一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

ly250094040

wjcharles 发表于 2011-8-19 13:54
那入侵检测或者趋势的web信誉算是防还是杀呢？这两者在查杀率上应该是体现不出来的吧

诺顿的入侵检测没用过  不太清楚    一般的主机入侵检测系统不就是HIPS么  WEB信誉是主防的补充  用大家的评价结果作为截拦标准   是主防的一部分      两者应该都算防御的

ly250094040

c291354239 发表于 2011-8-20 06:45
能查就能防？这句话有待商榷，据我的经验，并不是所有病毒都能防住，即使能查杀出来的。曾经的红伞可以查ca ...

传统引擎的防护基本就是靠得实时扫描   所以防就是杀 杀就是防   是同一个东西   只是实时扫描可能考虑资源优化  降低了防御级别  所以有时候从现象上看视乎防不住   但其实这是设置问题  把实时监控设置成和扫描一样的最高防护级别就可以解决 对无主防的杀软来说  防和杀是一个东西  所以能放就能杀  能杀就能防

ly250094040

c291354239 发表于 2011-8-20 07:20
感觉看了几楼帖子，虽然技术上并达到不了你们的高度，但是我感觉你们实际在一个公式上谈论着，杀毒这东西 ...

防御=查杀+主防  公式其实表达是“防御是传统引擎的查杀和主动防御的综合” 或者说“防御是杀软各个不同机制的综合”，所以我说某一项机制能力强，那总能力就不会弱。也就是查杀强则防御强。

ly250094040

keymao 发表于 2011-8-20 11:12
不管是反病毒还是主动防御。 只有不让恶意程序或代码对系统“产生了”伤害 这才是最最主要的。

不要让伤 ...

查杀其实是指手动扫描  比如全盘扫描  是病毒运行之前的扫描 比如检出率测试  不是中毒后才补救的那种

ly250094040

ZJUER 发表于 2011-8-20 12:44
诺顿的入侵检测和你所说的完全是两个东西，麻烦你搞清楚再说好不……
你说的这个，在诺顿的体系中，只不 ...

诺顿很久没用了   确实不知道它的入侵检测具体是怎么运作的     但肯定是属于主防范围

hx1997

启发式和特征码有什么依赖关系？动态启发不用特征码的，就是静态启发通常也有一系列的评分机制。反病毒是一个整体，你不能把它拆开来说“防最重要”或者“杀最重要”。

ly250094040

shwan 发表于 2011-8-20 14:29
完整看了这篇帖子，说两句吧。 楼主说的查杀强的防御就强我认同。但是楼主的说的可不是一定，有些杀软 ...

有些杀软的确查杀率高，但还是会造成成功查杀后文件缺失或者导致系统问题，这不是查杀能力的问题，是属于灾难恢复能力的问题  这是病毒过了传统引擎又过了主防引擎后导致的后果  和“查杀强则防御强”的主题无关啊  呵呵
第二段你是在强调主防的作用，我在帖子中也没有否认主防可以挡住（免杀不讨论）传统引擎漏杀的病毒这一重要作用，我只是加了一句“主防挡住的未知病毒在一段时间后全部由传统引擎检出报已知”，说明现在的绝大多数杀软依然是以传统引擎为主打的。
第三段你意思是各个防御机制构成整体防御体系，协同作业，共同防御。我在帖子里也是这个观点的。只是你意思是各个防御机制“不分主次，完全平等”，而我强调传统引擎（包含特征码技术，虚拟启发，网络防火墙）是主，主防或HIPS是辅助。这个也是从现象判断的，理由也是现在的绝大多数杀软先报未知后入库报已知，也说了这个现象的原因是那3点。

后面的具体例子，也是想说主防的作用，呵呵。这个和我本意不违背，而且也不见得可以让主防表现，传统引擎中的虚拟启发还是很厉害的。


“高查杀就必定等同于高防御”，这是以“没有主防”为前提的，而我帖子的意思是“各个杀软在作为新技术的主动防御上能力相差不如传统引擎那么大得时候，传统引擎更能体现防御力的优劣”，也就是在Y=A+X中，X相别不那么大，而A差别很大，所以在各个不同的杀软中，A最大则Y最大得可能性更高。这一切都是把主防考虑在内了的。

ly250094040

hx1997 发表于 2011-8-21 00:49
启发式和特征码有什么依赖关系？动态启发不用特征码的，就是静态启发通常也有一系列的评分机制。反病毒是一 ...

