一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

ly250094040

很多人纠结杀和防哪个重要？其实防和杀的观念是有重复的，本来就没有”杀毒软件“，而是”反病毒软件（antivirus software）“,抛开主动防御或HIPS，查杀就是防御，防御就是查杀，因为防御就是扫描，查杀也是扫描，只不过防御是通过实时扫描也就是监控来实现的，而查杀是用户手动扫描，所以能杀就能防，能防就能杀。

所以防御=查杀+HIPS或主防，查杀越强，防御就越强。

    如果Y=A+X（X≥0），那一定可以推到出若A值越大，则Y值一定也越大。传统杀毒引擎有很多年历史了，各个杀软的技术差别很大，查杀率差别也很大(卡巴在AVC检出率常常超过98%，而某X则徘徊于30%)，而主动防御是最近几年才出来的，各个杀软的能力差别相对没有传统杀毒引擎那么大。所以要比较一个杀软的防御能力，更重要的是看传统引擎的查杀率。也就是Y=A+X（X≥0）中，各个杀软的X值相差不大，但A值却相差非常大，所以防御能力Y也相差较大。

某个卡饭用的杀软检出率低，他可以说没事，我有很好的主防。但如果针对另外一个检出率高的杀软，他说“能杀有什么用，关键是能防”，那就大错特错了，因为根据上面的等式，防得好不一定杀得好，杀得好就一定防的好。某个杀软的检出率高，那多数情况下它的综合防御能力就比那个检出率低的更强。

     所以”查杀率不重要，防才是王道“，是很荒谬的，查都查不到，说明传统杀毒引擎根本没办法，怎么防？就只有靠主动防御或者HIPS，但就算咖啡，别人的3D规则做得非常出色，成功的统治了企业电脑，也不敢不重视查杀率，也必须加快入库时间，若只靠主防，一来主防的免杀也相应而生 如曾经微点防御能力近100%,而现在的微点不够给力  二是单靠主防容易误报  三是无视传统引擎防护直接交给作为最后一道防线的主动防御的话，大大加大了被过的风险   所以现在的杀软 主防拦下报未知后一段时间全部报已知了。所以HIPS或者主防只是治标，查杀才治本。查杀才是主体，主动防御只是补充，先挡下，等查杀有能力了才丢给查杀，现在的几乎所有杀软也都是这么做的。



PS：247楼的大神亮了，他认为“无主防的杀软，监控和查杀都是通过扫描来实现的，是同一原理”是一个神奇的言论，还在签名里盗用我头像广播自己的无知。

dopod2009

这种帖子争论空间很大

ly250094040

因为发了个这个帖子http://bbs.kafan.cn/thread-1051317-1-1.html 说国产云技术化后，查杀率超越所有国外杀软。然后N个人回复查杀是浮云，防才是王道。。。

ly250094040

dopod2009 发表于 2011-8-16 12:41
这种帖子争论空间很大

这种东西有什么好争论的，新人才会争论，不管争论得多厉害，结论就只有一个。杀软不讲查杀率  等于学生不讲成绩，工作不讲薪水，部队不讲战斗力，生活不讲质量，ML不讲快感

dopod2009

ly250094040 发表于 2011-8-16 12:45
这种东西有什么好争论的，新人才会争论，不管争论得多厉害，结论就只有一个。杀软不讲查杀率  等于学生不 ...

查杀高，但是防御差也不能解决问题。这个问题本来就是相对而言的，一味偏向某一方也不行

maomao110

嗯   楼主说的有道理
ps：我是来看猫爪子的

yaoyunjia

一般没人天天开杀软扫把，查杀做的在好，查的了，防不住也是没用

ly250094040

dopod2009 发表于 2011-8-16 12:46
查杀高，但是防御差也不能解决问题。这个问题本来就是相对而言的，一味偏向某一方也不行

查杀高，防御差，这种事情从技术上来说是不可能的。就基于特征码技术的引擎，不管是传统引擎还是云引擎，查杀高必然防御强。   

dopod2009

ly250094040 发表于 2011-8-16 12:50
查杀高，防御差，这种事情从技术上来说是不可能的。就基于特征码技术的引擎，不管是传统引擎还是云引擎， ...

