falso positivo

volevo capire di piu sul falso positivo. so che i falsi positivi sono file non infetti, ma rilevati come infezione.

i falsi positivi vengono rileati solamente come sospetti? se è cosi, allora posso stare tranquillo: nelle azioni ho messo nessuna azione per i sospetti.

di solito i falsi positivi sono applicazione compilate per dos in C oppure i “crack” dei giochi o file .bat l’unica cosa su cui devi stare attento e sui “crack” dei giochi per pc.

si ma purtroppo non hai risposto alla mia domanda. i falsi positivi segnalano solo i file sopetti o anche le infezioni? se solo i sospetti allora posso massimizzare l’euristica e ignorare i sospetti.

io non prenderei sottogamba quei tipi di programmi che avete elencato e non toglierei l’euristica che è la parte fondamentale di un antivirus.

ci sono molti programmi che in background possono avviare servizi sospetti per secondi scopi senza che un occhio esperto se ne accorga e sono proprio per questi secondi fini che un antivirus rileva che il programma è sospetto/infetto.

L’euristica serve anche per rilevare i nuovi virus e aiuta gli antivirus nella lotta contro i virus zero-day.

Per definizione un falso positivo non è infetto, ma bisogna vedere se lo è o non lo è; ci può aiutare virustotal: se si fa scansionare un file e si vede che ci sono 2-3 rilevazioni si potrebbe dire che potrebbe essere un falso positivo però potrebbe anche trattarsi di un nuovo virus che intanto è rilevato da quei 2-3 av più veloci magari perche hanno l’euristica più capace, allora in questo caso bisognerebbe riscansionare lo stesso file nei giorni successivi per vedere se le rilevazioni sono rimaste le stesse (falso positivo) oppure se sono aumentate (infetto). Ma viene da se che se le rilevazioni sono tante allora è proprio un virus conclamato.

oppure si può anche aprire il task manager e vedere se il programma lancia uno o più processi in memoria e se restano in esecuzione anche dopo la chiusura del programma… senza dubbio questi processi sarebbero molto sospetti.

io ho messo come azioni automatiche solo le infezioni. quindi posso ritenermi tranquillo anche se avast rileva dei falsi positivi, perchè in ogni caso non li cancellerebbe. giusto?

automatico è sposta nel cestino quindi in ogni caso i file rilevati te li ritrovi lì, io metterei “chiedi” a tutti così pensi a rispondere sulle singole richieste che ti fa avast quando trova qualcosa da segnalare.

Io eviterei “elimina” e “nessuna azione”.

perchè dovrei evitare tali azioni?. comunque i sospetti hanno solo l’opzione nessuna azione , per non rischiare di cancellare qualcosa di utile. non mi piace scegliere cosa cancellare o cosa tenere perchè non so cosa fare.

a me interessa capire se mettendo l’opzione nessuna azione nei sospetti e se avast trova dei falsi positivi risulteranno sempre come file sospetti. se si allora l’opzione nessuna azione mi tranquillizza e posso aumentare l’euristica.

i sospetti hanno tutte le azioni come i virus e i pup.

io eviterei di eliminare subito un file perchè potrebbe comunque servire e sia perchè potrebbe rilevarsi successivamente un falso positivo. E comunque poi trascorsi x giorni dalla messa nel cestino avast automaticamente lo elimina.

a me interessa capire se mettendo l'opzione nessuna azione nei sospetti e se avast trova dei falsi positivi risulteranno sempre come file sospetti. se si allora l'opzione nessuna azione mi tranquillizza e posso aumentare l'euristica.
ma tanto se te lo segnala uguale anche con nessuna azione tanto vale mettere su chiedi così al limite scegli un'azione fra cui ignora.