大蜘蛛7.0正式版试用

留侯

vofado 发表于 2011-10-24 12:00
请问一下留侯
大蜘蛛对于未知威胁，也就是尚未入库的病毒，要如何防御呢？
现在很多防毒都开始发展HIPS， ...

实际上，就我个人的体验来说，我讲一下我和我周边的亲朋好友的使用情况。我周边的一些朋友，要么是对电脑并不是很熟悉，要么是家里面有小孩子，基本上都是8——17岁的样子，很能折腾电脑。我之前给他们换上了不少的反病毒软件，很不幸，很多知名的反病毒软件都出现了问题，最终不得不经常重装系统。您知道到别人家重装电脑是非常麻烦的事情，所以我最终选择了大蜘蛛。

这两年使用下来，大蜘蛛幸不辱命，我基本上没有出现重装系统的情况，唯一的工作，就是每年换一个授权，或者是更新新的版本，这大大减轻了我的负担。这也是我从08年以来，一直称道和坚持使用大蜘蛛的一个最重要原因。

大蜘蛛反病毒，有着自己的理念，可能和别的反病毒软件不同。比如说您的0 day漏洞，大蜘蛛认为是系统的问题，补上漏洞就可以了，更是没有内置像卡巴斯基那样的漏洞检测工具。因为无路是否存在漏洞，大蜘蛛依照是按照自己的标准来监测和查杀的。在比如说，同样的一个病毒，比如说猫癣和犇牛，大蜘蛛列入同一个特征码内，并没有专门为其单独列一个特征码命名。

另外就是大蜘蛛对新增加组件的尝试上，非常谨慎。一个原因是需要顾及俄罗斯用户们的习惯，毕竟大蜘蛛的主要用户还是在俄罗斯，很多人都是政府机构和大企业，未必对软件很熟悉。所以大蜘蛛的UI（用户界面）迟迟没有更改，就是这个原因。另外一个原因，就是需要确保安全和稳定。比如说云安全技术，大蜘蛛认为这里面还有很多不成熟的地方，所以就没有贸然增加。虽然大蜘蛛的Dr.Web AV-Desk，实际上就是一个云安全技术的产品。再比如沙盒技术，大蜘蛛依然没有内置沙盒技术，我之前咨询过，他们认为的沙盒技术不能100%保证安全，还存在有漏沙的情况，所以情愿使用稳定可靠的虚拟机技术，而不贸然升级到更先进的，含有回溯机制的沙盒技术。

vofado

您说的主防模块，的确很不明显，有办法不靠特徵码，双击样本防御吗？
"保护Windows操作系统重要文件"，如果像您说的还存在着BUG，默认还是不开起的，是不是没办法保护系统？
大蜘蛛启发式分析技术和Origins.Tracing技术，是不是只有在执行样本，才能分析其恶意行为并阻止？

雨い打湿了泪

LZ也就是说现在7.0和原来比资源还是差不多？只是扫描速度上来了？卡网速么？老爷机能不能用啊？

留侯

vofado 发表于 2011-10-24 14:09
您说的主防模块，的确很不明显，有办法不靠特徵码，双击样本防御吗？
"保护Windows操作系统重要文件"，如果 ...

在目前的状态下，由于大蜘蛛没有主动防御，我是极度不赞成双击样本测试的。
实际上不仅仅是大蜘蛛，其他的反病毒软件，针对样本的测试，无论是否有主动防御，我都不赞成使用双击测试。我上面就提到了，主动防御、HIPS、沙盒技术，都不是万能的。样本一旦运行，必然会对系统产生影响。

我以上所说的，是在样本区检测的时候所采取的一种措施，而不是日常行为，在日常的情况下，我们不可能对所有的文件先执行扫描，这肯定是不现实的。原因很简单，样本区和评测区，超过95%会是病毒，而日常的情况下，或许只有5%才有可能是病毒。

保护Windows操作系统重要文件，是大蜘蛛的一种较为不完善，简单粗暴（原谅我采用了这个词语）的一种保护方式，就是将Windows操作系统的重要文件和注册表项，利用大蜘蛛保护起来，封闭住，不允许修改，也不允许更新，所以在目前的状态下，我想还是默认不选中为好。

这个保护，目前来讲，只是大蜘蛛主动防御的一个组件功能而已，选中这个功能，的确是增加了一定的防御，但是并不是说取消了这个，大蜘蛛就不保护Windows操作系统重要文件了，我在上面也解释过，大蜘蛛的自我保护本身会做出防御，另外，SpIDer Guard（实时监控）和SpIDer Gate（网页监控）和防火墙也会组件坚实的防御体系。