查杀高必然防御强？这句话相信没有哪个厂商敢这样说。

ly250094040

yaoyunjia 发表于 2011-8-16 12:49
一般没人天天开杀软扫把，查杀做的在好，查的了，防不住也是没用

你要知道特征码技术的查杀原理，就知道能查杀就一定能防。什么能杀不能防，这是某些杀软为了应对自己的查杀低得广告词，忽悠小白的。另外HIPS的兴起也助长了这种谣言。

dopod2009

ly250094040 发表于 2011-8-16 12:52
你要知道特征码技术的查杀原理，就知道能查杀就一定能防。什么能杀不能防，这是某些杀软为了应对自己的查 ...

要知道现在的病毒和木马已经不是特征码可以应付的了，未知病毒和木马就需要启发和主防

ly250094040

dopod2009 发表于 2011-8-16 12:51
查杀高必然防御强？这句话相信没有哪个厂商敢这样说。

如果你了解基于特征码技术的杀毒引擎的工作原理，就不会这么说

不管是在PE头上做文章还是搞什么拼凑链接，只要杀软能能查杀说明就能定位恶意代码，能定位恶意代码还不能防？

所谓防和杀的区别就是一个监控一个是扫描，最终实现杀毒的还是靠扫描，所谓监控其实也是扫描，只不过是实时的和自动的，而一般扫描需要用户手动。仅此而已、

dopod2009

ly250094040 发表于 2011-8-16 12:57
如果你了解基于特征码技术的杀毒引擎的工作原理，就不会这么说

不管是在PE头上做文章还是搞什么拼凑链 ...

如果特征码技术可以满足一切防御需要，那么就不会有现在的启发和主防出现了。病毒和木马不会坐以待毙等着你查杀的。关于特征码这个你大可以搜索一下相关的帖子

ly250094040

dopod2009 发表于 2011-8-16 12:55
要知道现在的病毒和木马已经不是特征码可以应付的了，未知病毒和木马就需要启发和主防

启发也是基于特征码技术的  还是要靠判断样本的恶意代码   至于主防其实就是HIPS  贴里也说了只是辅助  只能暂时挡住  最终还是要交给特征码引擎彻底干掉 不然资源耗费很惊人  这也就和中毒没什么区别了

dopod2009

ly250094040 发表于 2011-8-16 13:00
启发也是基于特征码技术的  还是要靠判断样本的恶意代码   至于主防其实就是HIPS  贴里也说了只是辅助  只 ...

貌似静态启发才是基于特征码的吧

lionking20i0

以防为主，防杀并重

dopod2009

ly250094040 发表于 2011-8-16 12:57
如果你了解基于特征码技术的杀毒引擎的工作原理，就不会这么说

不管是在PE头上做文章还是搞什么拼凑链 ...

你的假设都是基于可以定位，那如果出现不能够定位的呢？那么你的查杀这个时候可以干什么？

ly250094040

dopod2009 发表于 2011-8-16 13:04
你的假设都是基于可以定位，那如果出现不能够定位的呢？那么你的查杀这个时候可以干什么？

所以现在的杀软都有HIPS作为辅助    但仅仅是辅助   不重特征码查杀只重HIPS的杀软是不存在的  查杀是非常重要的防御能力  因为刚才说了查杀就是防御   现在的杀软对于漏杀的病毒全部都是先用HIPS挡住 然后尽快入库  还是要靠特征码查杀 一劳永逸 不然就和帖子里说的一样  和中病毒等效  而且现在很多病毒可以过主防的   
所以特征码查杀是主体和基础  HIPS只是辅助  这个关系现在被弄颠倒了  要说主防  现在貌似任何一个杀软都有  那是不是任何一个杀软都同一级别的强了？任何一个LJ的杀软都敢宣称自己很强  因为加入了主动防御  查杀LJ也没什么人关注了  

lbxz

防不胜防的时候总会有的，杀也是很必不可少的能力

dopod2009

ly250094040 发表于 2011-8-16 13:16
所以现在的杀软都有HIPS作为辅助    但不重特征码查杀只重HIPS的杀软是不存在的  现在的杀软对于漏杀的病 ...

看来你搞错了吧，sonar就不是你说的HIPS。现在没人说查杀特征码不重要，只不过讨论这个话题是有一个相对的前提，这个没有绝对化的。防御应该作为第一道防线，你不可能把敌人放进家里然后在干掉吧。御敌于国门之外可以减少很多损失。