没有依赖关系
反病毒是一个整体，靠里面传统引擎和主防引擎共同作业
而传统引擎是防杀一体，都是通过扫描来实现的。
你意思是各个防御机制构成整体防御体系，协同作业，共同防御。我在帖子里也是这个观点的。只是你意思是各个防御机制“不分主次，完全平等”，而我强调传统引擎（包含特征码技术，虚拟启发，网络防火墙）是主，主防或HIPS是辅助。这个也是从现象判断的，理由也是现在的绝大多数杀软先报未知后入库报已知，也解释了这个现象的原因是那3点。

hx1997

ly250094040 发表于 2011-8-21 01:10
没有依赖关系
反病毒是一个整体，靠里面传统引擎和主防引擎共同作业
而传统引擎是防杀一体，都是通过扫 ...

呀怎么是你？刚才没看头像
我可没有 各个模块全部平等 的意思啊，我是想说不存在什么防和杀哪个更重要。先睡觉了~~

ly250094040

小林制药 发表于 2011-8-17 21:46
感谢兄台赏光，嘿嘿……
1，这就是我说兄台片面的地方——排除库不言，现代有些引擎技术已经不是一个简 ...

终于找到了   埋得好深啊  呵呵

1.漏洞防御其实就是扫描已知的系统漏洞然后提醒打补丁的东西而已，算不上新技术。传统引擎确实有多样性，传统引擎是指以基于特征码技术和虚拟启发的引擎，而基于监控程序行为的引擎就算作主防引擎（虚拟启发虽然也有动作监控，但因为技术出现时间早和基于虚拟机技术，一直被认为是与主动防御算作两种并列的未知病毒防范手段）。所以凡是非主防引擎的都可算作传统引擎，而传统引擎都是通过扫描来实现的，包括一般特征码扫描，静态启发，动态启发，还有系统补丁扫描，等等。
2.兄台认为问题的原因在于我把除了“依靠病毒库的查杀”之外的防护手段都笼统的归入到“主动防御”中去了，但我不知道兄台指的问题是什么。另外“非主防引擎的都算传统引擎，包括基于特征码技术引擎和虚拟启发引擎”才是我的意见 呵呵
3.没有循环思维。我的意见是“总防御力是各个引擎分防御力的综合效果”，而“分防御力”分为传统引擎和主防引擎。用公式表示就是防御=查杀+主防。因为“总防御力是各个引擎分防御力的综合效果”是正确的，所以反应这个思想的公式也就是正确的。然后因为防御=查杀+主防，所以查杀越强则防御越强。
4.防护就是实时扫描，这和作为查杀的手动扫描是没有任何区别的。这个就是查杀和防御的联系，是同一种东西。你加入了“用户意志”这一概念，只是复杂化了问题，但核心还是没变，就是对于无主防的杀软来说，查杀和防御都是通过扫描来实现的，是同一原理甚至是同一概念。
6.不能反对“杀得掉就防得住”这一结论就够了。
你说的种形式“根本就不能触发下载”，这是操作系统工作而不是杀软的工作，杀软探测不到威胁，如何“使病毒下载到PC的途径无效化”。逻辑上来讲，首先要接触，然后判断，然后断定为威胁，然后让“下载”的命令失效。而如果信息不到达PC，杀软如何“接触”，第一步都没有，自然后面的也都子虚乌有了。从技术上讲，这个可以办到，但系统运行速度会慢好几倍，因为任何行为都是杀软的优先权先于系统本身了，连系统的“下载”机制都会被杀软先检查。

因为Y=A+X（X≥0），所以A质越大则Y质越大，也就是查杀越高防护越好。但Y越大却不能推导出A质越大，因为可能是X导致Y质大得，所以防护好的不见得查杀高。“查杀强防御一定强”是正确的。


最后，我觉得我们还是不要在杀软领域谈问题了，谈纯粹的逻辑问题应该会更有趣