查看: 19608|回复: 89
收起左侧

[讨论] 【2016-10 Update 8!!】★★ 人生若只如初见,何事秋风悲画扇?★★

  [复制链接]
月影天心
发表于 2016-3-15 15:32:59 | 显示全部楼层 |阅读模式
本帖最后由 月影天心 于 2016-10-12 01:53 编辑

【Update 8!!】★★★ 人生若只如初见,何事秋风悲画扇??★★★

——最初的,或许才是最好的


【2016-10 Update 8:最后更新!修正了某些谬误和表述不当之处;本文仅供参考】


奇怪的问题:
2016-6-11:
实际使用测试中,发现WD似乎存在一些奇怪的问题,详见:http://bbs.kafan.cn/thread-2044199-1-1.html
跟新引擎有关?跟网络环境影响,云杀不稳定有关?
非常奇怪的问题,不排除是新引擎的BUG。跟进中。
系统环境:Win10 10586 x64

再次强调!再次强调!!
1、微软系只推荐在Win8.1以上系统使用,Win7也凑合,随着微软反病毒软件的改进,虽然单独开启WD/MSE能提供较好地基础性保护,但强烈建议要用微软,就把系统内置的、全部的安全模块都打开,同时做好入口防护(Entrance protection),这包括关闭autorun、加装沙盘、使用安全能力出众的世界级知名web explorer(或浏览器直接入沙)等等。
2、为进一步提升系统抵御风险的能力,强烈建议加VM,虚拟机有些麻烦,沙盘为首选,一定要养成未知程序首先入沙的好习惯。
3、不推荐个人用户加装HIPS一类的软件,除非你要用其研究,普通用户装了徒增烦恼,提升安全性?与其这样还不如直接装一款带主防功能的杀软,世界级的BD、卡巴,以及AVG、FS、GD……都是上上之选(事实是,单纯的HIPS正逐步衰亡。。。);再者养成良好习惯、做好入口防御的同时,你即使裸奔中招几率也不大,何况还有微软安全技术的加持;最重要的,电脑是拿来日常办公娱乐的,不是成天没事干试毒的。
4、关于UAC,UAC不是系统关键点监控、也不是传统意义上的主防,UAC的本质是权限控制,防止程序提权修改破坏系统,UAC具备Safe desktop的虚拟安全机制,Vista的第一代UAC非常不友好,XP根本没有类似技术,为了更高级别的安全性,请选择更新的8.1或10,保持UAC强度默认以上。
5、浏览器,世界级的Chrome、Edge、Firefox、Opera都很不错,安全性很好。




正文由此开始。
一直微软安全套装,杀毒防毒有WD,防入侵有系统墙,还有强大的信誉UAC,以及无论是运行速度、兼容性、安全性都非常棒的Edge,哦,还有Windows update,漏洞修复哪家强,还是自带的靠谱。

想折腾,玩组策略、玩权限;想优化系统,系统自带垃圾清理和磁盘碎片整理,Win10里好用到爆的任务管理器,集成了启动项管理、服务管理、性能监控、资源监控、账户管理等等强大功能,高级工具数不胜数,网络安全管理、家庭组、远程访问、Win8.1以上系统的容灾机制,一键恢复系统,什么第三方Ghost可以统统下岗了……这么多好用的功能全部内置,免费提供给你,还需要大杂烩般的第三方软件干鸟???

有人说,第三方软件更好用啊,比如垃圾清理,某某卫士一下子给你清出2、3个G出来,还有注册表清理、软件管理,看个人吧,反正硬盘大,我自从装系统至今,从来没清理过垃圾,即便硬盘空间不足了,你认为清理出这点空间有用?又不是每次都能清出几个G,到头来要么转移大文件,要么还是换硬盘、换电脑;注册表清理更是无稽之谈——注册表文件是数据库文件,是完整的索引,系统会在每次更改之后更新,注册表中的冗余数据不可避免地会产生,但这些数据不会被系统再次调用或访问,因此放在注册表内毫无问题,因此,注册表内的无效数据不会影响系统运行速度,无效的键值不会被系统再次引用,更不会影响系统稳定性。系统从安装以来,根本不需要清理注册表,清理来清理去不怕误删出错么?

