大蜘蛛究竟好在哪里？

米饭卡

十分怀念4.0的轻巧，还有任务栏图标。

jb.y

期待蜘蛛强势回归

hitmanring

留侯 发表于 2011-11-17 15:43
大蜘蛛没有任何技术亮点？呵呵……是啊！大蜘蛛的技术亮点在哪里呢？我这里简单说说吧！顺便和楼主以及一些 ...

1.对于拥有顶级水准的启发式扫描技术，我不认同，改为优秀水准可能更贴切！

2.到现在还在研究手动扫描的杀软，我认为思想理念已经非常落后了！

3.据我了解，大蜘蛛似乎对于死毒视若无睹，这与我的理念不契合！任何死毒，放在系统里都是垃圾，垃圾是必须清理掉的！

留侯

hitmanring 发表于 2011-11-22 09:27
1.对于拥有顶级水准的启发式扫描技术，我不认同，改为优秀水准可能更贴切！

2.到现在还在研究手动扫描 ...

我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大蜘蛛的启发式分析技术，不能算顶级水准，只能算是优秀水准，那么我想咨询的是：顶级标准和优秀标准的区别是什么？如何界定这两者之间的差距？

如果说以特征码为界定，因为反病毒软件的启发式分析技术，都是依赖于对已知病毒的了解和熟悉基础之上，形成的判断规则技术，那么：大蜘蛛目前的反病毒数据库记录数为2814040个，差不多是卡巴斯基的一半记录，比特梵德的三分之一。而大蜘蛛的启发式分析仪侦测率并不逊于其他反病毒软件。同时我们还需要注意两点：
一、大蜘蛛Origins.Tracing技术，大大整合和优化了Doctor Web反病毒数据库。大蜘蛛以基因码入库，一个特征码的添加，可以侦测到同类型的不同变种的病毒，对应着其他反病毒软件的十几个，甚至几十个特征码。
二、大蜘蛛FLY—CODE全能解包器能解开未知的打包器，而很多反病毒的启发式分析仪不包含脱壳能力，比如说ESET NOD32，虽然看上去启发式分析技术报告的很多，但是有一些，是报壳。

如果说以侦测未知病毒的能力来衡量的话，大蜘蛛启发式分析技术和Origins.Tracing技术，使Dr.Web 对病毒库未知病毒具有极高的侦测率。在多次新病毒流行使许多使用其它反毒软件的用户受害时，都显示了其强大的威力。

2、您为何认为大蜘蛛到目前为止，只限于研究手动扫描？您又如何认为大蜘蛛的理念落后？那么请问，您认为目前反病毒软件领域最先进的理念和思想是什么？

或许您会说，现在反病毒领域最先进的理念当然是沙盒技术、主动防御和云安全技术了。那么，我来逐个说明一下大蜘蛛的态度。在这之前，我想先说明一下：大蜘蛛对于反病毒组件和模块的增加，都是持有非常谨慎的态度，除非是一个组件达到相当之稳定和完善，大蜘蛛是不会添加到反病毒程序中的。

就沙盒技术而言，大蜘蛛认为目前的沙盒技术尚不能做到100%的隔离，会出现漏沙的情况。

主动防御技术，大蜘蛛目前仍无完整的模块，据说是在研发之中，是否添加到组件，假如添加，成独立组件，还是和SpIDer Guard结合，抑或是和防火墙组合，目前尚未可知。

至于说云安全技术，请您不要忘记了Dr.Web AV-Desk——这是第一款带有云安全技术理念的大蜘蛛产品。Dr.Web AV-Desk从2002年开始研发，从2004年开始就服务于俄罗斯杜马选举和总统选举系统。其性质和目前主流的云安全技术相差并不是很大，只不过没有上传和分析模块的添加，因为这些由Dr.Web AV-Desk服务端完成，而并非延伸到客户端。所以大蜘蛛单机版客户端是否也要添加，目前尚未可知。

以上3点，您可以认为大蜘蛛的研发进度跟不上主流，但是仍不能说大蜘蛛的理念落后。好吧！我这里说一下您认为的大蜘蛛“不入主流”，而却认为是很重要的大蜘蛛的一些设计理念：
一、大蜘蛛新版本增加了一个加强模式，该模式主要存在于Dr.Web CureIt!中，在此模式下，计算机系统将被锁定而无法运行。使用该模式，可以彻底对系统执行扫描，并搜索隐藏在系统内的Rootkits。
二、大蜘蛛增强了自我保护机制，严禁仿真用户关闭和启用自我保护。
三、新版本的Dr.Web (R) Virus-Finding Engine减少了对系统的消耗，是的日常资源占用大为减少，回归到了4.xx版本时期。
四、大蜘蛛单机版添加了一个反病毒网络设置，是的局域网内的计算机用户，可以调用某一个安装有大蜘蛛反病毒软件的计算机执行远程扫描。大大方便了局域网用户。

3、“据我了解，大蜘蛛似乎对于死毒视若无睹”——请问死毒的概念是什么？您了解的大蜘蛛对“死毒”视若无睹究竟是一个什么样的概念。

我想您之所以会出现这样的理解，主要是受网络的讹传，以及大蜘蛛创始人丹尼洛夫访谈的影响吧！我记得2008年的时候，该篇访谈被多次流传，我这里出示原文（中文翻译）：
记者：现在有着很多“反病毒软件质量”的排名，比如“这个产品能检测99.95％的已知病毒”。你对这些有什么看法？

