国内主流杀软系统级防御优劣势分析

塞门铁壳

前言：相信不少人在论坛里逛，就是想多了解电脑方面的信息、学习杀软技术、了解杀毒过程，提高自身计算机能力，但相对较好的技术类文章却有限。我觉得有必要把好的技术贴可以转发到坛子里，大家讨论学习，这样才能共同进步嘛。所以我把毒霸社区一个叫 “sxyuqiao”的技术达人写的一篇杀软系统防御方面的分析贴转过来。文章从“杀软发展趋势、”“多维度防御体系的优势”等几点发散讲述，对国内主流杀软的防御优劣势做了很详细的分析，个人认为写的十分精彩。

注：为了尊重原文作者，不产生断章取义的后果。我把文章全文转过来，供大家参考。但鉴于文中出现了具体品牌，避免有广告嫌疑，也请大家只讨论技术方面的问题，自觉屏蔽品牌避免口水。如果对文章出处产生怀疑，可以查阅文章原址。（http://bbs.duba.net/thread-22650053-1-1.html）

————————————————————————分界线————————————————————————

写在前面：   就在1星期之前，KSC内测了。昨天,论坛公测了。  多少的金山粉丝在期待着一刻，因为日思夜想天天盼着的金山启发总算是出来了。可是又有多少人能够了解和真正信任金山的多维度防御体系和KSC这个平台呢？质疑声和挑战声持续不断。就在一星期前我做金山多维度防御设计图的时候，有幸和KSC项目组负责人以及毒霸查杀组产品经理交谈了不少时间，学习到了不少东西。一个星期过去了，觉得有必要写下个人的理解和建议，以便使更多人了解金山的防御体系。希望大家有空认真看看我写的东西，讨论讨论我说的对与错，我相信在你认真看了以后，不说精通，也能对云杀软的防御体系有个大框架上的了解。不足之处和错误之处，还请金山工作人员多多包涵和指出。

一．云端的是否是杀软发展趋势？

      云端，这个熟悉的概念，在杀软界却备受质疑，毒霸也不例外。毒霸总是被质疑，认为在纯本地下毒霸就是个废品，没有丝毫的防御能力。个人也是这样认为，毕竟毒霸只有精简的本地病毒库，是云杀软。即使是K+的加入，由于缺少本地防御机制，即使是非白即黑的防御模式，本地K+对病毒的防御仍是显得弱不禁风。但是，有多少普通用户是经常在断网情况下呢？希望大家环顾四周，看看有多少同事或者同学处于80%以上的时间断网，又经常使用U盘等断网下恐怖的病毒传播工具，而且没有GHOST还原软件？如果不是学校公司局域网，那么普通用户断网真的是很少。
  在毒霸论坛里时长看到抱怨金山没有本地库的用户，我觉得这只是一种缺少安全感所照成的不安，希望你们看了我之后的介绍，能对云杀软有一定的信心：没有本地库，照样不怕毒！
首先先让我们来看看一些资料~

资料1：中国电信启动宽带提速工程 带宽跃升10倍以上       http://news.163.com/11/0216/16/6T1DP4CA00014JB5.html
资料2：存储，在云端          http://www.dooland.com/magazine/article.php?id=160551
资料3：每年至少投1000万扶持云计算          http://www.people.com.cn/h/2012/0223/c25408-1715021477.html  
  
