對安軟可能存在之誤區的一己之見

Rosa真紅

誤區一：被神化的云
數字的云查殺率是最高的 金山也在努力的向云發展
但是呢 該輪到你中毒的時候你還是會中毒的
云就是把發現的文件掃描一個哈希值（可以唯一的標誌一個文件 兩個不完全相同的文件很難有相同的特徵碼 湊巧碰上的除外） 從云服務器反饋出一個結果
如果服務器上沒有這個關於這個文件的信息則把這個文件上傳上去
等待服務器分析出結果 然後決定
1）你知道云會上傳什麽嗎？
可能包含威脅的文件類型有多少種呢？ 卡巴的定義是六十種 不包括壓縮包
ASP BAT BIN CHM CLA CMD COM CPL DLL DOC* DOT* DPL DRV DWG EMF EML EXE FPM HLP HTA HTM HTT ICO INI JPG、JPEG JS、JSE LNK MBX MD* MSG MSI NWS OCX OTM OV? PDF PHP PHT PIF PLG PNG PP* PRG REG RTF SCR SLDX SLDM SHS SWF SYS THEME THMX TSP VBE VBS VXD WSF WSH XL*
天知道云會在這60種中上傳多少 即使上傳了你知道了找它們也沒用 因為這是可能包含威脅的文件類型
2）對未知文件云的效率越高準確度越差
對未知文件云服務器回饋的速度和準確性是成反比的 這個用腦子想想就知道 最快的是什麽呢？服務器上開幾個PC上用不到的啓發引擎殺一通
準確的就是人工鑒定 人腦比不上電腦 越要準確花的時間就越長
卡巴的云裏面有一億六千萬個未處理文件比危險文件的數量還多 卡巴的病毒研究團隊是全球排的上號的 因為它們要保證準確性 一兩天給回應的能保證嗎？
別以為專家就是火眼金睛 被漏掉的肯定有 投訴也有 只是你看不到 大不了就是回應說你傳上的文件不包含病毒 是其它途徑中毒的
3）在雲端反饋出結果之後 有些網站木馬會即時更新
如果我是駭客產業鏈中負責流量的 我會在虛擬機或實機里放進木馬用數字衛士測試 如果數字反應過來了 我會用木馬生成器令生成一個再重新掛馬
我的網站一定更新的比它們快 同時我會通過留下的後門給被我入侵過的網站更新
4）用云的人太多了 病毒會針對云做對策
有的是辦法使雲失效 因為用的人太多了研究的也多 駭客中出現天才的幾率不比安全專家中出現天才的幾率低
使雲端連接不正常的有之 使雲端反饋的所有結果均為安全的有之 打掉數字的自保再注入的有之
駭客是活的！ 駭客也會思考！！ 駭客也會研究安全軟件！！！ 記住這一句 網上的所有安軟的吹噓都是浮雲
誤區二：檢測核越多查殺率一定越高
檢測引擎越多越安全這個我是承認的 但是並不絕對
1）別家的查殺核真的都用到了嗎？
以紅傘為例 紅傘最強的是被動啓發 紅傘查病毒要過三個引擎 傳統特徵碼 巨集病毒啓發 先進啟髮式掃毒
但是呢 多核中用到紅傘的有沒有問你要開幾個引擎 我放一個特徵碼引擎也可以說我是多核
2）別家把引擎給你它用什麽
我如果是安軟廠商我不會這麼傻 我把引擎給了別人 用戶都用起它家的安軟我還賣什麽
如上 一般這種多核比這個安軟廠商現在賣的低兩個版本左右
3）即使真是完整的核用的到嗎？
兩家的查殺核都開上啓發式 卡機的程度絕對是1+1＞2的 拆你一塊內存條沒商量
誤區三：對小白來說MSE＋系統墻就夠了
絕對不夠 有人的觀點是系統即使裸機也不是沒有防護只是防護很薄弱
但是呢？ 駭客爲什麽要編寫出連Defender都過不了的病毒呢？ 無聊看Defender的彈窗玩樂一下嗎？
如果XP系統墻使駭客掃不到危險端口 以XP的安裝量來看 駭客還需要掃描嗎？都裝了XP系統墻了
Win8會把MSE內置進Defender裏面 很快的MSE也會成為駭客必過的項目
微軟家的東西也就是說別家正常軟件的會在裏面注入
打開系統墻的例外看看有多少個不速之客 多少程序在墻里加白名單 誰都可以碰 當然病毒也可以
MSE低誤報 也代表著低查殺率 低佔用 也代表低安全性 對高手來說可以用N個規則 組策略 HIPS等補強 小白是辦不到的
誤區四：適合自己的才是最好的
這句話理論上來說是對的
但是除了患殺軟綜合癥換了N個殺軟的人用來自嘲以外 不能用來給別人推薦軟件
“用戶一般不知道自己的真正需求 ”
來論壇求助是要問懂安軟的人 因為不懂才來問 看了這句一定更不懂了
未完待續

douya

楼主正解。