一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

ly250094040

pcrazy 发表于 2011-8-17 21:20
能杀一定能防？至于你信不信，我反正是不信

你要多学习基于特征码技术和虚拟启发技术的查杀原理

小林制药

ly250094040 发表于 2011-8-17 18:48
你说话和我风格类似啊  呵呵

1、简单的归纳，你意思是某漏洞被主防防住，而扫描此时不给力。这种情况有 ...

感谢兄台赏光，嘿嘿……
1，这就是我说兄台片面的地方——排除库不言，现代有些引擎技术已经不是一个简单的查杀作用了，而是包含了多个模块所构成的协同体，比如漏洞防御已经被某些软件整合到本地引擎之中，更有甚者已经开发出具有一定启发性分析，但是都与通常意义上的“主动防御”有区别。通常“主动防御”是指“在病毒未被处理（收入特征库）之前，即可对病毒进行清除，故主动防御也称为前摄性防护”，现实中的例子就是微点，诺顿的SONAR，ESET的高启发，卡巴斯基的启发式等等。HIPS类其实应该独立另算，因为从功能上讲，HIPS自己就可以撑起一片天。兄台的观点没有错，但是在下觉得是把“传统引擎”看得太单一化了，所以我才说有失偏颇。
2，我之所以说我的那个公式又是对的又是错的，是针对兄台的公式而言。我的公式之所以对，因为目前所有杀软都跳不出至少有个引擎，有个库的模式。之所以错，是因为我的公式归纳的完全片面化，忽视了其它可能影响到结论的变项。而兄台所列之公式，同样也有这个问题，个人认为问题的原因在于兄台错误的把除了“依靠病毒库的查杀”之外的防护手段都笼统的归入到“主动防御”中去了。
3，兄台先做了一个结论——防御=查杀+HIPS或主防，查杀越强，防御就越强。然后根据这一结论，推出来一个公式，然后又用这个公式，去证明“防御=查杀+HIPS或主防，查杀越强，防御就越强”。简化论证过程是：因为先设结论就是“查杀越强，防御就越强”，所以根据这一点推出公式，根据公式再推出结果“查杀强大的，防御就一定强大”，或者“防御强大的，是因为其查杀强大”。这是一个典型的循环论证过程。与利用“至少有一个内角和是180°的三角”来推导第五公设相类似。
5，兄台还是站在“特征码扫描”的角度上来理解这个问题，有失片面。有些软件是基于特征码扫描来作为这一防线的，另一些软件则以其他的技术（比如基于关键字的入侵检测）作为构建防线的手段。前者无论是手动下载，还是通过什么其他途径悄悄入侵都不存在是否“绕”的问题，因为它一直在使用“与病毒库比对”的方式过滤着所有的数据流，从而检测病毒。而另一派别则着力于检测入侵的行为，“主动下载”是用户发起的合理的行为，这类软件轻易不会去管（或者说很少管）。所以我才说“主动下载病毒包其实是绕过了一部分防御机制”。兄台所说的“查不出”，在下的理解是“查不出来具有病毒特征的文件”。在下的“防得住”指的则是“可以有效的阻断病毒入侵的过程”。打个比方说，兄台所说的如同“抓罪犯”，我所说的如同“装报警器”，两者没有必然的，直接的联系。可见，“查”与“防”之间并不存在必然的，直接的联系。
至于文件监控防线，则又绕回到特征码查杀这一问题上来了。我的观点和结论是防得住（指病毒并未实际的侵入到用户机器内，或者病毒发生了行为）不一定杀得掉很正常，不能说明软件带来的安全性如何如何。既然都已经由用户主动的，有意识的“绕过”了防护，再继续硬辩下去必然会提出一个伪命题，或者跑题。

6，流程对错且先按下不表，兄台所说的“网络监控干掉病毒”只是实现的一种形式，至少还有一种形式是“根本就不能触发下载”或者说“使病毒下载到PC的途径无效化”。这一点兄台没有考虑到，而这恰恰就是我所强调的“防”。归纳起来说，兄台只考虑了在数据流传输中进行过滤，揪出来病毒并且杀掉，而没考虑到“可以不让传输发生”和“传输即使发生了，病毒也无法运行”一类的情况。根据兄台所说的（比较片面的）角度，当然可以支持“杀得掉就防得住”这一结论。兄台的流程虽然不错，但是不够准确，像是其他的入侵途径没有包括在内，所以在下认为，不具备普遍性的意义。