      这样的资料很多很多，不需一一列举，我只想说明现在云计算、云端应用正在以一种前所未有的速度发展和增长中，不仅仅是一些企业、VC机构，甚至是国家也在积极响应和帮助云的发展。而大家担心的云的运行基础——带宽，也在国家反垄断政策的压制下，由电信带头，开始凶猛提速。现在正是一个云发展茁壮发展的好时期，为什么杀软就不能云端化呢？  
       或许有人会说：“金山毒霸算什么，一个连VB不能过，AV-C都除名了的杀毒软件有什么资格在这里说云杀软是趋势？卡巴、诺顿，BD这些都是本地重杀，云，是永远比不上本地的。”  是的，毒霸2012没有过VB，被AV-C除名，可是说这种话的同学或许只是被某些传销似的公司弹窗教育过，却没有思考背后的问题。金山是被“测试本地杀软强度和断网情况下扫描能力”的测试所除名，而且测试的不少都是国外的流行病毒。毒霸没有本地强悍的病毒包，在国外的样本采集能力不强，势必会无法通过这些测试。而不知道大家是否知道，金山毒霸是国内第一款通过英国西海岸研究室云杀软综合测试的杀毒软件。云杀软应该测试的是什么？是本地扫描能力？本地启发能力？断网防御能力？错了！应该是一扫二扫的区别（云端对病毒收集的响应能力）以及云端稳定性，云端鉴定准度和速度等等。与其说是金山没能力参加AV-C，VB等测试，不如说那些测试根本不适合毒霸参加！  

      纵观杀软界，你会发现不少本地重型杀软也开始转型升级，响应党和国家领导的号召，发展、建立健全发展体系。（咳咳，政治背多了）除了本来就有纯云的Panda和Trend，卡巴、ESET、NORTON都开始建立起自己的信誉云网络。而COMODO的部分产品，也利用云来做为一个防御网。  
       所以，你一定要等到自己的本地杀软安装包超过几个G的时候，才想起本地杀软的不足吗？  反对云杀软的同学，我相信你会这么说：本地杀软，很多用的都是泛特征，不会形成很大的病毒库。即使是几个G的大小，拜托大哥你有点常识好吧，新电脑现在硬盘最低都在300G左右，几个G的病毒库，轻松无压力。  好吧，其实我还是比较同意这个观点的。但是在现在病毒每天百万千万增加的趋势下，你本地的杀软库，一定也会以每年几个G的趋势增长。看看那些重型杀软的病毒库增加量吧。不说别人就说毒霸，毒霸2000版貌似只有几百K大小，但是2009版的离线病毒库就有了170M左右。病毒库增加，小的说是给你的储存量压力，往大了说，对系统的负荷运转速度也是个不小的影响。云端存储和云端杀毒，以及云端计算普及的日子，不远了。或许那个时候，我们只需要一个显示器，一个本地缓存站即可。金山把病毒库全云端存储，在我看来不能不说是一个有深谋远虑的计划。  云端是一切轻巧的起步。

二．KMD金山的多维度防御体系的优势。

      用金山毒霸2012快1年了，其实我真正了解金山的防御体系，也是去年K-GHOST兄给我恶补了一晚上知识后才有所明白的。论坛里，其实我也能经常看到不少经常活跃在毒霸论坛的同学也没有正确理解毒霸的系统防御和边界防御的区别。这点我认为金山工作人员有很大的责任在里面，你们没有好好写过一篇介绍防御体系的帖子，至少我是没看到过。哪怕写了，宣传工作也没做好。当然我相信今年，这些问题都不会发生了。我看到了金山论坛里无数讨论的帖子由工作人员牵头发出。用户体验，金山今年能做到最好。：）  金山多维度防御（KMD,Kingsoft Multidimensional Defense）。官方其实没有给出定义，这只是我对金山防御的理解，当然不少工作人员认为其实我所说的金山多维度防御，其实早就在了。




何为金山的防御体系？其实和人体的免疫系统有点相似。说白一句话：边界防御如同皮肤，阻挡病毒的直接侵入，第一层防护。而如果部分病毒成功进入体内，白细胞、巨噬细胞就会被激活，攻击病毒。（就像启动了k+主动防御）。金山防御体系精明之处就是轻巧快，不需要动用大量资源和占用，实时监控扫描活跃文件。边界防御最大程度的让毒霸轻巧，而只有未知文件活动的时候，金山的主动防御才会生效。  