除非,你用Mac,你用Linux,抱歉,对这些平台毫无了解。

扯远了。。。回归主题。

比绝对查杀率,MA家族确实不及,这和很多因素有关,但这不代表引擎差,技术落后,实际使用中,电脑能中几个毒?管它什么基准线,我只知道现在MA引擎越来越牛逼,AV-Test、VB100等微软也是常客,原生x64的底层做的最稳定,在对感染的修复能力上又有几家能比得上微软??加上一系列额外安全技术,何苦折腾来折腾去呢?不要说什么样本区,你实际使用过程中,能中几个样本区的毒?再说,不要人云亦云,真的跑跑样本区,或者在实际环境中使用,WD或许谈不上顶级,但说微软自认为能提供一流的保护,也是绰绰有余了。

要说系统缺失的,或者说还应该再加装什么提升安全性,对个人用户而言,建议加装沙盘,沙盘远比折腾杀软、钻研HIPS舒服得多,安全性也有质的提升,搞个Sandboxie,什么乱七八糟的都入沙,中个蛋的病毒?漏沙?被穿透?好吧,这里不是测试场,只是方便日常使用而已,再觉得不过瘾的,就像我以前那样,折腾折腾虚拟机,装个VBox,跑个XP,又能玩样本,又能玩老游戏,就是麻烦点。

入口防护(Entrance protection),包括但不限于关闭autorun、加装沙盘、选用具备沙盒防护体系的世界级web explorer(或浏览器直接入沙)等等。

这里更新下,有朋友提到EMET,防御0day漏洞的神器,微软出品,必须精品。

EMET全称Enhanced Mitigation Experience Toolkit, 直译为增强减灾体验工具,它通过数据执行保护(DEP)、结构化异常处理覆盖保护(SEHOP)、随机地址空间分配(ASLR)、导出表地址过滤(EAF)、Heapspray Allocations、Null Page Allocation等技术使用户即使在未安装补丁的情况下也可以免受攻击,需要注意的是,EMET是依托系统本身的防御机制来阻止对各类软件漏洞的利用。

EMET、MBAE、Hitman Pro Alert这类0day防护工具能极大的增强系统防御未知威胁入侵的能力,不过这个东西不适合一般用户使用,如果不了解的用户盲目使用它,可能会出现一系列问题,小则软件无法启动,或出现兼容性问题,导致程序崩溃;严重的甚至造成系统蓝屏,而且这个神器目前没有中文版本,更增加了其使用难度,如果你不知道DEP、ASLR、SEHOP等含义、不知道在Application Opt In、Application Opt Out、Always On、Disabled间如何选择、盲目采用Maximum Security Settings后出现严重兼容问题后并不知道该如何排错,那么强烈建议你不要使用,徒增烦恼。

其实要说起来,微软出品的免费安全工具有很多,除了EMET,还有如查错神器Debugging,以及大名鼎鼎的Process Explorer、AutoRuns、Process Monitor(Sysinternals Suite)等等,这些小工具非常小巧,虽然有些没有中文版本,但使用起来还是非常方便的,不过,我们这里所说的是针对一般个人用户的防御体系,就像WD在最新的Win10上默认启动不会出现在托盘区的设计理念一样,“Install(Use) to forget”,实际上,普通用户不需要掌握太多专业的安全技术和知识,,Win8.1以上的系统自带的防御体系已经足够满足个人用户日常需要了。

不过最后说一点,如果你不是Win8.1以上的系统,很多安全技术是不具备的,比如云,比如信誉,再比如完整功能的WD,性能强悍的Edge,还有一大堆你看不到的系统内核的改进、创新的安全技术、改良的系统工具(看看XP和10的taskmgr,真是一个天一个地。。。),所以为了世界更美好,人类生活更低碳,不妨考虑上Win10,真的很好用~

【Update 4】这里分享一个Defender的控制台命令,通过PowerShell实现。

以下内容来自于微软:
   Windows PowerShell 集成脚本环境 (ISE) 是一款主机应用程序,可使您在一个友好的环境中编写、运行和测试脚本与模块。其语法着色、Tab 补齐、可视调试、Unicode 遵从以及上下文相关帮助等主要功能可为您提供丰富的脚本编写体验。Windows PowerShell ISE 中的功能包括:
   一个命令窗格,用于按照 Windows PowerShell 控制台中的方式运行交互式命令。您只需键入命令并按 Enter 即可。
   一个输出窗格,用于捕获命令的输出。
   一个脚本窗格,用于创建、编辑、调试和运行函数、脚本与模块。
   多个 PowerShell 选项卡,每个选项卡都有自己的命令窗格和脚本窗格,使您可以同时处理多项独立的任务。
   能够以复杂文种和从右到左书写语言编辑文本。


可以在PowerShell中输入“Defender”,查看更多关于WD的控制台命令:
Add-MpPreference
Get-MpComputerStatus
Get-MpComputer
Get-MpThreat
Get-MpThreatCatalog
Get-MpThreatDetection
Remove-MpPreference
Remove-MpThreat
Set-MpPreference
Start-MpScan
Start-MpWDOscan
Update-MpSignature


其中,Start-MpWDOScan是WD的离线杀毒系统,即WDOfflineScan,也可以理解成顽固病毒清理程序。运行后自动重启到恢复环境运行WD进行查杀。谁说WD比不上商业杀软,是不是很NB~
当然,上述命令在CMD管理员状态下也能运行。
PS:该功能早由ELOHIM分享,详见:http://bbs.kafan.cn/thread-1869888-1-1.html