我不反对“基于特征码的扫描是主力”这一说法。但是我不赞同兄台“查杀强则防御一定强”的结论。前文说过，“防”与“杀”如同“装防盗器”和“抓贼”，两者没有必然的，直接的联系。所以运用极限思想来归纳是不适合的。运用了极限思维的推理，本身推理过程没有错，但是把不能直接联系起来的两种东西直接联系了就会陷入“先设结论”的圈子，所以导致兄台不知不觉中弄出来了一个循环论证。毕竟安全问题不像解物理题一样简单。

最后再阐述一下我的观点：查杀高的，不代表防护一定好。防护好的，查杀率不一定高（不高的查杀率也有可能拥有优秀的防御效果）。“查杀强防御一定强”是片面的，不准确的观点。

如有不当，还望指正

P.S.忘了换了例子，所以编辑了一下

alfchin

星风烈日 发表于 2011-8-16 13:39
听说诺顿主打的是sonar

这个主打不靠谱
诺顿是引狼入室的代表作。。。
SONAR开高了影响日常使用，开低了和没开差不多。
查杀不给力也就算了，防御体系也是松松垮垮，加个驱动啥的轻而易举

alfchin

圆谷光彦 发表于 2011-8-16 13:47
能杀（特指手动扫描）必能防建立在监控给力的情况下，就目前来看，大多数能做到，但部分安软做不到：扫描报 ...

很多杀毒，如AVG就是这样。。。监控和扫描的效能完全不同

alfchin

あ掵㊣峫淰℡ 发表于 2011-8-16 14:14
主流杀软都不会出现你说的问题

至于非主流之类的，本身就来路不明，

AVG就不行了

alfchin

dopod2009 发表于 2011-8-16 16:17
我没有说你说主防是垃圾，既然主防可以拦截，那就没有造成危害。那么还怎么有后续的升级查杀呢？
是你思 ...

windows本身存在漏洞使得病毒可以完全无视主防，注意是完全，不是部分绕过。
只是目前不流行这种罢了。。。鬼知道微软对于这个WIN2000就有的漏洞修还是不修

忧郁的迷糊酱

ly250094040 发表于 2011-8-17 18:50
第一次有人叫我小白同学  很有新鲜感

你如果知道没有主防的杀软的监控和扫描都是通过扫描来实现 ...

哦？是吗？真实原因是特征码检测不出。抱歉我打了你一耳光。

ablhr

忧郁的迷糊酱 发表于 2011-8-17 22:26
哦？是吗？真实原因是特征码检测不出。抱歉我打了你一耳光。

楼主是想说扫描报特征码的样本在有实时监控的情况下运行也是会报的，至于能不能检出就要看样本的入库情况了
PS：注意下用语，扇耳光这话可不能随便说

ly250094040

忧郁的迷糊酱 发表于 2011-8-17 22:26
哦？是吗？真实原因是特征码检测不出。抱歉我打了你一耳光。

语气真牛啊  和水平完全不对等  真实原因是特征码检测不出？那为什么查杀能100%呢？不知道你打了谁的耳光啊~太无语了~ 你要多学习基于特征码技术和虚拟启发技术的查杀原理  而且你就算是什么都不懂  我也在帖子里说了 不谈HIPS  防御就是查杀 查杀就是防御  因为都是通过扫描实现的   

dopod2009

alfchin 发表于 2011-8-17 22:06
windows本身存在漏洞使得病毒可以完全无视主防，注意是完全，不是部分绕过。
只是目前不流行这种罢了。。 ...

微软的补丁就是为了填补这些漏洞。主防和查杀只是防御手段，并不是万能药。如果有大规模爆发利用这些漏洞的病毒，那么特征码查杀也不一定可以完全阻拦