  通过我的介绍，我相信你会对金山的防御体系产生极大的好感。因为她不仅很快，而且防御效果非凡。  

       第一层防御：边界防御。金山对每个病毒的可能入口进行严格检查。IM传输防护，U盘传输防护，局域网内文件复制防护，端口控制防护，下载防护，网页入侵防护。这样的话，大部分病毒就无法进入系统了。在将来金山微特征提取和下载保护能够完善的基础下，其实边界防护或许就能够全部防护到位了（假设你是本来就是安全的PC）。  
       第二层防护：K+云主动防御。何谓云主动防御？主动防御其实和大家熟知的文件实时监控系统比较相似，但是也有不同。首先金山的主动防御主要基于云端（即使是不久融入了KSC系统智慧云，那也是云端为主。当然下放KSC规则的K+主防就不一样了）。何谓主动防御？主动防御其实我想和文件实时监控类似，对活跃文件进行监控。但是呢，金山的主防又有不同。你会发现金山的云主防很快很轻巧，很少有卡文件的现象产生？我觉得这是金山的本地白名单和本地信任机制存在的原因吧。金山主防应该是只监控未知文件的活动，对安全文件不监控，对威胁文件的绞杀。未知文件被发现后会第一时间上传到云端进行分析，分析的时候或者是断网情况下，金山主防就会实施监控他的一举一动,拦截不正常或者是高危行为。如果是联网情况下，这些动作会被发到云端进行分析，然后得出结果是否拦截或者放过。断网情况下，本地白名单就会极大情况的减少误杀，并且能够作为启动非白即黑的防护策略。  
  （在这里忍不住要说明下千万别被某些公司什么10多层防御，几D几D防御蒙住了眼睛，其实宏观上来讲防御就两层，或者对于一些国外杀软来说就只有一层。还有还有：防火墙是防火墙，杀软的主动防护是主动防护。某公司竟然能说出流量防火墙？！！！木马防火墙?!!!不知道误导了多多少人啊！！！现在一问小白：“亲，你知道防火墙是干什么的吗？”“防木马的呗~”这让人情何以堪啊！！！）  
      多维度，还有一维，我定义为了时间。在物理空间中，总共有12维的空间。那么我觉得之前的3维就是金山的3D防御，还有一维就是时间，以此构成了金山多维度防御框架。时间这个维度，我听到很多质疑的声音，认为不该用到杀软防护层面上。但是不知道大家有没有想过：时间，云杀软中，也就是强悍的云端样本响应收集的能力和速度，是一个多么重要的理念。如果云端不够快，用户觉得慢，在未知文件没有鉴定好就直接运行，很多情况下会发生中毒事件。即使云端在一定时间后反应过来，那也是无用的，因为或许用户的帐号密码已经被发送到黑客的邮箱里的。云端入库速度也是云杀软需要审视的一个重要能力，这关系着防止恶意病毒的大规模传播。这里再次体现出了云杀软一个优势：阻断恶意病毒的大规模扩散。  
      在互联网摸爬滚打了这么多年，相信不少80后或者是90左右的朋友都经历过熊猫烧香，威金等病毒。我个人的印象及其深刻。那个时候自己还是个小学三年级的小白一个，看见机房里E盘目录下有个小熊猫拿着一束香的图标，以为是游戏（经常会有游戏在非系统盘目录下，这个相信大家都有体会，上电脑课老师在上面讲，自己找找前辈留下的游戏玩会儿），一双击，没事情发生。再双击，再双击，双击双击双击。等等，怎么所有图标都变成小熊猫了？应用程序都打不开了！！！小狮子也不见了，打不开打不开啊！呼叫敬爱的电脑老师，只见电脑老师过来，看到此情此景，问我是不是打开小熊猫了，我弱弱的说“是”。然后就被臭骂一顿。不久，学校局域网趋于瘫痪状态，无法运行，电脑课也被停了。家里的电脑，爸妈公司里的电脑，哥哥姐姐的电脑里也陆续出现了小熊猫。一时间大家的口中都会陆续提到这只恐怖的小熊猫，一场互联网病毒阴霾狂妄地席卷着全国。为何熊猫烧香传播如此之快？为何熊猫烧香无法根治？一个原因是病毒破坏性传播性极强，破坏EXE关联、破坏市面上的杀软、U盘局域网以及子在一些被挂马的软件下载站中极速地传播。另一个原因就是本地杀软的落后性，完全体现了出来。通常情况，一个病毒被发现，然后上传到云端，工作人员分析后找出特征码，然后入库，然后打包经过病毒库升级使用户有防范此病毒的能力。然而熊猫烧香的变种能力极强，而且通常本地杀软的病毒入库到防御都需要几小时甚至几天的功夫，完全无法赶上病毒的发展能力。那个时候金山的云还只是文件信誉云体系，类似于现在的白名单，还没有发展到现在这样的强大的云端。我记得最后，沈老师，是分发了超级巡警专杀工具，然后让我们一台台杀过来才解决问题的。这貌似也是1,2个星期过后了。从那时起，我就对杀毒产生了很大的兴趣，希望能帮到更多的人。很傻，很天真，觉得杀毒的瞬间有着无比的自豪感。感谢金山毒霸，也感谢和我一起度过这么多年的另外杀软。有的时候，人的兴趣就是一种对着目标不断向往的傻劲。  现在呢，我们有云。金山的云发展过程是从可信云一路发展过来的。云端的优势就是对未知文件的直接上传，云端自动分析，云端自动入库。因为用户连接的都是云端的病毒库，所以不用担心时间差，不用担心病毒库的庞大。现在我想很多人都没看到过大型病毒的泛滥了。一方面是杀软的普及，另一方面国内的云端杀软起到了不可磨灭的作用。即使是节假日，工作人员不用值班都不用担心大范围的病毒扩散，因为有云端。




