大蜘蛛究竟好在哪里？

留侯

hitmanring 发表于 2011-11-22 11:50
1.如果你真的是顶级了，那么何必还需要其它杀软公司！技术是在不断探讨、研究、发展下去的，那么快就封顶 ...

呵呵……

1、顶级，并非是到了顶点，而是处于某个层面或者层次。就像在学校里面老师给学生的评语：及格、良好、优秀等等，抑或是我们评职称的等级，初级、中级、高级等等，它没有具体表明，而是指达到了某种层次。不知道是否是我的语言表达能力不够，还是您没有仔细看我详尽的回复。

实际上我们很难将顶级和顶点联系在一起，病毒和反病毒软件，时刻处于变化和发展之中。假如我们认为某个反病毒软件达到了顶点，或者说是100%，那显然是不对的，违背了相对论。就像“刻舟求剑”的楚人了。

2、您这么说，大蜘蛛SpIDer Guard（实时监控）、SpIDer Gate（网页监控）、SpIDer Mail（邮件监控）、反垃圾邮件、防火墙等等组件，情何以堪？不知道您是无视于这些Doctor Web组件模块，还是不了解大蜘蛛。我使用大蜘蛛至今，除了样本检测，何曾需要时时启用手动扫描？

3、我还是不了解您的死毒的定义，无法运行、执行破坏能力？既然无法运行，如何执行破坏能力？我很茫然。
我在上面说了，丹尼洛夫所说的，指的是“病毒样本包”内的损坏文件和二进制病毒。

至于实机上一些病毒残余的，空白的文件夹，或者文件，根本就不是病毒，何必去清除？就像我们屋内有强盗，破坏了我们房间里面的桌椅，我们只需要将桌椅，能修复的修复，无法修复的，删除掉就可以了。大部分的残余文件，都会存在于临时文件夹，您只要做一下系统的清除工作就可以了。实际上，我还没有看到，哪个反病毒软件会将系统内病毒感染过的文件一一删除，因为病毒运行，调用过很多的系统服务文件，删除它们，系统或许会很难运行下去。这也显示了修复文件的作用，是多么地重要。

ckc

hitmanring 发表于 2011-11-22 11:57
我认为技术只可能是优秀，不可能封顶！技术会在更深入的研究、发展中成长！

这句话说的很好。技术永远不会封顶。
不过对于放弃手动扫描这一建议我觉得不太好。
蜘蛛的监控还是挺灵敏的，但不能直接就放弃手动扫描，毕竟很多人仍旧喜欢这种方式（参见国产微点2.0，加入了手动扫描功能）。对于我个人，我基本上在安装杀软时扫一扫，以后基本上一年才扫描一回，觉得手动扫描的确没什么意思。防毒永远比后扫描来的安全便捷。

死毒问题，我觉得会出现两种情况吧。1、中了病毒，杀软清除。解毒之后留下了文件（可能是白文件，也有可能被隔离在隔离区），这是最正常的，所有有清毒能力的杀软都会这样。2、死毒是自己下载测试用的的，要不然不会出现什么死毒。这种情况手动删除即可。

shamozhuifeng

大蜘蛛好在有位耐心，并且非常热心的留侯为我们解疑答惑

hitmanring

留侯 发表于 2011-11-22 12:09
呵呵……

1、顶级，并非是到了顶点，而是处于某个层面或者层次。就像在学校里面老师给学生的评语：及格 ...

1.无论是到达哪个层面，使用优秀更加贴切！很多未能理解你话的用户，会认为大蜘蛛是世界顶级杀软！从而导致概念异化！

2.我的意思是，可以剔出掉手动扫描模块！因为具备了更优秀的实时防御组件！

3.通过杀软自身的模拟机制，模拟完全（也就是补充损坏部分）一个病毒包里的所有内容，通过虚拟运行来分析代码的具体含义及其行为举动来判断其是否是病毒，得出结果进行相关操作！因为一个死毒，说不定哪天是可以被利用成为活跃病毒！这点必须警惕！

ckc

hitmanring 发表于 2011-11-22 11:59
还有我要告诉你的是，我不会因为你是个优秀卡饭，就溜须拍马，我是会一直提出我的质疑！

咱们卡饭是很欢迎提出问题的，这是一个安软的讨论论坛。有问题代表着安全产品还不完善，能够帮助其他人加强防护，毕竟有问题才会有进步。
溜须拍马什么的是没必要的。这里是网上，又不是工作单位，别说优秀卡饭，就是对版主也是没必要滴。

zckey

hitmanring 发表于 2011-11-22 12:17
1.无论是到达哪个层面，使用优秀更加贴切！很多未能理解你话的用户，会认为大蜘蛛是世界顶级杀软！从而导 ...

1、可能理解不同，或许你不认为大蜘蛛是世界顶级杀软，但是我认为 DrWeb 是世界顶级杀软。

2、首先具备了手动扫描组件并不代表实时防御组件不强大。
提供手动扫描模块也是方便用户，你不使用，它除了占一些硬盘空间，完全对你的系统没有影响。
其次一般实时防御组件不会扫描压缩包，如果开启会严重影响系统的运行速度。
如果我在解压前想知道这个压缩文件的安全性，手动扫描模块就显得很重要。
比如压缩包炸弹，或许1 kb的压缩包炸弹解压出来能占满整块硬盘的空间，等到运行时在处理是不是显得有一些晚？

3、我说一下我的理解。我曾经看过一个病毒，包括两个文件A和B。A是一个PE文件，B不是PE文件。
两个文件都是安全的。运行A之后，A会操作B文件，使B文件变成一个正常的PE文件，这时的B才是具有病毒行为的可执行文件。不知道你是不是指这种是死毒？这类DrWeb应该是可杀的。

你前面认为死毒是“无法运行、执行破坏能力的病毒！虽然它没危害，但是它毕竟存在于我们的系统环境里，成为垃圾，那么杀软就必须清理掉！”。既然它无法无法运行、执行破坏能力，我认为这就不是病毒，而应该是垃圾文件。清理垃圾文件是辅助软件应该干的事，不是杀毒软件应该干的事。

hitmanring

zckey 发表于 2011-11-22 12:39
1、可能理解不同，或许你不认为大蜘蛛是世界顶级杀软，但是我认为 DrWeb 是世界顶级杀软。

2、一般实时 ...