如果需要更直观、更详细的设置,组策略是你的不二之选,WD在组策略中拥有极多的控制项目,从最基本的运行、杀毒,到启发的设置、行为模式的选择等等,足以满足强迫症患者的一切需求。不过组策略在Win10家庭版中是没有的,这个就比较蛋疼了,最显著的影响是很多人不喜欢WD的空闲扫描,必须通过组策略关闭(任务计划中关闭无效,必须组策略),如果你用的是Win10家庭版,只能默默忍受了。。。好在WD的空闲扫描设计的还算人性化,并且MSE中是可以手动设置关闭的。

什么?你说MA家族的玩意卡exe,还有扫描如蜗牛?MA通过对其他进程的监控达到实时监控的效果,explorer大量访问硬盘数据是其卡exe的根本原因,这也就是MA家族中设置排除explorer.exe后不再卡exe的原因;扫描慢是因为拆包和深度分析文件,以及VFS分析。实际上,也没必要对MA卡exe过于纠结,只要你不是经常一下子打开包含很多exe的文件夹,基本不会感觉有卡顿,实在强迫症,排除explorer.exe能让系统像裸奔一样畅快,但为了畅快牺牲安全性,你会选择哪个?平心而论,微软一直在改进旗下杀软的监控性能,新版本引擎的监控效率已经改善了很多,在Win10下使用,基本感觉不到杀软的存在。

目前,Win8.1及Win10自带的WD是包含完整反病毒功能的杀毒软件,而Win7、Win vista中的WD仅具有反间谍功能,需要加装MSE。对于XP用户,最新版本的MSE已不提供支持,你即使下载了也装不上,XP的支持终结于4.4.304.0,但微软还算厚道,到目前为止安装这个版本仍能正常更新病毒库和引擎(如下图),还是那句话,强烈不推荐大家在XP下单奔。


当然,水一篇这么些没有任何内涵的文字,不是为微软带盐,告诉全世界第三方杀软没有使用的必要,存在即合理,与WD相比,第三方的高查杀、强大的主防、多功能和All-in-one的设计,或许更加贴近广大用户。只是觉得,与其折腾来折腾去,始终选不上一款心仪的杀软,干脆就用系统自带的。

当然有人会反对,LZ你这是祸害大家,用系统自带的杀软,没有真正意义上的主防、缺乏庞大的样本库、不具备完善的N层防护体系,中个高危病毒还不是分分钟?

首先,无论你用任何杀软,都需要具备一定的判别能力,而且良好的习惯+做好入口防御非常重要;
其次,你能保证其他杀软也能查到这个毒(当然,强大的主防和虚拟机技术能大大提升识别并拦截未知威胁的能力,WD有类似动态启发行为分析和虚拟化程序行为分析的技术,但真正意义上的主防,行为控制、回滚是没有的,但这也不是什么问题,我也不喜欢再加装HIPS穷折腾,对个人用户而言,没有必要,也无意义);
再者,高危威胁微软入库的效率还是很可观的,即使是最近闹得很凶的Ransom,同类变种短时间不断涌现,WD/MSE的效果甚至要好于很多一线杀软;此外,对感染性病毒的解毒能力MA引擎有目共睹;
此外,上面也提到了,无论你用系统自带的杀软还是第三方杀软,强烈建议你加装沙盘,以进一步增强系统安全性,可疑的玩意统统入沙,浏览器要选用世界级的产品,不要用所谓国产套壳货,也可以也在沙盘下跑,当然沙盘也不是万能,但满足日常使用足够了;
最后,重点来了,让你选择使用系统自带的防御体系,功能要开就开全了,而且建议系统至少是Win8.1,因为很多安全功能8.1以下的系统并不具备,那么我如果用的是旧的操作系统,或者仅仅单开WD或MSE,再加个系统墙,够用么?够用,单奔WD/MSE没有你想的那么不堪,但也仅“够用”而已,确保在复杂网络环境下的基础性防护,但凡事百密难免一疏,除非你是特别的高级用户,经验丰富,否则普通用户还不如选择装个功能大而全的第三方杀软一劳永逸。

整合下本文的观点:
1、微软系只推荐在Win8.1以上系统使用,Win7也凑合,随着微软反病毒软件的改进,虽然单独开启WD/MSE能提供较好地基础性保护,但强烈建议要用微软,就把系统内置的、全部的安全模块都打开,同时做好入口防护。尝试运行不明或小众程序时,一定要在沙盘里走一遍,千万不要图省事,以为开了UAC就万事大吉了,UAC不是系统关键点监控、也不是传统意义上的主防,UAC的本质是权限控制,防止程序提权修改破坏系统,UAC具备Safe desktop的虚拟安全机制,然而没有“智能化”可言,一般人往往会被UAC弄得不甚其烦。

