安软搭配原则

polly5771

安软论坛上的人，就喜欢搭配.....最近看了不少，KIS+微点，微点+EQ....等等。说说我的看法。

安软搭配不应是盲目的。1+1究竟是>还是<2，取决于这两个"1"的属性。
微点+EQ/comodo.这是1+1<2的典型案例。
EQ作为规则型的HIPS，通常会在病毒刚开始运行时即予拦截。而MP算是行为分析的代表。它只有在行为达到一定程度之后才会判断病毒，然后回滚，修复。两者搭配的结果是什么呢？MP基本上哑巴了。

MP，EQ都属于按行为判断的安软，虽然表面上有很大差异（安全性，易用性），却有近似的内在属性（例如，两者都对特征码免杀不敏感。MP容易误报的是安装文件，EQ在正常模式下，会拦截正常安装程序）。MP和全局防御的EQ不具有互补性。

另一个，KIS+MP，很明显的重复。两者都有防火墙，都有主动防御......其实MP的墙足够我们用了。Kis7主防和MP一起用，效果同上。一般情况下，卡巴主防拦截时机较早。

以上两个例子，我在病毒测试中都试验过。(EQ 3.41,Kis 7 MP1)

个人观点:搭配安软的原则：特征码+防火墙+HIPS/主防，不要重复。（安全性需求不高时，特征码和HIPS选一） 具体到微点这里，它已经包含了防火墙和HIPS部分，我们需要的当然是特征码。MP的墙有人不放心。说实话，在家上网用自带墙也足够了。

防火墙用于防入侵，必不可少。
在对付病毒时，特征码和行为分析有他们各自的优缺点。
特征码+启发对一般文件和安装文件是一视同仁的，准确率较高。缺点是对付变种效果不够好，某些启发会导致基于代码的误报，例如特殊壳。
行为分析对变种很有效，没有基于代码的误报。但不能处理死病毒，同时存在基于行为的误报，例如安装文件。
三者俱备，可以取得良好的效果。

我的感受：红伞或EAV搭配MP都不错。这种搭配是1+1>2的。
红伞/EAV会漏较新的病毒（变种），MP容易漏尸体。两者结合.... 相当强大。高度安全，很少的干扰，无重复不浪费资源。



最后补一句：其实单个杀软+自带墙，在多数情况下是够用的！另外，见到过红伞+EAV这个组合.....这是为了平息口水战想出来的吧！

6月21日补充: 无论如何，安软搭配都要注意相互排除！

[ 本帖最后由 polly5771 于 2008-6-21 08:15 编辑 ]

-oAo-

我微点配avast4.8(不开监控,不随机启动,不定时杀毒)

simonfour

我的是KV（不监控，不随机启动），红伞（带监控），MP，风云！！呵呵！！

-oAo-

风云不是墙吗?你微点也开墙?不冲突?

野马

我感觉：

虽然微点的行为分析也有走眼的时候，但如果是微点主动防御分析不出来的病毒，一般都是比较新颖的毒了，扫描也未必扫得出来

所以
微点配还原类软件如联想冰封（觉得他很稳定）最好了！


好在哪里？
1.节省资源提升速度
2.冲突几率小
3.省事

不好在哪里
1.如果碰上个微点不能识别的有效木马，可能会遭受损失

实用对象
1.一般用户

-oAo-

我微点配avast4.8    勤大补丁,勤备份,应该没大事

simonfour

原帖由 -oAo- 于 2008-6-2 15:44 发表
风云不是墙吗?你微点也开墙?不冲突?

微点确实开了墙，但是规则是1，开了智能墙，所以应该没冲突吧！！！

其实我的KV和红伞是为了病毒样本才装的，有时候会下了玩一下，呵呵！

爱·妖姬

微点+HIPS不等于会削弱微点，如果觉得动作少自己无法判断的时候，只需要全部动作放行留给微点判断即可！
另外，风云和微点没冲突。

polly5771

http://bbs.kafan.cn/viewthread.php?tid=247451
这里面有MP的拦截时机。一看就明白，如果HIPS率先拦截，MP必然不会管的。

在测毒中，我喜欢先让MP判断，MP不报才会用EQ观察....而不是你说的，
觉得动作少自己无法判断的时候，只需要全部动作放行留给微点判断即可
我无法判断的，MP一样无法判断

Palkia

微点+费尔