1.你这样认为，我感觉很不妥！技术是优秀的，但绝不是顶级杀软！大蜘蛛是顶级的话，那么其余杀软公司为何还要存在研发自己的产品！

2.这也就是我希望所有杀软公司改进的地方！

3.我是有这种想法的！但即使不起任何作用的病毒，还是该清理掉，垃圾是需要清除的！老外认为不起作用就不是病毒，那是他们没有警惕性，意识淡薄！

hitmanring

zckey 发表于 2011-11-22 12:39
1、可能理解不同，或许你不认为大蜘蛛是世界顶级杀软，但是我认为 DrWeb 是世界顶级杀软。

2、首先具 ...

那是病毒垃圾，不是普通垃圾文件，应该由杀软搞定！

留侯

hitmanring 发表于 2011-11-22 12:51
那是病毒垃圾，不是普通垃圾文件，应该由杀软搞定！

呵呵……

如果您认为这个“顶级”的描述不妥，那么请您以您的理解方式理解，我想我们没有必要计较这形容词。我之所以这么说，因为假设我描述大蜘蛛的启发式分析技术是“优秀”，那么卡饭的一些会员会认为大蜘蛛的启发式分析技术不如卡巴斯基、ESET NOD32，而我显然并不这么认为。SO……这一点就瞥过不谈。

实际上我们的理解是相同的，我也认为，病毒和反病毒软件都是处于不同的发展之中，技术也是处于不断的发展之中，永远不能固步自封的。

我向来不认为因为我是个优秀卡饭就需要别人溜须拍马。我来卡饭的目的，是让用户能熟悉和了解大蜘蛛，用好大蜘蛛。既不捧大蜘蛛上天，也不贬大蜘蛛入地狱，告诉大家一个真实的大蜘蛛。卡饭之所以刚刚给我这个优秀卡饭的荣誉，也是对我这段时间来对大家无私帮助的一个奖励。诚如您所说的，您不了解大蜘蛛，您有权力去质疑，而我，则是解释。这也就是您和我在这里交流沟通的原因。

我还是要说明一点，我是一个大蜘蛛的普通用户，并非是大蜘蛛的官方人员。我的抱怨，不比您少。对于卡饭，在每次回复问题前，我都会看回复栏里面的“温馨提示”，我也会牢记卡饭的“互助分享、大气谦和”。对于用户的疑问，我总是耐心仔细的回答，也拒绝加入到口水战中，这也是我为何一开始就提出的原因。

对于手动扫描，我想大蜘蛛是不会取消的，这是大蜘蛛一个非常重要的，不可或缺的组件。实际上很多反病毒软件为了减少监控压力，取消了压缩文件、文件容器的扫描，有些甚至只是扫描特定格式的文件，这就使得有些病毒存在于系统内而不为所知，而Dr.Web Scanner作用即是如此。

对于“死毒”的理解，我想您有所误。大蜘蛛认为的损坏文件，就是指无法运行的，已经损坏的文件。而无法运行的文件，并非是损坏的文件，有些病毒，在某些用户的机子上，并非是不能运行，而是缺少系统环境。比如说二进制病毒，只在DOS下运行，不能再Windows系统下运行，没有必要添加到Windows系统下的反病毒数据库内。就像现在很多化石包，一旦在样本区发布，必然遭到大家的一致反对，即是此理。

但是很多的样本，需要JAVA系统环境，或者是.NET Framework环境，甚至是最新版的VC++环境，这些环境是Microsoft Windows系统所提供的，反病毒软件没有必要提供。但是反病毒软件可以提供虚拟环境，也就是我们所说的虚拟机技术和沙盒技术。大蜘蛛的脱壳就是在虚拟环境下运行的，甚至Origins.Tracing技术的部分工作，也需要在虚拟环境下运行，这也是为何大蜘蛛目前版本，占用物理内存和虚拟内存这么高的一个原因。

如果撇除这个原因，您说的情况发生的概率几乎没有，之前我们也曾有个假设，就是一个命令，或许可以调用一个压缩包或者文件容器，并将压缩包或者文件容器内的另外一部分文件激活，组成一个完整的病毒。但是现实中，这样的情况发生的概率是微乎其微，更何况大蜘蛛扫描程序会体现，另外，SpIDer Guard也会检测压缩文件解压缩之后的内容，无需担忧的。另外，即使这个病毒组成的一个病毒，也就是您所说的“死毒”，假如说需要其他文件激活的话，大蜘蛛也会检测到的，这点您可以放心。

卡饭是一个探讨和沟通的论坛，环境很宽松，大家完全可以各抒己见。同时也希望您对大蜘蛛发出更多的质疑，提出更多的意见和建议！

hitmanring

留侯 发表于 2011-11-22 12:58
呵呵……

如果您认为这个“顶级”的描述不妥，那么请您以您的理解方式理解，我想我们没有必要计较这形 ...

如果真的如你所说，那么我认为大蜘蛛的启发式分析技术是超越其余杀软的！而且我认为这个技术是真正全自动智能化的HIPS的一个稚形！是能给用户带来更好的安全体验的一个可执行、可持续方案！对于死毒，老外就是懒，对于应该比较严谨对待的问题，都不够关注！