一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

62590423

我想起了panda。。

wxwz

文字游戏为主

小林制药

ly250094040 发表于 2011-8-21 01:59
终于找到了   埋得好深啊  呵呵

1.漏洞防御其实就是扫描已知的系统漏洞然后提醒打补丁的东西而已 ...

1，兄台对在下说的“漏洞防御”理解存在偏差。“漏洞防御”在很多的情况下更接近于“热补丁”。确实算不上新技术，但是实践证明有效性还是不错的，并非是类似XX卫士那样提醒什么“系统存在多少个漏洞”然后从微软下补丁等等（大部分国外软件不会去扫描系统补丁）。况且漏洞防御在很多厂商的产品中都涵盖了大量的应用程序，并非一定是针对操作系统漏洞而来。兄台对传统引擎和“主动防御引擎”的分类大致正确，但是在下认为在眼下的实践中，传统引擎不单单包括针对病毒的特征码查询器（姑且这么说，兄台就不要挑字眼了）和基于一定算法的虚拟启发。而应该包括“除了监视程序行为的引擎和云引擎”之外的所有引擎技术。因为在实践中很多软件大致将十分影响性能的“基于监控程序行为的引擎”作为整个软件的“主动防御（狭义的）”模块，而将除了云技术之外的其他技术整合进了传统的引擎模块中去。最有代表性的就是诺顿和ESET。诺顿将SONAR作为“主动防御”模块独立了出去，而将其他技术都整合入了自己的传统引擎中，比如Bloodhound，和IPS等等。ESET则把“高级启发式”独立了出去，将自己擅长的虚拟启发整合进了传统的引擎中。在这个意义上说，构成了“传统引擎不一定都是通过扫描实现的”结论的要件之一。
2，在这一条中，兄台的“非主防引擎的都算传统引擎，包括基于特征码技术引擎和虚拟启发引擎”意见与在下的意见一致，但是既然承认了这一点，就必须承认前一点所说的，传统引擎的任务“不一定都是（和/或只是）扫描与查杀”。所以兄台的“查杀强则防御一定强”的观点根基即会出现动摇，因为在肯定这一点的情况下兄台最早所列之公式中“查杀”一个变量已经出现了变质，变成了“查杀和以某种方法进行的防御”。所以随之而来的是公式的基础开始松动。
3，也许循环与否使我们所观察的角度不一样。但是如果承认了2点中兄台所说的“非主防引擎的都算传统引擎，包括基于特征码技术引擎和虚拟启发引擎”那无论如何都是循环论证了。因为结论包含在了前提里面。
4，防护不一定是实时扫描。先举一个变态的例子方便引入——比如我担心U盘病毒入侵，为了防护这种可能的入侵行为，于是我禁用了所有的USB设备，还用胶带粘死了USB接口。这就是一种防护行为。而买来一个查杀率无限高的杀毒软件来杀除USB中可能存在的病毒，也是一种防护行为。兄台之立论显然只注重了后一种情况而忽视了前一种可能。回到实践中来，继续拿漏洞入侵举例，如果某软件以某种方式使得入侵代码根本无法执行，这就是一种防护行为。而这种行为的实现并不一定依赖于扫描。所以在下认为“防护就是事实扫描”这一观点是不正确的。我之所以加入了“用户意志”这一变项并不是意图无理搅水，事实上很多情况正是因为“用户意志”而降低了防护所产生的效果——比如说有某病毒以挂马的方式存在，某软件的防护功能可以使得触发该病毒下载并执行的代码无效化，虽然并不能识别这种病毒。这样我们还是可以说是一种有效的防护方式。但是用户主动将其下载回来并且执行之结果则会大相径庭。单就这一类案例来说，兄台的理论只重视到了“下载回来了杀不杀得掉”，而忽视了“能不能在应用情况下防护住”的问题。在下胡乱说一下，望兄台不要介意——如果一个包有100个病毒，软件A能查出来10个，但是在应用中可以将这100个病毒全部都拒之门外。软件B能查出来99个，但是只能保证将其中的1个拒之门外。查杀率毋庸置疑一定是B高，但是防护率谁高呢？
6，“杀得掉就防得住”这一结论在下认为可以成立，但是成立的要件其一是要有极限高的查杀率。其二是该软件是以“扫描病毒特征码”为原理进行工作的。还是用最土的例子说，防盗器的作用就是报警的，我们谁都不可以指望防盗器伸出手来抓小偷。警察是抓小偷的，但是我们都不可以指望警察们都能光凭一张脸就能认出来谁是小偷。引申开说去，就是说杀软不一定非要识别病毒是什么样子，只要阻断病毒入侵的途经就可以了。兄台所说的逻辑正确，但是不全面，只能代表某一类软件的工作方式，而不能指代全部。在下才疏学浅，所以举个不是很严密的例子——比如某网页被挂马，按照兄台所述之逻辑，网页代码被执行了，杀软与病毒发生接触，病毒被识别，下载被终止。这没错。而另一种情况是网页代码被跳过而没有执行，杀软与病毒未发生接触，下载从未开始。两者逻辑过程一致但是具体问题不同，结局一致。兄台只注重了前者“杀掉了，所以防住了”，却没重视到后者“没杀掉，但是也没进来”的情况。
而且兄台把拖慢系统的情况恰恰说反了，兄台所重视的原理恰恰会拖慢系统。如同有个机构不装大门，却对每一个进入者都搜一遍身检查一遍证件。后者装了一个保全门，只会把带刀（企图利用漏洞，或者有什么不良迹象）的家伙拒之门外，而对别人畅通无阻。兄台所重视的原理扫描和过滤了所有通过的数据流。而在下说的情况则是软件封堵了可能入侵的通道。从效率上讲，后者比前者要高很多。而且所谓“不能触发下载”不全是操作系统的工作，而是系统和杀软相辅相成的任务。如果一定要割裂开来，那么只能说，如果系统有针对性的做了补丁，就是系统的工作，如果系统没做到这一点，就需要杀软去做。