      简单介绍下金山的云端。金山的云端有个名字：水银。没有深究过这个名字的意义，莫非是像秦始皇的陵寝那样，自动流入，自动防护？总之又加深了不少的神秘感，真希望今年的暑假能看到水银的控制界面。云端的30核引擎，就是30款不同病毒的鉴定引擎。不同于360所谓的1000多款动态鉴定器（api序列的判定规则的组合），金山的云端云引擎是类似于鉴定器的分类集合。引擎，就是把规则集合起来，进行匹配的一个工具。可以认为是一个巨大的能自动分析的病毒库，这个之后再说。水银不仅能够自动收集样本入库，我认为一些查杀规则和异常项也在水银的收集范畴内。KSC，应该是水银这个总平台下的一个分平台。水银下的平台据我所知，现在应该有30核云自动分析引擎、KSC、鹰眼系统。至于KSC，我们往下看。

三．KSC金山系统智慧云分析的先进性

       KSC,可以理解为金山的云启发引擎，这也是大家现在看到的，或者所了解的。其实，KSC之所以叫Kingsoft Intelligent System Cloud (个人翻译为金山系统智慧云分析)是有其意义的。我这里的“系统”二字，一方面指的是金山的分析基于系统维度，另一方面是指金山智慧云分析的系统性。官人和我说的是，KSC其实是一个大的平台，不光可以运用在查杀引擎上，也可以运用在主动防御，甚至以后边界防御也可以用到，成为名符其实的金山多维度启发式主防及边界全框架防御。总结3点KSC的最大先进性：聪明【smart】，前端性【pioneering】，运用面广【extensive applicability】。

1.聪明【smart】
       KSC最大的优点就是聪明了。我之前想了很多形容词，发现其实用聪明来形容最恰当。KSC不仅能自学习自推断，而且因此能自动加入扫描策略，提高自己的病毒查杀能力，及时发现新病毒，总结病毒家族泛特征。这意味着云端和本地更低的资源消耗，却能换来强悍的防御查杀效果，这不仅使毒霸的查杀率上了一个档次，处理样本和活体病毒的速度也由此提高。KSC是什么，KSC其实是一个多点维度数据采集鉴定学习处理一体化的平台，利用统计学理论，对多维度的采集数据进行总结分析，达到启发自推理的功效。不同于普通的文件云，她是一个步骤完成，而文件云是2个甚至3个步骤组合完成；而且她鉴定的不是单一的文件特征，而是文件与系统间关系的特征。本来就很快的云端响应，现在变得更快。这样看来，KSC已经比市面上普通云聪明了两个层次：一个是速度，一个是鉴定程度。

