一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

ly250094040

小林制药 发表于 2011-8-16 23:57
以下说的观点纯属友好讨论，望兄台不要太激动

1，片面的认识决定了片面的结论，倾向性的视角决定了倾向性 ...

你说话和我风格类似啊  呵呵

1、简单的归纳，你意思是某漏洞被主防防住，而扫描此时不给力。这种情况有，这也是主防的价值之一，没有有驳于我说的主防是以弥补漏杀为价值的传统引擎的强力辅助的观点
2.你说的公式真的是错的啊，因为有主防。应该是传统无主防的杀软=引擎+病毒库。以个案为例抽取逻辑模型然后适用于所有案例的情况确实有其局限性，但在这里，我完全没有哦，你漏掉了我说的主防，呵呵
3.公式不是通过“查杀为主体”归纳出来的，很明显现在的杀软在以往基于特征码技术的引擎上，又加入了主动防御，也就是防御=查杀+主防，这是对目前杀软普遍的内部构造的现象的归纳。不过我还是好奇假如我是以“查杀为主体”出发的，为什么你说是循环论证，因为我没有察觉到里面有循环论证的思维过程，呵呵
4.看来第四点是第五点的引子
5.对于没有网络监控的杀软来说，下载的过程并没有绕过防御机制，因为这类杀软认为网络监控的工作可以交给文件监控来做，如早期的红伞，因为所有威胁，如果不先存在于PC，那对PC没有威胁。对于有网络监控的杀软来说，下载的过程没有察觉，那就过了网络监控的第一防线，不过网络监控还有第二防线，网络监控后面还有文件监控，它对所有新建的文件都会实时扫描。对于没有主防的杀软来说，查杀就是防护，都是通过特征码扫描或者虚拟启发来实现的，所以查不出就防不住是正确的。你说的防不住只是第一关没防住，而非最终防不住。
6.你的流程是错的，正确的应该是这样：做病毒-发布病毒-传播病毒-病毒下载到PC，这时候网络监控就会干掉病毒，如果网络监控失败，已经下载完成，那这时候就由文件监控会自动扫描新建的所有文件，如果扫描出，则杀病毒，删除或隔离，如果扫描不出，那看病毒何时运行，下次开机运行，这时候就看主防能防住过，如果过了主防，那PC就中毒，如果被主防拦住，那杀软就上传未知病毒，经过官方人员分析后入库，下次再遇到这个病毒就扫描后报已知。    在这个过程中，基于特征码的扫描或虚拟启发始终是主力，而主防则是最后的防线，是强力不可缺的辅助。

当然，唯主防控和唯查杀控都是不给力的，我的帖子里也表明要相互协作，其实本帖的核心是“查杀强则防御一定强”和“主防的地位是辅助",前者是最基础的数学极限思想，后者是所有杀软的行为可证明的，因为凡是报未知的一段时间后统统报已知，统统交给传统引擎，这么做有四个好处，若只靠主防，一来主防的免杀也相应而生 如曾经微点防御能力近100%,而现在的微点不够给力  二是单靠主防容易误报  三是主防费资源  四是加大被过的风险   所以现在的杀软 主防拦下报未知后一段时间全部报已知了


最后，兄台说话确实和我一样，一般人看来有点绕，可以体现出一点的哲学功底，不错不错。

ly250094040

忧郁的迷糊酱 发表于 2011-8-17 07:18
小白同学，建议你去看AV-TEST小红伞那100的威武查杀跟65的惨淡真实环境防御成绩。

第一次有人叫我小白同学  很有新鲜感

你如果知道没有主防的杀软的监控和扫描都是通过扫描来实现的话，就应该知道这是设置问题或者实时扫描对资源占用优化过度的问题。

ly250094040

jefffire 发表于 2011-8-17 09:24
对于利用漏洞的网页挂马，最好的防御不是什么IPS，HIPS，而是及时打补丁和更新软件。况且现在网页挂马 ...

是的  都是通过扫描实现的

sfsren

杀和防都重要

pcrazy

ly250094040 发表于 2011-8-16 16:04  这种讨论我现在有点烦了 其实多简单个道理   防=杀+HIPS 杀强 防能弱吗？

能杀一定能防？

另外，请回到反病毒软件（注意，是反病毒）的初衷上来：我能在安全的环境下正常的使用计算机！难道一般用户喜欢中了毒杀着玩？

ly250094040

pcrazy 发表于 2011-8-17 19:49
能杀一定能防？

另外，请回到反病毒软件（注意，是反病毒）的初衷上来：我能在安全的环境下正常的使用 ...

能杀一定能防，能防不一定能杀！ 帖子里说了 不算主动防御   防和杀其实是一种东西  都是扫描

中了毒才杀？参加211楼第六条

ly250094040

sfsren 发表于 2011-8-17 18:53
杀和防都重要

杀就是防
防不止杀

小林制药

jefffire 发表于 2011-8-17 11:55
规范用户习惯，不是说阻止用户做。如果你采取阻止的手段，结果只会导致用户不用你的软件。用户需求必须 ...

还是那句话，良言难劝该死鬼。我一朋友为了玩个游戏一股脑把所有防护圈关了，还抚掌大笑觉着自己聪明过人，结果花了大把银子买的玩意儿都变了摆设~Apple store对于那些破解免费党来说更构不成吸引力。至于钓鱼，我接过一个案例，骗子给丫发了个地址，说丫中奖了，丫的软件都提示了网站是钓鱼网站，不信，还非得往套里钻，拦都拦不住~上当了跑来报警来了

说到底，还是思想观念层面上的问题。所以我觉得软件就是个辅助性的东西，真正安全不安全，还得靠两只手。

jefffire

小林制药 发表于 2011-8-17 20:12
还是那句话，良言难劝该死鬼。我一朋友为了玩个游戏一股脑把所有防护圈关了，还抚掌大笑觉着自己聪明过人 ...

这个确实，一点招也没有。

pcrazy

ly250094040 发表于 2011-8-17 19:55
能杀一定能防，能防不一定能杀！ 帖子里说了 不算主动防御   防和杀其实是一种东西  都是扫描

中了毒才 ...

能杀一定能防？至于你信不信，我反正是不信