帅就是帅描述mse仅传入监控的不足

yeow5243

yeow5243 发表于 2011-11-19 20:48
mse仅传入监控还是能监控的

当然还在监控，可是，那变成什么样的监控了呢？

呃，这么说吧，用个非常好理解的表达：

①若干年前，一个杀软的扫描引擎很重要，虽然现在看来一个扫描器似乎无足轻重，事实上顶尖优秀的杀软光是在扫描引擎的开发就像一件艺术品的雕琢；（但也有连扫描器都不靠谱的。。。）

②后来呢，人们有实际需要，毕竟谁也不会一直扫，扫下载后难道连开个浏览器上网的缓存也要用户手动扫吗？
所以，多了监控；

监控简单分为：写入监控和读取监控。

写入监控是啥？说白了就是“全范围下载保护”。
下载保护是啥就不用说了吧，国内的产品，迅雷旋风一下载，QQ一接收文件………………就跳出来扫一遍。
写入监控就是这，硬盘所有的写入都监控（但不代表监控逻辑会一成不变）

所以，你看，仅监控传入就是这个。

扫描和写入监控已经是伟大的艺术了，而要说到读取监控呢，那就是艺术中的艺术，甚至难以被人理解。

读取监控很好做，也很难做。这也是为啥总有人不理解诺顿、趋势在卡饭的“阳痿”和“低查杀”。

为啥好做？只要我能扫到，我就监控到；我监控到的一定是我扫到的。好做是因为，这是下级杀软的做法。

上级杀软怎么做？它们的读取监控更“人性化”，更贴合“人类的逻辑”。

比如，a.exe确实是一个病毒，但我刚看到它的时候（扫描）俺心里也没谱，心里默默把它暂时列为可疑，加强关注，不打扰boss（使用者）的工作，先不告诉他。

当boss（用户）双击了a.exe，读取监控，杀软监控到了，发现问题了，确认了，报了。

====

这样的读取监控，有啥好处？上面说了，更“人性化”，更贴合“人类的逻辑”。
a.exe在刚到硬盘的时候可能是病毒，可能不是病毒（虽然我们事先知道是病毒，但杀软那时候不知道），而最后确认无疑了再报，一来，boss被打扰的可能性是不是降低了？二来，病毒依然被干掉了，保护好了boss。还有其他好处等等。

你说，这样的逻辑是不是更“人性”？事实上，现在顶尖的“不为大家所理解”的杀软都在这么做，他们研究的是更复杂更缜密的逻辑，包括赛门铁克，包括趋势（趋势似乎还有一个分布式特征，更复杂了，我也不是很确定，就不提了）


这样一看，读取监控简直就超越了神他妈呀，做好这个才是真正的挑战和艺术。

而，

MSE不监控传出等于啥？等于废了读取监控，等于挥刀子宫，虽然太监也是有战斗力滴，但你是愿意岳飞来保家卫国，还是愿意让岳不群来呢？

MSE仅监控传入就等于带扫描的网盾，可是，谁需要一个查杀尚且不那么高，响应不是那么快，还占用蛮大的“网盾”呢？ 这可是赔本生意。。。


其实，选择一款杀软，要让你得到的好处大于你能够容忍它的缺点，使用全监控。
如果实在没法忍受卡exe的话，那就换掉。不然，还是别让它成了阉人。
http://bbs.kafan.cn/thread-1127662-8-1.html

ps  大家有什么看法

ELOHIM

光管进来，不管出去，就等于必须拿工牌来上班，而下班的时候带不带单位东西都无视了。。
支持帅~

zsowen

那就排除explore~监控全部

夜ㄝ殇

嗯，确实那位高人说的很通俗易懂啊，学到了很多

飞霜流华

zsowen 发表于 2011-11-20 00:27
那就排除explore~监控全部

只怕排除，比仅监控传入更可怕~

wakin

accp.taotao 发表于 2011-11-20 00:06
光管进来，不管出去，就等于必须拿工牌来上班，而下班的时候带不带单位东西都无视了。。
支持帅~
[ ...

哈哈，比喻的不错~

stairway

学习了

一晴空

一个是读取，一个是写入。。。我觉得还是写入重要

zsowen

wy1091727248 发表于 2011-11-20 10:22
只怕排除，比仅监控传入更可怕~

期待新版能给我们惊喜

hb1990521

一向设置成监控所有文件   这东西不能含糊  也没感觉有多卡？