毒霸在舍本逐末

tiejun

chaoyg 发表于 2011-7-4 14:14
骗一会就甚么都结束了，还用一天的时间吗。

你先想想哪个杀毒可以避免误报，自动化的纠错机制不应该有吗？

tiejun

lxilikepal 发表于 2011-7-3 22:22
那么，你们能够重现那样的环境么？
本地白库和黑库，这仍然是建立在云上。这个跟一般意义上的本地防御还 ...

比的就是速度，这点没错。金山可以做到99秒鉴定，这就是牛B的地方。

本地白+黑双重认证加非白即黑的策略，会最大限度减少不确定为安全的软件得到运行机会 。

所以，在这个可能有威胁的程序得不到运行之前，就算病毒作者有通天的本事，也无可奈何。

实践是检验真理的唯一标准，对这些问题有疑虑的，不妨把你心里想的这些场景，自己测试一番。

欢迎上录像和图片。

lxilikepal

tiejun 发表于 2011-7-4 20:52
比的就是速度，这点没错。金山可以做到99秒鉴定，这就是牛B的地方。

本地白+黑双重认证加非白即黑的策 ...

第一，我没条件没时间测这个。我也要上班，但我上班不是干这些的。
第二，作为安全厂商，多想一些多做一些不行吗？
第三，你是代表的毒霸官方，但是却让普通用户去搜集录像图片。你们不是有“云”吗？你不是说“99秒鉴定就是牛B的地方”吗？用那玩意儿岂不是应该更快？我没空整天泡论坛抓样本录视频，而你们是专门做这些工作的，如果我能抓到样本，那当然好；问题是普通用户能有多大精力去整天抓样本“玩”？
第四，我并没有让你们一定就去重现那样的情景，问题在于你们想过了出现这样的情况后该怎么做吗？你是否能保证“云”一定可靠？如果不能100%保证，那么多做一点东西多想一点东西就不行了？

依靠“库”来防，始终会被病毒木马在时效性上给踩在脚下。主动防御能够较好的弥补这个缺点，难道就真的一门心思的靠“云”来防御？说难听点，本地黑+白双重认证再+非白即黑的策略，跟那些靠MD5之类的“杀毒”的玩意儿，至少在听起来，有什么根本上的区别？也许唯一的区别就在于毒霸的“云端”有更多的MD5吧？也许还有更核心的更机密的东西、我不知道的东西上有区别。只是你能再详细的说明么？

tiejun

lxilikepal 发表于 2011-7-4 21:18
第一，我没条件没时间测这个。我也要上班，但我上班不是干这些的。
第二，作为安全厂商，多想一些多做一 ...

有时间可以测试，没时间再说。

主防可以被绕过，因此我们的目标是阻止可疑程序运行。不给可能有威胁的程序以运行的机会。

所以，那种运行可疑程序断网的问题，运行后破坏杀毒软件的问题，仅对蓄意关闭或蓄意无视安全提醒的折腾者有效，折腾者不是我们的目标用户，金山不会按照折腾者的意见去做产品。

我们的目标是保护普通网民，没功夫和折腾者逗着玩儿。

lxilikepal

tiejun 发表于 2011-7-4 21:28
有时间可以测试，没时间再说。

主防可以被绕过，因此我们的目标是阻止可疑程序运行。不给可能有威胁的 ...