大蜘蛛启发式分析技术和Origins.Tracing技术，已经集合在了Dr.Web (R) Virus-Finding Engine里面，无论是在扫描程序还是SpIDer Guard中，都会使用，并非是只有在执行样本操作时，才会执行。

我这里将SpIDer Guard的监控原理说明一下：

在此模式下，只有在跟踪到尝试创建文件或记录写入到现有文件（或引导区）时，才扫描计算机硬盘驱动器的文件和引导区；对于可移动设备的文件和引导区，在打开进行读取或启动程序是也会进行扫描。此外，还会扫描驱动的进程的文件。建议在使用Dr.Web大蜘蛛反病毒彻底扫描所有硬盘驱动器之后，使用此模式。

默认情况下，SpIDer Guard会启用增强保护模式。在此模式下，SpIDer Guard会立即检查所有文件，扫描在程序设置中指定的内容，且所有其它打开的文件均进入队列中等待检查（在“智能”和“创建和写入文件”模式中打开进行读取的文件）。在计算机资源可用的情况下，SpIDer Guard还将检查这些文件。

当您双击打开文件时，大蜘蛛首先会执行扫描，要是这个是执行文件，则大蜘蛛会扫描这个执行文件运行时所创建的临时文件，假如含有病毒，则会报告并执行相应的操作。但是双击95%可能是病毒的样本，则中毒的几率会很大，所以我是不赞成的。卡饭样本区的规则，也是如此。

另外，目前由于各个反病毒软件收集样本的能力在不断地加强，所以一般情况下，不会出现类似于熊猫烧香病毒这样的情况了。往往一个新的病毒出来几个小时，就被反病毒软件所侦测到，并被添加到反病毒数据库内，所以我们正常使用，是不需要这么多的担心的。

留侯

雨い打湿了泪 发表于 2011-10-24 16:42
LZ也就是说现在7.0和原来比资源还是差不多？只是扫描速度上来了？卡网速么？老爷机能不能用啊？

因为Dr.Web (R) Virus-Finding Engine并没有升级到6.0版本，所以drengine.exe进程的资源占用，还是降不下来，7.0版本和6.0版本相比较，虽然改善了资源占用，但是对于物理内存和虚拟内存的占用，并未降下来，只能是等待Dr.Web (R) Virus-Finding Engine更新之后的效果。

7.0版本比较6.0版本，目前主要还是软件构架的整合、推出新的扫描程序和集成SpIDer Gate和SpIDer Mail组件功能、和新的防火墙组件等等。

大蜘蛛SpIDer Gate对网络的影响，是微乎其微的。有几个会员说可能会对网速有影响，但是我这里和周边的几个朋友，基本上都没有感觉到。

关于配置方面，从我的体验来说，一般双核电脑，XP系统下至少1G内存，VISTA/Windows7系统下，至少2G内存，是可以配置的。我目前碰到的双核CPU，E2160、T4400、T5670、I3-350等等，都没有问题，很流畅。因为不知道您的CPU和内存，所以只能是举例说明。

雨い打湿了泪

留侯 发表于 2011-10-24 16:58
因为Dr.Web (R) Virus-Finding Engine并没有升级到6.0版本，所以drengine.exe进程的资源占用，还是降不下 ...

感谢回答

我的CPU是2G celeron R  但是机子旧了CPU很差

内存是1.24

liulangzhecgr

密钥授权。。。

留侯

雨い打湿了泪 发表于 2011-10-24 17:05
感谢回答

我的CPU是2G celeron R  但是机子旧了CPU很差

双核还是单核？我对赛扬的处理器有些不熟悉。单核的话，的确是不太推荐，可能会造成卡机的状况，即使在更新的时候，更不用说扫描的时候了。双核的话，XP系统下，1.24G内存足够了。

留侯

liulangzhecgr 发表于 2011-10-24 17:15
密钥授权。。。

您没有参加这个周末大蜘蛛举办的赠送授权文件KEY活动？

6个月的授权，已经有会员在进行交流了，您可以联系他们：http://bbs.kafan.cn/thread-1114068-1-1.html尝试获取。当然也可以联系我。

雨い打湿了泪

留侯 发表于 2011-10-24 17:29
双核还是单核？我对赛扬的处理器有些不熟悉。单核的话，的确是不太推荐，可能会造成卡机的状况，即使在更 ...

- -03年的机子  单核   看样子应该是用不成了