防病毒和反恶意软件应用程序填补了我们电脑的一个重要需求，但它们并非万无一失（*ahem*，McAfee）。比你想象的更多的时候，他们完全错了。下面是当你不确定下载是否有病毒时该怎么办。

达奎拉·曼内拉摄。

我们经常收到读者的邮件，说我们发布的一些下载内容含有病毒，我们向他们保证说下载内容是干净的(在过去的五年里，我们在这个领域的记录几乎一尘不染。）那么，你怎么知道一个下载是否真的有病毒呢？

在判断一个文件是否有病毒或只是被检测为假阳性时，还没有确切的科学依据，但今天我们将分享一些背景知识和一些技巧，帮助您判断一个文件是否真的含有病毒。

什么是一个假阳性(a false positive exactly)？

假阳性是指病毒扫描程序将文件检测为病毒，即使它实际上不是病毒，然后尝试隔离或删除该文件。如果你读过McAfee最近的惨败，你就会发现问题所在，他们发布了一个病毒定义更新，检测到Windows内部文件为假阳性，并将其删除，然后突然Windows无法再启动。杀毒软件并不完美。

一些病毒扫描器还采用了一种称为启发式分析的额外防线，它试图通过扫描可能表明某些不良行为的较小代码段来立即识别新形式的恶意软件，即使病毒以前从未被检测到。不幸的是，由于这种方法是不准确的，它也会检测到很多文件作为病毒错误。

使用virustotal检查假阳性

每当你下载的文件有可能包含病毒时，你首先要做的就是将其上传到在线病毒扫描服务VirusTotal，该服务会立即针对40个不同的反病毒引擎同时扫描该文件，并给出结果。

您可以使用VirusTotal上载程序通过右键单击上下文菜单立即扫描任何文件(我们强烈建议您安装这个小实用程序。）VirusTotal Uploader将您选择的任何文件直接上载到VirusTotal网站并运行扫描，而不必麻烦您处理恼人的web上载表单。更妙的是，大多数时候你甚至不必等待文件上传，因为在上传之前，应用程序会根据他们的数据库检查你的文件的散列（一个唯一的标识符，有点像文件的指纹），所以如果他们已经检查了该文件，你会得到即时结果。

有时你会发现40个文件中只有一个被病毒扫描程序作为病毒捕获，这是一个很好的迹象，表明你正在处理一个更具攻击性的病毒扫描程序的假阳性。需要注意的是，VirusTotal并不能取代您最喜欢的防病毒应用程序，它提供了针对各种攻击向量的实时保护，但它是一个强大的补充。

自动热键和过度攻击**毒扫描程序

我们是这里的AutoHotkey脚本语言的超级粉丝，因为它通过将任何操作转换成热键来帮助您简化生活。我们链接到的许多小实用程序，比如我们自己的Lifehacker代码项目，也是用AutoHotkey编写的，或者是作为脚本和编译版本提供的。

由于自动热键语言提供了监视击键和鼠标移动的功能，因此启发式病毒扫描程序通常会错误地将其检测为键盘记录程序或特洛伊木马程序，因为特洛伊木马程序可能利用这些内部Windows函数窃取您的密码。这并不意味着文件一定有病毒。

我们链接到的大多数自动热键应用程序的优点是通常都提供了源代码，因此您可以自己打开.ahk文件，看看到底发生了什么。实际上，如果安装了AutoHotkey，则可以运行任何.ahk文件而不是提供的可执行文件。

询问开发商

你会惊讶地发现，与一些开发人员取得联系是多么容易。人们总是给我们发邮件，询问我们在网站上托管的自动热键应用程序是否存在假阳性，我们会尽力回复。其他开发人员如果不每天整理成百上千的其他提示邮件，可能更容易掌握，如果他们是合法的，他们会非常关心防病毒应用程序对自己软件的评价，并会尽一切努力提供帮助。再说一次，你不一定要相信开发者所说的每一句话，但如果开发者很容易联系，那么他们很可能正在**合法的应用程序。更让人担心的是那些不可能得到的开发者（因为不被发现对他们最有利）。

运用你的判断

如果你的防病毒软件告诉你一个文件包含病毒，你不应该盲目地假设你处理的是假阳性；利用这个机会问问自己是否真的需要安装这个应用程序。如果你这样做了，一定要先和VirusTotal核实一下，确保下载是从一个有信誉的地方进行的，然后自己做出判断。

那你呢？当文件被检测为病毒时，您会怎么做？在评论中分享你的想法。

How-To-Geek更喜欢源代码形式的自动热键脚本。他的极客文章每天都可以在Lifehacker、How To Geek和Twitter上找到。