对“金山在AVC测试表现不佳的原因”更深层次的说明

蓝芯云安全

绅博周幸童鞋已经在说说金山在AVC测试表现不佳的原因一文中，阐述了一点点毒霸AVC成绩不佳的原因，其实他说的基本属实，只是呢，还有一些部分没有提到，还有一些部分，大家想知道的没有说出来。

我这人一向是知无不言言无不尽的，对于“金山在AVC测试表现不佳的原因”我也有一点个人的看法。

首先请大家翻书，下载AVC2011年5月主动防御测试报告：AVC2011年5月主防测试报告中文版

翻开第三页，里面提到主防测试的必要性：

“由于每一天都有许多新病毒和其它各类恶意软件产生，所以杀毒产品不仅需要提供尽可能频繁并且快速的更新，更重要的是，还要能够用常规/或启发式技术，提前发现这些威胁（或在离线时也不执行这些威胁）。即使现在大多数杀毒产品提供每天、每小时或以云为基础的更新，但如果没有启发式/常规技术方法，那么就意味着总会有一个时间段用户是无法得到可靠的保护的。 ”

然后翻到第四页，里面提到了对于云功能的描述：
“在回溯测试中，云功能不被列入考评，给用户提供的更新频率和升级速度、恶意软件是如何进入到系统的，也不列入考评， 因为这些功能都不是本次测试的目的。”

“我们的“主动/回溯”测试方法，确实不允许基于云技术的产品远程连接到他们的云技术基地，我们也不考虑网址（URL）拦截。因为对于此类型的测试，这都不是我们想要评测和比较的重点。剩下的几个测试的产品中，也有基于云技术的（有些没有），但这些产品仍然能提供良好的离线常规/启发式检测，而不必依靠或发送数据到自己的云基地，也没有发生很多误报且不依赖恶意软件的载体（即不依靠URL黑名单过滤）。云技术只应被看做是一种能额外提供增强保护的功能，而不应该用它来替代安全产品的基本保护功能。”

其实看到这里已经很明白了，作为AVC来说，即使这次由于是测试主防，所以他给出了大量的理由来说明云功能是不被作为考虑范围的。但是从深层次来说，AVC这个组织的测试理念本身，根本不认可云安全技术作为主要防御技术。在AVC看来，云安全只能作为辅助，而不能作为主要防御手段。

而金山毒霸呢？恰恰相反，是将云的理念作为主要防护手段进行研发的。不可否认的是，金山毒霸的大部分或者说深层次的防御技术都在云端，关于这一点官方已经做了大量的、持续不断的解释，那就是病毒入侵途径的99%都来自于网络。在断网下，病毒的入侵途径是可以被枚举的，例如U盘，例如光盘、例如软盘（虽然接近绝种）、例如蓝牙（虽然尚未接到如此超强的病毒入侵行为的报告），还有就是ARP病毒，都是在断网或者外网隔绝下可能入侵计算机的渠道。

但是这些渠道入侵的病毒比起网络来说，威胁要更小，由于金山毒霸有禁止U盘自启动/本地白名单/未知文件隔离技术，除非最新的病毒正好感染U盘（或者被人为放置在了U盘上）并且正好被插在了一个断网的计算机上并且还正好被机主运行了且机主正好允许了这个未知文件的运行，否则是不会中毒的。这比起网络上层出不穷的欺骗点击下载运行的手段来说实在是小巫见大巫了。

理论上来说金山毒霸靠云端进行主要防御其实防御能力虽然达不到100%也应该能达到90%

这些东西不做深入讨论，关键就在于，金山毒霸为什么不拿2011去参加AVC？就是因为其理念根本与AVC的要求不符合，一些人为设置的障碍肯定会妨碍毒霸的效果，还不如拿纯本地病毒库2009去测试。

其次，更重要的是，事实上，金山毒霸对于国外样本的搜集确实存在问题，这是没有办法的事，理由也不过多的阐述了。但凡是VB100、AVC等测试，国产杀软一般是肯定要购买国外杀软的病毒库进行共享的，这一点谁也不例外，OEM国外引擎的更加如此。

所以毒霸AVC也好，VB100也好，成绩不好的原因无他，一是国外样本搜集不全，二是其云防御作为主要手段的方式并不被老外认可，仅此而已，与他是否在国内能够保护大家计算机的安全没有半点关系。

毒霸的云防御效果有目共睹，特意感染U盘病毒的童鞋，我表示深切哀悼，毕竟就算是最好吃的饭菜，也总有人吃不惯的，最好开的汽车，也总有人开不舒服的，这世界上本就没有所有人一致拥护的东西，传销和邪教除外。

卡不群

写的不错 不过有些词句说的过于绝对,易引来口水

BHHZDQL

还是那句话
当初怎么吹嘘VB100的？前不久怎么鄙视VB100的？过了一次后又是怎么吹嘘VB100的？
当初是怎么说AV-C很有意义，VB不行的？现在又说AV-C没意义了？
截图都有的，是事实

蓝芯云安全

BHHZDQL 发表于 2011-7-8 19:32
还是那句话
当初怎么吹嘘VB100的？前不久怎么鄙视VB100的？过了一次后又是怎么吹嘘VB100的？
当初是怎么说 ...

当初吹嘘和现在鄙视的不是同一个人就行

BHHZDQL

蓝芯云安全 发表于 2011-7-8 19:33
当初吹嘘和现在鄙视的不是同一个人就行

貌似都是tiejun

jefffire

拿去参赛（VB和AVC）的版本恰恰不是无本地库的2011，而是2009特征码版本。
证据如下：1、程序版本为2008
               2、程序安装包大小为68M


金山官方不可能不知道VB和AVC的测试规定，但是依然选择了测试，并且使用了带有传统特征码库的金山版本参赛。而并非像趋势、drweb一样公开声明不参赛。因此愿赌服输，没什么可说的。

leisong

jefffire 发表于 2011-7-8 19:34
拿去参赛（VB和AVC）的版本恰恰不是无本地库的2011，而是2009特征码版本。
证据如下：1、程序版本为2008
...

================
“我们的“主动/回溯”测试方法，确实不允许基于云技术的产品远程连接到他们的云技术基地，我们也不考虑网址（URL）拦截。
=====================

那360杀毒是如何在AVC的回溯测试中拿到高分的？

jefffire

实际上，VB100在各项测试中均采取断网测试。而AVC除了“主动-回溯”测试外，均允许产品连入互联网。
AVC测试的项目很多，“主动-回溯”测试仅仅是其中一项而已（如图）

蓝芯云安全

BHHZDQL 发表于 2011-7-8 19:33
貌似都是tiejun

不是我就行

BHHZDQL

蓝芯云安全 发表于 2011-7-8 19:52
不是我就行

这样的人的做法也太那个，。。。不说了