话说这样就成了“蓄意关闭或蓄意无视安全提醒的折腾者”了。
你这帽子扣得还真大。
如果你毒霸不能保证绝对的安全，就别说什么“蓄意”！虽然确实有蓄意关闭的，不过那仅限于过于疯狂的用外{过}{滤}挂等的人才会干出来（参考另外个帖子，国内区的）。
别妄想能够做到比黑客比木马还厉害，因为黑与被黑的战争，还就真是以黑客的胜利为多数。否则微软招安黑客干嘛？当然，也有脑子热的如SONY这样没事干跑去招惹黑客的存在。

你可以简单的说，去隔离区里把文件找回来。那你又知不知道，就在我回这帖子前，我加的某个群里有个家伙在问：Win7下为什么没法运行搜狗拼音。你真的以为这世界上小白的数量极少么？

Comodo Firewall D+有时被人讨厌就在于频繁的弹出窗口要求用户确认。如果没那耐心，一怒之下把D+关掉，然后染了毒，这该说是“蓄意关闭或蓄意无视安全提醒”？当然，这个例子有点极端，但是至少能说明一点就是：并不是所有用户都能以你想象中的方式来运行软件！

既然提出来了，想一下，何过之有？既然连想都不愿意去想一下，反而说“蓄意”？又没有要求你一定得马上拿出方案来，至少你能说你想过，考虑过，那么就算是好的。而如果连这些都不愿意去做，那么，我只能说我当初不选择金山而选择小红伞的决定是非常正确的！

tiejun

lxilikepal 发表于 2011-7-4 22:07
话说这样就成了“蓄意关闭或蓄意无视安全提醒的折腾者”了。
你这帽子扣得还真大。
如果你毒霸不能保证 ...

将黑文件直接隔离，正是避免普通网民犯错的设计。给普通玩家一个门槛。场景是这样的：
骗子拿病毒让玩家运行，收到黑文件的同时，被毒霸删到隔离区了。

——玩家误击的机会没了。骗子没准也不知道隔离区在哪儿。

设计者的目的就是不让恶意软件被容易受骗的玩家运行。

明白了吧。

绅博周幸

支持军哥，用户大多数是小白，对安全知识没有很深的理解，毒霸注重的是用户体验而非折腾人。杀软是给人用的不是玩的，一般用户毒霸目前的功能足矣。

PS：以前常看到很多用户抱怨毒霸防护能力太差，但是2011开始使用云安全技术后中毒的几率大减，现在逛毒霸社区和很多安全论坛，用户对毒霸的满意度在增加抱怨大幅减少,这个就是进步，愿金山做得更好

tiejun 发表于 2011-7-4 20:41
你先想想哪个杀毒可以避免误报，自动化的纠错机制不应该有吗？

所以我觉得毒霸发展云不错，但应该同时发展本地断网后的主动防御，已主动防御来拟补杀毒的漏报。

1404895714

金山在系统防御方面我觉得应该搞一个行为规则库，将病毒有可能对系统做的一些危险和风险行为都放在本地，再将沙箱的隔离做得更好（现在的金山沙箱隔离运行做的还不是很好），将系统关键防御点防御性加强。这样的话，当遇到未知文件时，云端正在鉴定，而用户因为特殊原因坚决运行此未知程序，这样本地可以起用沙箱进行隔离运行，如果沙箱隔离运行被穿过，那当此未知程序运行一些风险或危险行为时，本地可以及时拦截，并上传云端，云端可以通过本地发送的程序信息和在云端分析的结果进行总结和判定，到最后再进行归纳是白名单还是黑名单，并通过这些信息来完善沙箱，让沙箱的隔离运行做得更好。
还有，我再补充一点，如果发现新程序有其他危险性或风险性行为可以实时地添加进本地行为规则库。

Sifone

lxilikepal 发表于 2011-7-4 22:07
话说这样就成了“蓄意关闭或蓄意无视安全提醒的折腾者”了。
你这帽子扣得还真大。
如果你毒霸不能保证 ...

正所谓术业有专攻，金山大力发展云安全的方式，我认为并没有错。专精后能够做成一个杀软的代表性东西也挺好的。
就像提到ESET，我们会首先想到他的启发式，提到微点，我们会首先想到他的主动防御一样的道理。
你提到的一些想法，并不是说不能去考虑和完善的，就像你回复里面谈到的一样，你用小红伞也不能保证绝对的安全，所以，我们又何必去强求“云”的无懈可击呢？