小白求科普，现在杀软真的只是跟着病毒走吗？

十送鸿钧

曾经好几次看见过某些卡饭饭友的回复中提到“杀软只能跟着病毒走，永远落后于病毒”又或者是“杀软只能查杀已知病毒，无法查杀未知的”
我一拍脑袋，然后就不懂了。
当时那些帖子的主题另有讨论内容，所以只好把这个问题单独开个帖子提出来询问一下

如果说是特征码查杀时代的杀软，那么确实很好理解“杀软只能跟着病毒走”这句话，因为当时的手段所限，反病毒公司也只能从最新病毒中提取特征码然后加入病毒库下放到客户端的本地库，拦截病毒的速度再快，处理响应效率在高也总有真空期，这句话也并没有错。

主动防御之类的行为拦截先不管，就说查杀扫描方面吧
但是现在各大杀软不是都有启发式引擎吗？难道这也是杀软只能跟着病毒走的表现吗？
启发式所具有的广谱性，难道不足以拦截未入库的新病毒吗？还是说启发式只能查杀已知病毒的变种，对未知的病毒代码就无力了？（真心对启发式不太明白，求解）

本帖中所讲的未知病毒，均以“该杀软未加入特征库的病毒”为准吧
神马诸如

能查出来的都叫已知病毒，所以未知病毒肯定都是查不出来的

之类的逆否命题文字游戏就不要玩了……

zxzzit

这世界上先有警察后有小偷，不管警察多高明，小偷伎俩永远更胜一筹。

c287432622

基本上是吧，不过旧的病毒也会传播的，，，

所以现在有主防，启发，云防御等等，，，，

yujiakun

那些做XX的人必然有方法绕过杀软，只不过某些杀软很少有人能绕过（传说一个免杀卖几千块），有些杀软号称人人动手（传说有批量免杀器）

相对而言，有些杀软做毒的不用“跟”就已经"上"了，有些杀软只有少数做毒的跟得上

十送鸿钧

zxzzit 发表于 2011-8-9 12:34
这世界上先有警察后有小偷，不管警察多高明，小偷伎俩永远更胜一筹。

高明的警察应该可以在小偷动手之前抓住他的

yujiakun

十送鸿钧 发表于 2011-8-9 12:36
高明的警察应该可以在小偷动手之前抓住他的

百密一疏，比的是谁“密”得多”疏“得少

十送鸿钧

yujiakun 发表于 2011-8-9 12:37
百密一疏

这个承认，但是也不至于完全对未知病毒无力吧

yujiakun

十送鸿钧 发表于 2011-8-9 12:38
这个承认，但是也不至于完全对未知病毒无力吧

说的是在对待未知的时候难免百密一疏，总有漏过的，不可能所有未知都拦下

十送鸿钧

yujiakun 发表于 2011-8-9 12:40
说的是在对待未知的时候难免百密一疏，总有漏过的，不可能所有未知都拦下

是的，你的观点我承认啊
我说的虽然不可能所有未知都拦下，但是也不可能所有未知都拦不住吧

-oAo-

主动防御已经走在病毒前面了