大蜘蛛究竟好在哪里？

ckc

hitmanring 发表于 2011-11-22 12:51
那是病毒垃圾，不是普通垃圾文件，应该由杀软搞定！

病毒垃圾不会触发安软的保护机制，让杀毒引擎如何查杀？这种情况下的确是安全文件了。

打个比方，可能会不太恰当。一个人被感染了感冒病毒，但是病毒被我们的免疫细胞杀死了，病毒剩下了一些蛋白质。这些蛋白质是无害的，而且人体中更有很多类似的蛋白质。这时免疫细胞就不能去清除这些蛋白质了，否则就会变成过敏症状了。

我觉得您可能是认为杀软应该增一个组件来清理垃圾，但这不是杀软扫描引擎该干的事。杀软不能都像国内的软件那样功能大而全。术业有专攻，选择一些好的清理垃圾软件吧

hitmanring

zckey 发表于 2011-11-22 12:39
1、可能理解不同，或许你不认为大蜘蛛是世界顶级杀软，但是我认为 DrWeb 是世界顶级杀软。

2、首先具 ...

对于压缩包扫描，我很反感那些不能提供预先扫描的杀软！它们的意识我感觉是有点淡薄的！不解压不影响，但是哪个杀软敢保证，一旦解压了我就可以100%拦截呢？！提供预先扫描，更能提供一个安全保证！至于对系统方面的影响，那么就需要杀软公司对其产品进行改进、优化！

hitmanring

传统HIPS与半智能自动化HIPS都有很大局限性！

使用它们，用户必须很好的了解系统的内核、架构！再有，一些HIPS，对于软件的每一步都给出提示，让用户选择拦截还是允许，我认为这是相当不正确的做法！因为很可能一步的行为并不能很好的给我们判断出，软件是否真的进行病毒行为，很可能需要多步连动，才可以较全面、清楚的看清软件具体的举动行为，才能确定其是否是病毒！这些都是目前一些HIPS的局限性！

而大蜘蛛的这项启发式分析技术，我就认为很不错，是属于非常优秀的！我认为加以改进，那么完全可以让其成为一款全自动智能化的HIPS，不需要用户任何的参与、互动！

hitmanring

ckc 发表于 2011-11-22 13:13
病毒垃圾不会触发安软的保护机制，让杀毒引擎如何查杀？这种情况下的确是安全文件了。

打个比方，可能 ...

如果是我做安软，我就会把病毒垃圾定义进杀软清理列表里的！也就是说，当杀软判断出这是一款Linux环境下的病毒，但却进入了windows的机器里，我也认为杀软有责任、有必要把它清理出去！

只有系统运行产生的垃圾文件、软件安装、运行产生的垃圾文件等等一些垃圾文件，我才认为需要借助清理垃圾软件来实现！

ckc

hitmanring 发表于 2011-11-22 13:16
对于压缩包扫描，我很反感那些不能提供预先扫描的杀软！它们的意识我感觉是有点淡薄的！不解压不影响，但 ...

对于预先扫描的解决方案，目前好像有两种：1、像小红伞、江民的网页防护（监控 所有HTTP的程序），对网络产生的威胁预先扫描。这种情况如果下到本地还不能报读，预先扫描就更不可能报毒。2、像趋势、金山、360这种依靠强大云端，在下载前在云端服务器进行比照，确保安全。
但这两种机制都存在一定的缺陷。1、势必会对网速产生影响，从好多伞兵不安装web组建即可看出，而且每时每刻对数据流进行监控，会对机器的流畅度造成影响。  2、用您的一句话哪个杀软敢保证，一旦云端判定为安全了就可以100%安全呢？并且国内区已经发现这种情况，云端判定为病毒（很多小白下载一些外{过}{滤}挂都会置之不理的），但是下载后却扫描不出来，病毒可正常运行！
所以说预先扫描有着不可弥补的缺陷，这需要厂商不断的去改进，在短时间内很难达到一个平衡。

ckc

hitmanring 发表于 2011-11-22 13:24
传统HIPS与半智能自动化HIPS都有很大局限性！

使用它们，用户必须很好的了解系统的内核、架构！再有，一 ...

因为很可能一步的行为并不能很好的给我们判断出，软件是否真的进行病毒行为，很可能需要多步连动，才可以较全面、清楚的看清软件具体的举动行为，才能确定其是否是病毒！
这正是传统HIPS能做的！！！传统HIPS还有一定市场正是这个原因。

其实我对安全软件的要求有一项就是要智能，最好是完全无弹窗。毕竟我们都是普通人，对系统了解很少，有时根本无法对主动防御的弹窗进行判断。这就需要安软厂商对主防、启发、沙盘、云端技术的综合应用了。

hitmanring

ckc 发表于 2011-11-22 13:37
对于预先扫描的解决方案，目前好像有两种：1、像小红伞、江民的网页防护（监控 所有HTTP的程序），对网络 ...

1.其实预先扫描，按照我的理解，是预先解压模拟运行环境，虚拟执行程序的操作，通过一系列的行为或步骤来判断压缩包里的文件是否是病毒！

2.第二种的云扫描，我接触过，但我有疑问，凭什么认为云端的分析报告结果就一定准确无误呢？！是否可能产生在云端判断无毒，在本地判断确是有毒的情况呢？！更何况目前的国内网络环境，云是否来得及阻止、拦截呢？！而且有些云，是否就是把文件拿去和数据库里的用户投票数据比对，然后再把分析结果传送回用户的机器里，那么这种云，在感觉上根本就不具备准确判断病毒的能力！

预先扫描，我认为在本地更适合进行，前提就是需要厂商不断改进、优化！

hitmanring

ckc 发表于 2011-11-22 13:44
因为很可能一步的行为并不能很好的给我们判断出，软件是否真的进行病毒行为，很可能需要多步连动，才可以 ...

我的意思是，传统HIPS能够把整个程序虚拟执行完，再根据情况，弹窗和用户互动！

而不是，程序注入进程了，弹一个窗；写内存了，又弹个窗；改注册表了，还弹窗；访问保护的COM接口了又来个窗！这样的弹窗互动很容易出错！应该是所有步骤被虚拟执行完，然后综合归纳起来，弹个窗给用户判断！

hitmanring

ckc 发表于 2011-11-22 13:44
因为很可能一步的行为并不能很好的给我们判断出，软件是否真的进行病毒行为，很可能需要多步连动，才可以 ...

而现在的大蜘蛛启发式分析技术，就是我一直关注的内容！感觉它是可以成为适用于普通用户的全自动智能化HIPS，关键还是要看它制定规则的细腻、细致程度了！真正的智能化就是不需要用户参与互动判断的，完全是由程序自己控制，我相信大蜘蛛的这项技术用心做好，能够取代目前的HIPS！

ckc

hitmanring 发表于 2011-11-22 13:55
1.其实预先扫描，按照我的理解，是预先解压模拟运行环境，虚拟执行程序的操作，通过一系列的行为或步骤来 ...

哦，这么说的话，就是要用到沙盘和启发的技术了。也就是说每当下载一个压缩包，预先解压模拟运行环境，虚拟执行程序的操作。
的确是一种好办法，前提是要不卡系统呀，这得要厂商进行很大程度的优化。貌似这些厂商很少有能花很大精力在压缩包上，从几乎所有杀软都有“不扫描压缩包”上就能看出来了。
还有，我也不是十分相信云啊。我觉得杀软绝对不能过分依赖云，还是本地比较靠谱。