最后对于兄台的公式，在下还是那句话，片面的认识决定了公式的片面性。兄台先设定了A就是查杀，Y就是防御，综在下之前所述，而Y与A并不能够直接的联系在一起，撇开X不谈，在技术上A只是提高Y的一种手段，但不是唯一的手段。兄台将不能直接联系的两种事物先决性的联系在了一起，本身就犯了立论不严密（缺条件）的错误。如同立论“身高（Y）=躯干高（A）+腿长（X）（X≥0）”，那么头呢？兄台的先决认识就建立在“查杀率”的基础上，所以推导出适合自己先决认识的一个公式，公示不可说绝对错了，但是只适用于“以查杀为主要手段”的情况。在杀软设计多元化的当下，这套公式决不适用于所有的软件，因为软件设计的思路千奇百怪，不是基于一种思路所推导出的公式就可以全面覆盖的。

综上所述，我依然坚持“查杀率高的，防护效果可能好。但并非一定好。”“防护效果强劲的，查杀率并不一定高。但并非一定不高。”这一认识。

如有不当甚至于冲撞，还望兄台见谅。

P.S.其实逻辑上我也就是一“二把刀”，只不过在学校时经常参与各式各样的辩论会，所以能诌出几句来，见笑了。

柯林

pdatx 发表于 2011-8-22 17:15
你是你，我是我；你不包含我，我不包含你；你不等于我，我不等于你。
强大

楼主的出发点是好的，讨论问题嘛，但是论述失于偏颇，不但没有终结“谣言”，反而弄得一片混乱——概念与逻辑上有毛病：
1、在本来意义上，杀与防是两个对立存在的唯一性的东西，这是毫无疑问的。
2、在组合运用上，杀中可以包含一定的防，防中可以包含一定的杀，无论怎么组合，最终必定要突出一个重点。两个或两个以上的重点，实际上就是没有重点。绝对均衡的杀与防是不存在的。
无论上述哪种情况，都无法推导出杀强则防一定强，也无法推导出防强则杀一定强。

离开实物的纯概念推理的讨论是没有多大意义的，只有具体到实物或者说是举实例论证才有意义。譬如：
A杀软以杀为主，就其本身相较而言，它的杀强于防；
B杀软以防为主，就其本身相较而言，它的防强于杀；
C杀软均衡发展，就其本身相较而言，它的杀与防差不多一样强大。
放到同一套标准之下进行比较：
A的杀强于B的杀，A的防强于B的防，那么综合实力而言，A是大强于B。
B的杀强于C的杀，B的防与C的防大体相当，综合实力而言，B强于C。
C的杀与防虽然做得比较均衡，但是相对而言，综合实力在3者中最差。
只有像这样的有明确的同一套标准进行衡量的讨论，才是有意义的而且是可以得出明确结论的，否则再怎么自我感觉良好和吹嘘，可能那个“杀强而防也绝对强”的东东就是个低能产品。

回应楼主主题：单纯强调杀与防都是不对的，二者各有其用途。至于偏向于哪边，以及如何整体把握，则由厂商的理念及习惯决定。对于用家而言，单纯看重杀好与防好是没有意义的，必须以具体实物为主，可能某个以杀为主的东东，它的防比以防为主的那个东东的防还要厉害，这种情况下还选择以防为主的那个东东就是不理智的行为。没有标准和实物的论证比较，只是纯粹的想当然的嘴巴官司，没有实际意义。

ly250094040

额  以一人对战群舌  我疲于回复了  大家随便讨论吧  

Shirou

这贴已经没啥讨论价值了，看楼主的意思是特征码杀软实时监控就是靠特征码，所以查的出也就放的住，一群人在讨论加上hips或者其他不依靠特征码的方法比特征码强，至于那个公式，也就是示意下特征码也是反病毒软件的重要手段之一，一群人想通过这个公式来表示哪个杀软强，难道不知道+号不仅表示相加，还可以表示为逻辑“或”么？，1+1=2？其实1+1也可以=1这贴讨论到这个地步，还不如锁了清净，个人按个人的想法来吧

jyligx

应该是下载的文件可以通过扫描来发现威胁 但是当扫描发现不了威胁 双击打开时文件的恶意行为可以被拦住 这样就可以了

darius1987

到底哪种好呢？？？

e4e4rr

crazy_robin 发表于 2011-8-16 14:01
我同意楼主，杀毒软件也是需要随机应变的，防的住一时防不住一世，防毒之水胜于防川，如果防御真牛逼的要， ...

如果查杀真牛逼的要，各个杀软也就没有必要加入防御功能了

03243056

无聊的口水贴