一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

请多指教

杀软90%的情况下，是摆设

重装才是王道

鬆哥

查杀率蛮重要的，但并不是绝对，还是需要其他方法辅助，才能算是完美

WEI.ER

xpx321 发表于 2011-8-16 18:37
凑个热闹
这就好比有一家珠宝店拥有完善的防盗设施 能把小偷拒之门外
有另外一家防盗一般 小偷都偷干净了 ...

观点完全一样，赞一个。

小林制药

以下说的观点纯属友好讨论，望兄台不要太激动

1，片面的认识决定了片面的结论，倾向性的视角决定了倾向性的观点。兄台显然是掉进了这个圈里，举个例子说，某款杀软可以针对可能存在的被用来入侵系统的漏洞做了防御，在确定这个防御方式有效的情况下，对于可以通过此漏洞进行入侵的病毒的查杀率可能并不高，换句话说，它能识别针对漏洞的攻击，却不能识别攻击者是谁，但是我想我们不可以说“这个软件很垃圾”。毕竟“攻击者”被挡在了门外，系统没有受到实质性的威胁。个人猜测楼主应该是很注重传统意义上的特征码查杀率的，所以对于其它的防护方式不太敏感，故文中有些观点有失偏颇。
2，在下对兄台的公式存有异议。在下认为公式看起来完全正确，却经不起推敲。譬如我列出一个公式：软件=引擎+病毒特征库。我相信没人能说这个公式是错误的，但事实上正确吗？相信兄台如果有意驳倒这一公式的话，一定能找到许多的漏洞。因为阁下只把软件设计做了一个简单的抽象和量化，而且我感觉是选择了某一款或者某一类软件抽象出一个公式，然后扩展到整个范围里面。在下认为这种以点盖面的归纳是不够准确的。
3，兄台的论证犯了一个常见的错误——循环论证。兄台先提出结论“查杀是主体”，然后根据这一思想归纳出一个公式，用公式证明“查杀是主体”，然后又用“查杀是主体”证明这个公式的正确性。而一般逻辑学知识告诉我们，循环论证是说明不了什么的。
4，能防护，不一定代表能查杀，我认为是有道理和有根据的。还是拿漏洞入侵（网络挂马）举例子，比如我做了一套牛X的软件，我知道所有的入侵方式，也知道如何让这些入侵方式失效，但是我一个病毒都不认识，所以我没法查杀，但是我相信没有人可以说我不能对病毒进行防御。而事实上有些软件就是这么做的，或者某种程度上这么做了，它们在扫描中并不能完全的识别出病毒，但是可以在病毒以某种方式入侵机器的时候做出防御，或者使病毒失效化。于是引出了下一个问题：
5，在把病毒下载到机器里的时候，其实就是变相的绕过了某些软件的某些防御机制。因为主动的“下载”一定是用户有知觉的行为，而用户没有知觉的“下载”则属于Drive-by式的入侵，很显然，有一些软件不会约束前者而会管理后者，这便造成了“查不出，所以防不住”的认识。其实未必是“防不住”，只不过是用户自己给病毒放行了而已——如同防盗报警器，它只会对破门而入的歹徒报警，而不会对我打开门放进屋里的人发出警告。
6，一个病毒发作完整的过程应该是这样的
做病毒-发布病毒-传播病毒-病毒入侵-病毒感染-杀病毒
我们看到杀病毒是排在最后的，阻断前面任何一个环节即可以使得病毒的发作终止，而阻断这些环节未必靠的是特征码或者查杀率。说个比较变态的情况，我把网线拔了，机器上面不装任何未知软件，把扩展接口都用胶带封死，我机器上面不装杀毒软件（查杀率是零）也一样安全。可见，决定安全效果的并非只有查杀率，其中一个重要的需要考虑的因素是对于病毒入侵整个流程中，某一个环节的阻断效果如何，而阻断效果用查杀率是无法表示的。

最后我想说的是，唯防护者的论调不可取是确实，但也不能唯查杀率。更不能单纯的依靠查杀率来评价一款软件的优劣与否，如果一定要评价某款软件，请先了解其设计思想，设计架构。

如有不当，还请见谅。

忧郁的迷糊酱

ly250094040 发表于 2011-8-16 12:52
你要知道特征码技术的查杀原理，就知道能查杀就一定能防。什么能杀不能防，这是某些杀软为了应对自己的查 ...

小白同学，建议你去看AV-TEST小红伞那100的威武查杀跟65的惨淡真实环境防御成绩。

dopod2009

一晴空 发表于 2011-8-16 19:43
那就拿gdata来说，他的查杀率很高
但是防御，就本着防御来说，本来是要靠病毒库没错，但是防御不是小的概念 ...

前来支持一下

久远寺有珠

LZ说得有道理，不过，如果病毒要是过了防御的话，查杀又查不出来，那就笑了

jefffire

小林制药 发表于 2011-8-16 23:57
以下说的观点纯属友好讨论，望兄台不要太激动

1，片面的认识决定了片面的结论，倾向性的视角决定了倾向性 ...

对于利用漏洞的网页挂马，最好的防御不是什么IPS，HIPS，而是及时打补丁和更新软件。况且现在网页挂马早就不流行了（为何？因为及时打补丁和更新软件的人越来越多，挂马成功率越来越低），引诱用户主动下载，主动运行才是王道。因此如果安全厂商不能够规范矫正用户习惯，仅仅把眼光放在查杀和防御上，迟早要完蛋。


在我看来，防御和查杀实际上是没有区别的。最终围绕的核心就是两个字：检出。查杀是对样本文件的直接检出，防御是对入侵特征和行为特征的检出。因此不论是防御还是查杀，最终都是对特定特征的检出而已。

hooluupig

我还是觉得防御是第一位的，在防御更好的前提下我宁可选择查杀稍弱的杀软，但是不能弱的离谱。

一晴空

hilan 发表于 2011-8-16 22:43
个人对趋势的理解,web信誉防护就是云端恶意网址库,这个防不属于那个公式右边的任一种

web防护似乎也有一部分是本地的一些类似规则的东西。。。
加上云端的库