Igor Daniloff（Doctor Web软件创造者）：这纯粹是市场营销手段。第一，99.95％这个数字就值得推敲。所有的那种测试都是这么进行的。比如你收集有大量的病毒样本，而每个样本都必须被检测到。如果有一个病毒未被检测，这个产品就不能被称为“反病毒软件”。对未知病毒的检测上，现在还不清楚如何能计算出所谓的检测病毒百分比。而且，检测的方法也有所不同。最终结果很难高于90-92％。但是这样的病毒检测包是怎样的呢？它包含着大量损坏文件，二进制病毒等，这些是没有危害的，为什么我们要浪费时间来检测所有的这些东西？我在这方面的态度是很固执的：我从来不管这些LJ，或者将其添加到我的病毒库。同时，许多反病毒厂商由于对此类检测包的表现获得了一定的知名度。我并不是说这是不好的；这只是做生意的一种方法罢了。但是问题是这些百分比究竟有多重要？因为不重要所以我刻意的排除了这些LJ的检测；但是结果却是Dr.Web没有检测出任何病毒。你可能会问这是好还是不好。这需要你们自己来判断。

丹尼洛夫没有提到死毒这样的概念，他指的是：“病毒检测包包含着大量损坏文件，二进制病毒等，这些是没有危害的。”一些损坏的样本，或者是无法运行的样本，仅仅因为包含有对应的特征码，就是病毒吗？显然不是，这些才是垃圾。

以上的这个，指的是样本包。那好，我们在系统中看看，我这里有一个大蜘蛛已经诊断的样本Trojan.DownLoad2.24758，大蜘蛛详细描述了该样本的运行过程，请查看：
Trojan.DownLoad2.24758
Added to Dr.Web virus database:        2011-06-07
Technical Information

Malicious functions:
Creates and executes the following:
"%TEMP%\pusk3.exe" (downloaded from the Internet)
Executes the following:
<SYSTEM32>\svchost.exe
Modifies file system :
Creates the following files:
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\g[1].php
%TEMP%\pusk3.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\pusk3[1].exe
Deletes itself.
Network activity:
Connects to:
'kk###ors.net':80
'mi###rdov.com':80
TCP:
HTTP GET requests:
kk###ors.net/f/g.php
mi###rdov.com/pusk3.exe
UDP:
DNS ASK kk###ors.net
DNS ASK mi###rdov.com

详细可以参考：http://vms.drweb.com/virus/?i=731768。这里面大蜘蛛详细描述了该样本的运行过程，以及路径和联网。

以此为例，单机版可以阻止其运行，Dr.Web CureIt!的使用，是在病毒已经感染系统的情况下采取的一个办法。那么，大蜘蛛会如何处理，它会检测到这个样本时，同时将临时文件夹内对应的文件删除，即使留下空的，残余文件夹，您只要清空一下临时文件夹，或者利用第三方工具，比如说ccleaner或者魔方，做一个常规的清理工作即可完成，何必需要反病毒软件来完成。这就像是一些反病毒软件添加了系统漏洞的侦测，其作用，只是检测，而无法做到修补，既然不能修补，为何不让Microsoft update来完成？画蛇添足尔。这也是大蜘蛛没有添加此类功能，而我也一直认为，卡巴斯基添加漏洞检测功能，是多此一举的原因。

希望我们之间是理性的探讨，各自阐述自己的观点。请勿口水，谢谢！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

1.如果你真的是顶级了，那么何必还需要其它杀软公司！技术是在不断探讨、研究、发展下去的，那么快就封顶，我觉得是不合适的！

2.手动扫描的确落后了，我们用户更多的时间是在上网、游戏、多媒体享受，而不是点开杀软，点个手动扫描！放弃手动可能更好点！

3.死毒，我认为就是无法运行、执行破坏能力的病毒！虽然它没危害，但是它毕竟存在于我们的系统环境里，成为垃圾，那么杀软就必须清理掉！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

而且我觉得，你这个顶级一封，就显得有点像360吹嘘自己天下第一的感觉一样！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

我认为技术只可能是优秀，不可能封顶！技术会在更深入的研究、发展中成长！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

还有我要告诉你的是，我不会因为你是个优秀卡饭，就溜须拍马，我是会一直提出我的质疑！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

还有如果你不能本着心平气和、互相尊重、学习的态度来接受我的观点、建议、看法，那么你就和那些拍国产烂片的导演一个样！

hitmanring

留侯 发表于 2011-11-22 11:38
我不知道您对大蜘蛛是否了解，对于您的回复和定义，本着探讨的原则，我想咨询您几个问题：

1、您认为大 ...

对目前各大杀软公司趋之若鹜的云技术，我是持否定意见的！

我们国内的网络环境，云是否真能及时、有效、快速的拦截、阻挡呢？！如何保证云的可靠性、安全性、稳定性呢？！云技术根本就是一个概念化的完美主义思想作崇下的产物，实际执行起来，效果并不见得好！