2.前端性【pioneering】  
       为什么说金山的KSC有着特别的先进性，不同于普通的人工智能引擎呢？我想原因有很多。自学习自推断其实是一个AI引擎的必备，这里就不过多阐述了。  普通启发式杀软，做的是单文件的api序列规则判定，或者有些是多步判定（如微点），而 KSC做的是系统影响的多步判定。我本来以为微点的主动防御也是基于系统影响性的，一种多步智能主防。其实微点也只是对于一个文件，执行过程中的序列进行整理，在进行判定报毒，如同用了一个大的全局沙箱一样。  下面咱们来说说QVM，这个死对头的启发式引擎。QVM是奇虎360的人工智能启发式引擎，英文翻译过来意思为奇虎向量学习工具。QVM做到的是云端海量样本的自学习，总结出一套套规则，也就是API的序列规则而已。这个规则，也是很多启发式杀软的主要原理：学习一个黑样本，然后把它的序列规则排序统计；学习一个白样本，然后把它的序列规则排序统计。海量学习后总结出了一个规律，用总结出来的规则对未知文件进行自动分析，看看未知文件的API序列是像黑样本的序列呢，还是白样本的。说白了，其实也是单单在文件特征上面下功夫。

      记得360云主防3.0出来时，有人说这是多维度的一个行为启发。这其实不能说是多维度行为启发，应该说是文件多维度行为启发。因为不管怎么说，QVM只在单文件上下了功夫，哪怕是联网行为，这也只是文件的API的一部分。那么到底QVM的效果好不好呢？客观的说，在国内QVM的效果很好，解决了不少未知病毒的威胁，并且帮助360处理了云端海量的灰样本（要是靠人工早就累死了）。然而，大家可能只看到了一部分，QVM的高查杀率（断网新病毒80%左右，云QVM90%左右），你会被QVM的误杀率吓死。有人说为什么我没看到过QVM的大范围误杀？这是360的云端白名单在起效。如果没有这个强大的国内软件白名单，估计你家的电脑很多程序都被报毒了。想看看QVM误报强悍到什么程度？请搜索AV-C 2011年2月的误报测试，360的误杀样本高达104！比以高启发著称的ESET（倒数第二）还高出84个样本的误报！这一方面显示出了360对国外白名单收集能力差，另一方面，QVM的缺点完全暴露。这就是360单一的文件序列启发造成的危害。  现在让我们来谈谈我们的KSC。
       KSC刚刚说过了，是采集系统维度的一个启发平台。何谓系统维度特征？也就是一个文件和系统另外文件之间的关系，是文件对系统影响的多步判定。KSC解决的是文件对系统的影响，也就是常说的只消灭活体病毒。对于那些潜伏在系统内的无危害动作的僵尸病毒，或许系统维度的启发无法消灭，但是能够消灭掉有动作的活体病毒，解决威胁即可。KSC工作原理的一部分就是对启动点的严格检查。KSC是对所有启动点进行扫描，通俗来说就是看文件是不是出现在它不该出现的地方，如果不是则检查它的调用和加载项，然后通过KSC的自动规则判断和文件云辅助黑白检查。同时，KSC会对所有云端KSC体系中有价值的关键启动点进行监控。我想大家应该已经可以看出KSC和普通的AI引擎的区别了吧？只针对活体有危害病毒的绞杀依旧符合毒霸轻巧快的理念，而且系统广度特征的提取学习更大范围的减少了误杀、增加了稳定性。这也是smart的表现。举个例子，昨天刚刚测试了一组样本，实事求是的说，因为不少是外国的样本，毒霸的扫描检测能力很差，只有少部分被检测出是黑样本，不少竟然是已知安全（这点会在第四大节内阐述）。虚拟机实际运行，于是开始拦截威胁的动作，不过还是有不少被漏过了。重启虚拟机后一键云查杀，有一个FAKEAV（伪杀软）的启动项就被云启发KSC报了。为什么会被报毒？想想KSC的策略，那么应该是这个启动项很活跃，然后出现在了系统关键部位。通过KSC的扫描发现其调用的程序或者进程很可疑，放入云端规则序列判断后认为是病毒了。这就是KSC工作的一个实测。当然，现在的KSC刚刚起步没几天，云端规则没有360QVM那么海量，KSC的能力提升还要一段时间。并且现在的KSC还只是在查杀中实验，没有运用到另外地方，所以KSC更大的表现我们还得看以后。让我们拭目以待KSC的精彩表现吧！

