falso positivo
Post by: karrygun on April 25, 2014, 11:45:54 PM
si ma purtroppo non hai risposto alla mia domanda. i falsi positivi segnalano solo i file sopetti o anche le infezioni? se solo i sospetti allora posso massimizzare l'euristica e ignorare i sospetti.
Title: Re: falso positivo
Post by: Giony on April 26, 2014, 08:30:31 AM
io non prenderei sottogamba quei tipi di programmi che avete elencato e non toglierei l'euristica che è la parte fondamentale di un antivirus.

ci sono molti programmi che in background possono avviare servizi sospetti per secondi scopi senza che un occhio esperto se ne accorga e sono proprio per questi secondi fini che un antivirus rileva che il programma è sospetto/infetto.

L'euristica serve anche per rilevare i nuovi virus e aiuta gli antivirus nella lotta contro i virus zero-day.

Per definizione un falso positivo non è infetto, ma bisogna vedere se lo è o non lo è; ci può aiutare virustotal: se si fa scansionare un file e si vede che ci sono 2-3 rilevazioni si potrebbe dire che potrebbe essere un falso positivo però potrebbe anche trattarsi di un nuovo virus che intanto è rilevato da quei 2-3 av più veloci magari perche hanno l'euristica più capace, allora in questo caso bisognerebbe riscansionare lo stesso file nei giorni successivi per vedere se le rilevazioni sono rimaste le stesse (falso positivo) oppure se sono aumentate (infetto). Ma viene da se che se le rilevazioni sono tante allora è proprio un virus conclamato.

oppure si può anche aprire il task manager e vedere se il programma lancia uno o più processi in memoria e se restano in esecuzione anche dopo la chiusura del programma...... senza dubbio questi processi sarebbero molto sospetti.


Title: Re: falso positivo
Post by: karrygun on April 26, 2014, 10:32:11 AM
io ho messo come azioni automatiche solo le infezioni.  quindi posso ritenermi tranquillo anche se avast rileva dei falsi positivi, perchè in ogni caso non li cancellerebbe. giusto?
Title: Re: falso positivo
Post by: Giony on April 26, 2014, 11:46:42 AM
io ho messo come azioni automatiche solo le infezioni.  quindi posso ritenermi tranquillo anche se avast rileva dei falsi positivi, perchè in ogni caso non li cancellerebbe. giusto?

automatico è sposta nel cestino quindi in ogni caso i file rilevati te li ritrovi lì, io metterei "chiedi" a tutti così pensi a rispondere sulle singole richieste che ti fa avast quando trova qualcosa da segnalare.

Io eviterei "elimina" e "nessuna azione".


Title: Re: falso positivo
Post by: karrygun on April 26, 2014, 12:08:15 PM
perchè dovrei evitare tali azioni?. comunque i sospetti hanno solo l'opzione nessuna azione , per non rischiare di cancellare qualcosa di utile. non mi piace scegliere cosa cancellare o cosa tenere perchè non so cosa fare.

a me interessa capire se mettendo l'opzione nessuna azione nei sospetti e se avast trova dei falsi positivi risulteranno sempre come file sospetti. se si allora l'opzione nessuna azione mi tranquillizza e posso aumentare l'euristica.
Title: Re: falso positivo
Post by: Giony on April 26, 2014, 12:21:26 PM
perchè dovrei evitare tali azioni?. comunque i sospetti hanno solo l'opzione nessuna azione , per non rischiare di cancellare qualcosa di utile. non mi piace scegliere cosa cancellare o cosa tenere perchè non so cosa fare.
i sospetti hanno tutte le azioni come i virus e i pup.

io eviterei di eliminare subito un file perchè potrebbe comunque servire e sia perchè potrebbe rilevarsi successivamente un falso positivo. E comunque poi trascorsi x giorni dalla messa nel cestino avast automaticamente lo elimina.


Quote
a me interessa capire se mettendo l'opzione nessuna azione nei sospetti e se avast trova dei falsi positivi risulteranno sempre come file sospetti. se si allora l'opzione nessuna azione mi tranquillizza e posso aumentare l'euristica.
ma tanto se te lo segnala uguale anche con nessuna azione tanto vale mettere su chiedi così al limite scegli un'azione fra cui ignora.