2、如果你单开WD或MSE,或者使用的是Win vista、XP等老旧系统,亦或没有用沙盘的经验或干脆不想用,那么建议你还是尽量使用一款合格的第三方杀软,选择的标准是不搭配,这是底线,个人非常不提倡杀软组合,因为内核冲突无可避免,交互时又可能造成问题。如果想更进一步,可以加装HIPS或EMET这类0day防护软件,不过对于一般用户没多大必要,现在很多第三方杀软自带不同程度的单步或多步主防,这也是单纯HIPS正逐步走向衰亡的肇因,智能化是趋势,当然,世界级的杀软各有千秋,很多一线杀软查杀率高,但主防很烂甚至没有相关功能,需不需要还是看个人需求,当然,对于网络安全达人,在做好入口防御的基础上或许连杀软都可以不用,一个沙盘就可以远离绝大多数病毒威胁。

3、必须申明的是,在Win8.1以上系统中选用微软的安全防护体系作为个人电脑安全解决方案,适合大多数具有良好习惯+一定网络安全知识的用户,对于不熟悉电脑、网络或不具备良好安全意识的人群,你不要指望他们会适应UAC的频繁弹窗,在WD保护下中了一大堆国产流氓,或通过U盘中了QQ粘虫之类也不必惊讶,实事求是地说,默认情况下,WD对付高危威胁是一把好手,但却不像大多数第三方杀软能杀PUA那样,WD对流氓广告、QQPass等几乎没有查杀能力。基于微软系的这些“特性”,请不要向他们推荐这篇文章,尤其是当他们向你请教安全反面的问题或请求你帮助选择杀毒软件装机时,请为他们安装具备庞大用户群体的国产“智能型”安全软件,比如360,比如腾讯管家,比如金山毒霸、百度杀毒。谢谢。


最后,再提一下WD可能存在的一个很奇怪的BUG,这是新近刚发现的问题:
WD似乎存在一些奇怪的问题,详见:http://bbs.kafan.cn/thread-2044199-1-1.html

【附】
近两三年本人原创撰写的国外杀软推荐和使用指南,供不想使用WD或MSE的朋友参考,其中有些帖子的部分内容因为杀软版本更新等问题可能不太准确,仅供参考:
1、国外杀软大百科,十余款杀软,6级评价标准

2、世界级杀软的光辉典范——Avira(Shining model of world class antivirus——Avira)

3、小巧、精致、好用——新版本Avast!简易指南V2.0(低误报、高查杀、不卡机)


欢迎指正。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
送信Y + 1 感谢解答: )
ELOHIM + 1 精品文章
dongwenqi + 1 版区有你更精彩: )

查看全部评分

自由的笨小孩
发表于 2016-3-15 15:36:00 | 显示全部楼层
哎,不装个基准线以上的杀软,怎么抚慰我那强迫症和不安全的心。
sunnyjianna
发表于 2016-3-15 15:46:12 | 显示全部楼层
其实用了这么久的诺顿,觉得也还是可以
jack518
发表于 2016-3-15 15:52:41 | 显示全部楼层
装用小红伞免费版
iframan
发表于 2016-3-15 15:54:21 | 显示全部楼层
还是裸奔好回归自然全裸晒太阳去咯
月影天心
 楼主| 发表于 2016-3-15 16:06:11 | 显示全部楼层
iframan 发表于 2016-3-15 15:54
还是裸奔好回归自然全裸晒太阳去咯

裸奔其实完全可行,就像文中提到的,做好入口防御、加个沙盘,正常使用,不要刻意试毒,世界瞬间美好
iframan
发表于 2016-3-15 16:16:42 | 显示全部楼层
月影天心 发表于 2016-3-15 16:06
裸奔其实完全可行,就像文中提到的,做好入口防御、加个沙盘,正常使用,不要刻意试毒,世界瞬间美好

近几年病毒少了,就是流氓软件较多。。防不胜防啊
月影天心
 楼主| 发表于 2016-3-15 16:23:13 | 显示全部楼层
iframan 发表于 2016-3-15 16:16
近几年病毒少了,就是流氓软件较多。。防不胜防啊


关于防流氓:
1、随便哪个第三方杀软也不能完全防住,国外的更扯谈了;
2、这个和反钓鱼一样,还是要靠自己小心;
3、沙盘或虚拟机是王道。
soft_killer
发表于 2016-3-15 16:29:38 | 显示全部楼层
各花入各眼
小五灬
发表于 2016-3-15 16:37:44 | 显示全部楼层
貌似很有道理 学习了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 21:03 , Processed in 0.141239 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表