3.广泛运用面【extensive applicability】  
       刚刚说过了，KSC其实不只是一个云启发引擎，还是一个可以多范围应用的平台。KSC可以运用到扫描，也可以加入到主防中。如同360主防里的云QVM（云端实时对提取到的规则序列进行匹配分析，然后实时拦截），加入了KSC的金山k+云主防能有更加强悍的防御能力。首先，对于活体病毒的防御会更加强悍，K+会对运行的文件进行实时分析，未知程序的动作或许能够在文件云鉴定未完成之前被KSC的规则分析出来实时拦截。并且，由于K+监控未知文件，那些潜伏在系统内部的僵尸文件也能够及时被KSC发现。K+加入了KSC就是如虎添翼。超强悍的防御能力却不失轻巧，加入KSC的k+，能够在1个月左右体验到。当然，KSC的平台也可用于移动手机平台，金山手机卫士也可以对安卓的应用进行一个矢量基于系统维度的统计。现在移动智能客户端的病毒恶意扣费等行为如此猖獗，恶意软件增加率超级高。现在手机云端病毒库尽管有了文件云的先进性，能遏制造成大范围的病毒文件感染，但是如果加入了KSC的，防御能力则可大大增加。况且个人认为安卓平台下的系统调用和函数没有微软W平台那么复杂，相信手机卫士的KSC也能够在不久的将来实现。  还有很多很多可能的KSC应用，这里就不一一展望了。




四．金山的不足之处

      别说我们体验联盟的只会说好话，一个辩证看待问题的价值观才是体验团队真正应该具有的特质。

1.微特征提取
      金山的蓝芯2对微特征的提取能力从毒霸2010开始就一直被歌颂称赞。1年2年过去了，蓝芯2是否需要改革？个人认为金山的蓝芯2改革已经迫在眉睫。首先，先说说微特征的优越性。微特征的精确提取能够在一定程度上遏制病毒的变形。相比较于纯MD5的云，微特征作为病毒库的提取索引，不仅能够提高精准度，更能够帮助云端分析引擎做到一个统计的功能。然而微特征也有不足之处，那就是不同于病毒家族泛特征，每个文件都有一个特征码，所以据说金山云端的病毒库有几T之大，这也是金山纯云的一个原因。当然现在KSC能够自动总结泛特征码，或许能够解决问题，但是还是得看实际效果。  金山的微特征问题几乎可以体现在80%的金山报白的黑文件上面。明明是一个黑文件或者说是未知文件，金山的云鉴定器查询竟然判断安全而且能够说出入库时间。之前我一直以为是金山水银端的问题，后来才晓得，是因为微特征提取错误导致的。个人分析问题是出在提取的特征和白文件相同或者说是提取错误。网上也看到过金山微特征提取位置，这样的话加入一些壳过云安全似乎就是很容易的事情。微特征的错误提取的问题或者说提取不全面，是急需改善的问题。只有更好的微特征匹配技术才能跟得上KSC的启发能力。

