一直存在于卡饭的谣言，我来终结吧：什么查杀率不重要，防才是王道。。。

ly250094040

很多人纠结杀和防哪个重要？其实防和杀的观念是有重复的，本来就没有”杀毒软件“，而是”反病毒软件（antivirus software）“,抛开主动防御或HIPS，查杀就是防御，防御就是查杀，因为防御就是扫描，查杀也是扫描，只不过防御是通过实时扫描也就是监控来实现的，而查杀是用户手动扫描，所以能杀就能防，能防就能杀。

所以防御=查杀+HIPS或主防，查杀越强，防御就越强。

    如果Y=A+X（X≥0），那一定可以推到出若A值越大，则Y值一定也越大。传统杀毒引擎有很多年历史了，各个杀软的技术差别很大，查杀率差别也很大(卡巴在AVC检出率常常超过98%，而某X则徘徊于30%)，而主动防御是最近几年才出来的，各个杀软的能力差别相对没有传统杀毒引擎那么大。所以要比较一个杀软的防御能力，更重要的是看传统引擎的查杀率。也就是Y=A+X（X≥0）中，各个杀软的X值相差不大，但A值却相差非常大，所以防御能力Y也相差较大。

某个卡饭用的杀软检出率低，他可以说没事，我有很好的主防。但如果针对另外一个检出率高的杀软，他说“能杀有什么用，关键是能防”，那就大错特错了，因为根据上面的等式，防得好不一定杀得好，杀得好就一定防的好。某个杀软的检出率高，那多数情况下它的综合防御能力就比那个检出率低的更强。

     所以”查杀率不重要，防才是王道“，是很荒谬的，查都查不到，说明传统杀毒引擎根本没办法，怎么防？就只有靠主动防御或者HIPS，但就算咖啡，别人的3D规则做得非常出色，成功的统治了企业电脑，也不敢不重视查杀率，也必须加快入库时间，若只靠主防，一来主防的免杀也相应而生 如曾经微点防御能力近100%,而现在的微点不够给力  二是单靠主防容易误报  三是无视传统引擎防护直接交给作为最后一道防线的主动防御的话，大大加大了被过的风险   所以现在的杀软 主防拦下报未知后一段时间全部报已知了。所以HIPS或者主防只是治标，查杀才治本。查杀才是主体，主动防御只是补充，先挡下，等查杀有能力了才丢给查杀，现在的几乎所有杀软也都是这么做的。

ly250094040

因为发了个这个帖子http://bbs.kafan.cn/thread-1051317-1-1.html 说国产云技术化后，查杀率秒杀所有国外杀软。然后N个人回复查杀是浮云，防才是王道。。。

sinokoo

norton可以这么说

shxy6688

难得糊涂。酱油党路过下、、

ywsuda

楼主的意思是我们都去用扫描器

dl123100

McAfee在个人电脑反病毒都快是二流厂商了

maomao2005020

不敢苟同。。。防御个人认为是杀毒的一道大门。
查杀只是最后沦陷的死守。。。

cJ.

防和查杀都重要吧.

ly250094040

maomao2005020 发表于 2011-8-16 12:55
不敢苟同。。。防御个人认为是杀毒的一道大门。
查杀只是最后沦陷的死守。。。

如果你了解基于特征码技术的杀毒引擎的工作原理，就不会这么说

不管是在PE头上做文章还是搞什么拼凑链接，只要杀软能能查杀说明就能定位恶意代码，能定位恶意代码还不能防？

所谓防和杀的区别就是一个监控一个是扫描，最终实现杀毒的还是靠扫描，所谓监控其实也是扫描，只不过是实时的和自动的，而一般扫描需要用户手动。仅此而已。

至于HIPS只是辅助  只能暂时挡住  最终还是要交给特征码引擎彻底干掉 不然资源耗费很惊人  这也就和中毒没什么区别了

ly250094040

ywsuda 发表于 2011-8-16 12:52
楼主的意思是我们都去用扫描器

杀软都有扫描器。。。