一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

dopod2009

hatelove1 发表于 2011-8-18 21:58
STEPHY

原来系肥番，我都系。怪不得一开始见你头像觉得好熟悉。

wjcharles

ly250094040 发表于 2011-8-18 11:08
入侵检测是探测到主机的边界如某端口有来自未知的探测如PING，不达到主机根本就没法探测。所谓的不达到主 ...

那入侵检测或者趋势的web信誉算是防还是杀呢？这两者在查杀率上应该是体现不出来的吧

stoneama

一点都不懂，安装完了就直接用，不作修改

追梦空间

能查就能防？这句话有待商榷，据我的经验，并不是所有病毒都能防住，即使能查杀出来的。曾经的红伞可以查cad病毒，但防不住它，这该怎么解释？我没有遇到过强毒，但是就这平时的应用都能够证明这个论断并不准确

追梦空间

dopod2009 发表于 2011-8-16 16:37
按照你的观点，那双杀软岂不是1+1=2？主防是不会

感觉看了几楼帖子，虽然技术上并达到不了你们的高度，但是我感觉你们实际在一个公式上谈论着，杀毒这东西，个人感觉用公式衡量不准确，公式只是方便理解，但不能禁锢思维方式。由于个人工作原因，不禁联想到混凝土施工，并不是水泥多就能强度高，钢筋多就好，很多时候石料，外加剂，甚至环境，都影响强度的，而且某些时候过强的某些成份反而影响整体效果。同理可以类比到杀毒软件。

UDady

LZ正解

keymao

不管是反病毒还是主动防御。 只有不让恶意程序或代码对系统“产生了”伤害 这才是最最主要的。

不要让伤害成为完成时  这是安全软件必须做到的一点。 而且现实中也确实存在虽然能够杀 但是已经对系统造成伤害的例子。  这方面不好断清界线。

veimo

这个比较纠结

ZJUER

ly250094040 发表于 2011-8-18 11:08
入侵检测是探测到主机的边界如某端口有来自未知的探测如PING，不达到主机根本就没法探测。所谓的不达到主 ...

诺顿的入侵检测和你所说的完全是两个东西，麻烦你搞清楚再说好不……
你说的这个，在诺顿的体系中，只不过是入站防火墙的基本功能，而不是入侵检测系统……

shwan

      完整看了这篇帖子，说两句吧。 楼主说的查杀强的防御就强我认同。但是楼主的说的可不是一定，有些杀软的确查杀率高，可是为什么还会造成成功查杀后文件缺失或者导致系统问题？ 这点楼主考虑过没有？
      目前很多杀软都号称前摄式防御可是真正在中间驱动层阻止病毒入侵的是需要强大的引擎，很多杀软做不到这一点，所以在依靠传统特征码识别出后能查到，也能删除病毒，可是病毒的更新换代远比传统特征码的更新来的迅速，所以很多时候查到了，也删除病毒了，可是是在中毒以后！ok，说道这里就很明显了，能查也能杀，可是还是对系统造成了无法估计的后果，很多时候查杀掉了但是对病毒的传输原理没有做出合理的阻断，导致账号还是丢失的情况是屡见不鲜的事儿了（这里暂时不讨论免杀）。
   楼主一直强调查杀强防御一定强，这个问题没有错，但是也不会是绝对正确，一个杀软的防御包括很多，特征码查杀是传统方式，也是目前大多杀软离不开的方式，其实很多主防的机制也依靠了特征码技术。但是，真正的防御包括特征码模块，网络防火墙模块，hips模块，主防模块，沙盘模块，还有现在比较流行的云端，这些东西综合起来组成了4d防御，互相弥补，比如在不能查杀识别的时候这时候对于有一点电脑经验的人来说，hips会显得格外重要，在这个层面来说，绝对不是辅助，所以一个好的hips应该不会误导用户，尽量减少误杀率，这也是区分hips的区别，纯手动hips对于会设置的人的确更胜于特征码查杀，这个命题无需在争辩吧？那么主防，这个定义其实有点模糊，主防有点基于hips，但是不等同hips，主防应该是智能的，应该是前段防御，不应该是中毒后在作出的反应，所以一个好的主防模块也是好的杀软必不可少的，还有网络防火墙，这个作用是在太大了，说白了就是阻止病毒对内外的数据传输，好的防火墙设置好了也是必不可少的。
      综合以上，只是查杀率高的杀软不一定防御是最强的，真的。要想上位，还得靠综合素质，说道这里，我想告诉楼主，特征码查杀的确现在还不能丢掉，但是在我心里，hips，主防等功能与传统特征码查杀的地位是一样的，甚至超出。例子太多，不一一列举。查杀是防御的一部分，而防御却不等同于查杀。
       这里做个假设，只是假设没有以任何杀软的机制为例。
       病毒yyh.exe的一段代码为：1233333333【98&g}————xp.doc|-Y-Y-Y-Y........................、省略
                                       此为病毒实际前缀                      此为隐藏前缀  
       杀软在更新病毒特征码后能够查杀此病毒，但是病毒随即改变代码为
                                        1233333333【98&g}————xp.update-Y-Y-Y-Y.......@@@@@@@.........、
        可以看出前缀一样，程式一样，可是注入方式已经改变了这个时候即使传统特征码能够查杀，可是就算查杀，已经注入了，系统已经遭受损失了，这时候就会体现出——hips，主防的作用了。
         不像楼主所说传统特征码的高查杀就必定等同于高防御，必须结合hips与主防，而且不是辅助，在新技术未出现前，这是必须的!comodo套装的查杀一般，可是一招hips就够病毒吃一壶，这可不是单步hips能相比的，虽然复杂，可是不得不承认传统查杀与它的防御是没有可比性的，还有我玩卡巴就玩它的hips，就玩交互模式，单步hips与特征码能与我比防御？不太现实吧。