2.下载保护问题（水银端的问题）
      下载保护的问题是个顽疾了，不知道何时才能优化成功。对于压缩包，加密压缩包就该报加密未知，而不少人都经常发现加密压缩包报安全的情况。如果是未知，运行的时候很多情况下也不会提示“未知文件即将运行”。一些病毒文件运行的时候不会提示“下载病毒文件即将运行”而是直接K+拦截。不知道到底是好是坏。希望加快此问题修复速度。3.云端服务器抗攻击的问题  金山既然把所有的病毒库放到云端，作为一个纯云杀软，金山的服务器却经常让我们汗颜。我个人是移动的网络，发现云端检验延迟比电信多得多，升级虽然是会员，也是很慢，真的不知道金山只有多少的CAD加速。某公司的不断攻击更加让我们对金山的服务器抗攻击能力非常担忧。虽然攻击强度很大，而且每次金山出新产品就开始攻击，这种恶劣的手段和不要脸的行径我们暂且不谈，个人觉得金山的应急机制还是不够好。虽然工作人员都全力投入解决，但是结果反正是至少4,5天才能完全恢复正常。看过一些人的分析，确实，某公司的攻击强度非常大，但是这不是理由。希望金山能给我们一个信念，那就是金山云端一直能够稳定，拥有强大的抗攻击能力。这是服务器，官网论坛也经常被攻击，曾经官网一度被黑，上次曝360APP的时候新闻中心被黑。不管敌方如何，我想金山作为一个安全公司，至少要防微杜渐吧？希望有关工作人员一定要保护好前线战地。

4.细节，决定成败  细节，决定成败。
      金山显然没有做到这一点。不仅是从美工，还是从产品本身来讲，我都看到了很多不足。远的不说，说说会员弹窗的关闭按钮，那叫一个难看。毒霸界面上面的6个大按钮，和毒霸现在类似Metro的感觉很不搭，大按钮有种圆滑很Q的感觉，个人最不喜欢的是病毒查杀的按钮。顺便请官人打开毒霸里的“关于”看一下，windows徽标认证的边缘能不能再白一点？这种问题不光一次提过，不止一人提过，可是改一下要这么长时间吗？？？请问你们的效率在哪里？  



      再谈谈客户端的稳定性。我64位用户反正从来没有安心过。标准监控下什么神奇的事情都会发生，不光是我一个，同学那里也有。狂占CPU值，根源发现是在重复扫描QQ群接收到的gif图片文件。呵，还是个非PE文件。问题是优化了一遍又一遍，反正我已经快半年没用标准监控了。金山的小问题特别特别多，什么升级问题，主界面假死问题，冲突问题，有时候一些问题包竟然会放出升级？？？到最后只能回滚升级，重造。看看360，人家MJ能自豪得说根据微软的统计，360的崩溃几率是很低很低的。希望金山从细节入手，一步一步脚踏实地，给用户以平滑流畅的客户端。（SP3.2稳定性有很大提升，我感觉到了）

5.论坛管理

      希望金山的工作人员有空多看看360论坛、卡饭论坛是怎么样的。当然卡饭有很多让人不喜的地方，但是也有很多东西值得学习。
（1）体验团队管理。
      体验团队为什么这么多次都能泄露出去新版本，而360督导版很难找到？第一个是360公关能力的强悍，及时删除或者直接黑掉那些网站，第二个就是其对督导团队的管理。据我所知360督导团队的活动很多，而且优秀督导也是经常评选。可是毒霸呢？体验团队没有生气，死一般寂静没有活力。这里很大一部分原因是工作人员没有投入精力。现在看到正奇正在清理体验团队，表示支持，但革命尚未成功仍需努力。希望体验团队的同学们能有着一种正直的品行观，素质超群，共同为毒霸的发展谋利。

（2）论坛的奖励机制。
       去过360论坛的同学们会发现360那里活动好多啊，积分金币就是真金白银，能够换取周边产品。而且360周边都很实用很好看。再看看毒霸论坛，换论坛版本就催了不知道多少次，也只看到快盘团队偶尔发一下周边。希望毒霸论坛能够主动调动用户积极性，多多奖励机制。

