微软的响应速度

风雪冰天

           由于 mse不像其他杀软一样有主动防御，沙盘等这些功能  防御能力比较单一  所以响应速度就成了一个很重要的因素    根据我在病毒样本区的观察  微软对病毒的响应速度比起包括卡巴，eset在内的很多安全厂商要慢很多   如果说本土厂商因为有本土优势反应比较快的话  那像卡巴，eset等这些国外安全厂商为什么比微软对病毒样本的反应速度快？   而且不是快一点   而是快很多  而且一般人可能会认为 他们入库的快  误报会不会很多呢？   实际上只要看国际上几个比较著名的评测来看   他们的误报一点都不高   可能有人会说  不久比他们慢嘛  反正到最后都能查出来就行 如果这样的说法是对的  为什么安全产业里干嘛还要强调响应速度呢？


         另外  最近发现一个现象  貌似mse对最近某些利用dll漏洞的病毒的查杀率不高  




      

ELOHIM

很久以前我也有和楼主一模一样的想法，这一点和国内安全软件比较起来更是有很大差距。但是现在就没有这种想法了。有些样本更是需要多次“频繁”上传才得以入库。这是为什么？微软的病毒库都是由人工来分析的，而不是由机器分析由代码分析代码。一个样本上传过去，在运行以后有一个观察期。见下图红框中部分：


当然，代码分析代码肯定是快，凭借当前硬件的优势更是快。人工肯定慢，但是微软为什么要选择人工呢？人工比机器分析的好处在哪里？缺点我知道，慢，费时，费力，费财。

所以，现在我也不知道我现在说清楚了没有……

jpcjh

accp.taotao 发表于 2012-2-27 23:13
很久以前我也有和楼主一模一样的想法，这一点和国内安全软件比较起来更是有很大差距。但是现在就没有这种想 ...

好处是极低的误报率。
因为MES和microsoft Forefront一样的病毒库。而microsoft Forefront是企业版。所以要求稳定。

风雪冰天

accp.taotao 发表于 2012-2-27 23:13
很久以前我也有和楼主一模一样的想法，这一点和国内安全软件比较起来更是有很大差距。但是现在就没有这种想 ...

  你的想法有道理   但是我也写了  那些用机器分析的杀毒软件中有些的误报并不比mse高

飞霜流华

微软的病毒收集分析，属于纯人工，所以速度上肯定会打折扣，其实就人工来会说，这个速度还是可以接受的。
我以前写过这么一个帖子：http://bbs.kafan.cn/thread-1219564-1-1.html
就响应而言，还是不错的，昨天我又上报了一个样本，这回有点慢：



当然，无论如何，速度都比不上机器。

只是，人工和机器，各有利弊。

美系杀毒，讲究的一是稳定，二是前瞻性防御。

讲究稳定性，对于入库，非常谨慎，定义更新略微偏后，这就是为什么像诺顿、趋势等不能去看扫描，看了搞不好会崩溃。而且，美系杀毒的查杀，讲究的是通用性检测，一对多，一条特征码对应多个变种，就对特征码的提取，要求比较高。这一点和欧系、俄系（卡巴）不同，这些杀软讲求快速入库，及时响应，虽然也有广谱查杀，但是相对要低一点，不过，大蜘蛛的基因查杀还是非常不错的。国内的云更不必说，几乎没有广谱。

至于前瞻性防御，说实话这方面MSE做的不好，诺顿、趋势等倒是很不错，当防御做好了，能防住了，那么基本大局已定，很多东西放在了防护端，运行，有问题，杀，扫描，模棱两可的不报，降低了误杀，同时，安全性不打折扣。说到这个，某种程度上来说，MSE甚至可以作为美系杀毒查杀的代表。

关于误报，对于企业版出身的杀毒来说，还是很看重的，我们接触的测试，毕竟还少，可能还看不出差距，但是去看看国际上的一些专业测试，MSE乃至美系杀软这方面的成绩，绝对值得称道。当然，最近MSE杀了谷歌，低误杀不代表零误杀，控制误报的道路，一直会走下去。

mse对最近某些利用dll漏洞的病毒的查杀率不高

其实这个，还是地域性差别，我们接触的病毒，多数是大陆的，而微软杀毒进入中国大陆时间毕竟还短（以前的oc根本没有简种版本，企业版第一代FCS的早期也没有简中版本），我也从来没有听微软中国的工程师说在大陆有分析中心，再加上中国的病毒，手法还真是相当神奇，有些东西，真是只有想不到，没有做不到，反应的确会有滞后，相对来说，国内的杀毒厂商，对此已经习惯了，进入中国时间长的反病毒厂商，比如卡巴等，也有很强的适应性。

厂商对于病毒的捕获，大致有这么三种方式：

一、厂商自主机器捕获；
二、杀软客户端检测到未知项目，上传；
三、用户自主。

响应的快慢，先决条件取决于厂商自己的机器，杀软检测到未知相对要少，用户上报就更少，当某个地域，厂商捕获相对薄弱，也会有点慢。

只是，归根结底，就全球性的厂商而言，要做到各国同步，不现实，而个人电脑，中毒的概率或许稍大，但命中最新病毒的概率，就小了，这之间，响应速度到底有如何，主要追求的，是稳定和及时的平衡性。

zsowen

呵呵，過來學習學習！

ELOHIM

风雪冰天 发表于 2012-2-28 13:12
你的想法有道理   但是我也写了  那些用机器分析的杀毒软件中有些的误报并不比mse高

其实楼主点到的的确是杀毒领域当中的一个矛盾之处。鱼和熊掌不能兼得，又想以一敌百又想快速响应，在目前来讲还是有难度的。

我的个人看法就是：微软现在的Microsoft Security Essentials的作法换作中国一句名言就是“磨刀不误砍柴工”。现在是4.0beta，现在还是人工分析，MSE现在和知名杀毒相比还有一定的差距。人工分析样本的好处就是能知道病毒的“工作”原理，进而可以完善杀毒软件的工作机制，牵一发而动全身。比如在MSE区刚刚有一个贴子讲今早上的病毒库522版本没有任何病毒入库，但是更新文件为300多KB，为什么？就是因为这次更新只是对基础架构和质量的改进，

虽时虽地的……anytime anywhere..    ^^

hj5abc

不能一概而論的

以往在樣本去呆過 卡巴不說 eset,drweb,avast,mse這些處理都是有快有慢，有時候一些樣本mse可以比其他都快的。他們都是慢的時候你等到要死。但mse普遍慢是事實。

胡小龙军

有很大差距

风雪冰天

accp.taotao 发表于 2012-2-28 15:38
其实楼主点到的的确是杀毒领域当中的一个矛盾之处。鱼和熊掌不能兼得，又想以一敌百又想快速响应 ...

以一敌百？  我貌似没说过这样的话