（3）论坛管理机制。
      论坛里灌水纯表乱回帖的现象很多，包括无意义回帖，这些让人觉得金山论坛的回复没有意义，管理很不规范。纵观所有原因，发现没有一个精细准确的版规是一个很大的问题，没有卡饭里那样，每个扣分都有理可依。一旦论坛奖励机制开启，那么灌水就需要制止，无意义回复，什么“支持××”，这些有意义吗？表达了你自己的一点感想吗？能帮助到大家，起到讨论作用吗？还有不少帖子，没有表达出自己的问题所在，比如“救命啊”“有病毒啊”这种帖子最好能直接回收。这里希望毒霸能有自己的帮助适应团队和用户自律团队。


后记： 洋洋洒洒近万字的分析稿总算是接近尾声了，不知道工作人员有没有认真看建议，对毒霸防御系统不了解的童鞋是否有收获。  其实，接触金山的时间不久，加起来不过5年，但是在这之间我成长了很多。BY版主，政委，风骏，以及不少工作人员，都是我行路的指南针。我一直在学习，也一直在进步。我一直告诉自己，做自己喜欢的，因为兴趣是人活着唯一的理由。  选择金山，选择的是那份正直感，我希望金山一直坚持下去。找到比金山技术好的软件，不难。但是金山告诉我的更多是一份坚持的感觉，那个一直坚持永不言败的梦想金山。某三主防技术再怎么好，也不会让我感到一丝东西。一个缺少了廉耻心和正直感的公司，一个技术人员狂妄自大目中无人肆意诋毁自己竞争对手的公司，想要永久常青？不可能的。  选择金山，选择的是那份开心。论坛里总是能看到朋友们开心的一面，即使在回答一些性子急的用户的问题，结果被辱骂，也有人及时站出来帮我说话。工作人员也会安慰我给我讲笑话，呵呵。每次回到家打开毒霸论坛，才感觉到一种归属感。或许，我已经把它当做家了。  我相信，在金山人不断的努力下，未来属于金山，骄傲属于金山。我们会和你们一起，一路向前。                                                                                                                  
                                                                                                             BY sxyuqiao  2012/2/25


附PDF：http://www.kuaipan.cn/file/id_4927517194469549.html

XMonster

1.panda和趋势是纯云？
2.边界防御是噱头而已
3.KSC只是单单判断异常启动项，哪有那么神？对于黏虫这类有用？事后补救
4.木马防火墙的名字确实有点误导，不过4D的360hips比金山神马多维度强不少

ted423

没了么？还是我插到楼了？希望还有些别的

塞门铁壳

88865ff 发表于 2012-2-28 15:48
水很深，能在枪点吗？

不知道你认为文章枪在哪里？我只是做转帖做技术性的讨论，如果非要带有色眼镜来看，那是你的责任。请不要把你的想法强加给其他人。别人一万字的专著，你就这几个字反驳了，请拿点儿干货出来。

史小菜

比较具体，但是题目有点大了。应该叫金山系统级。。。。。

jefffire

国内主流？此帖主题其实是 金山V587

jefffire

塞门铁壳 发表于 2012-2-28 15:59
不知道你认为文章枪在哪里？我只是做转帖做技术性的讨论，如果非要带有色眼镜来看，那是你的责任。请不要 ...

我找到原帖了：http://bbs.duba.net/thread-22650053-1-2.html
你还好意思指责别人，连文章题目都给改了，别人的题目是“KMD金山多维度防御和KSC金山系统智慧云分析
到底先进在哪里？”，你改成什么了？？  你改标题时尊重原作者了么？？尊重卡饭读者了么？你真的只是转贴? 到底是谁把自己的想法强加给其他人？？

塞门铁壳

不想在这里口水，什么叫你找到原帖了。我转帖的时候没贴原文链接么？

十送鸿钧

虽然是夸金山的，看上去还成……