说说认识误区————防与杀（新增胡言乱语）

jefffire

大家都在谈防谈杀，有人认为防重于杀，有人认为应该防杀并重。可是奇怪的是，却从来没人仔细考虑过什么是杀，什么是防。在看到的诸多发言中，我发现了多个误区，为了验证我的想法，我想问几个问题。
1 右键查杀是杀，那么实时监控是防还是杀呢？那么流量过滤呢？

2 如果说御敌于国门之外算防，那么像Gdata，微点，诺顿sonar这样的主防，已经把病毒放进本地，那么它们是否属于防？


大家的一些观点，统一整理如下：


1 右键是杀，实时是防
这实际上是从技术的应用形式来分。右键查杀和实时监控从本质上说没有区别，都是以特征码以及启发式引擎为核心。只是其应用形式的不同导致结果不同。一个需要用户主动发起，一个不需要。

2 只要病毒没有真正运行起来就是杀,病毒运行之后的拦截才是防
这个分类实际上就是把HIPS和类HIPS及其衍生技术划定为防御，其余技术划定为查杀。

3 只要阻止了实质性损害的都算防，反之算杀
本人觉得这种分类方法局限性较大。按照这种分类方法，所有手段都可以归类为防御，而只有急救箱，急救CD才算杀，而急救箱和急救CD使用的技术又和防御中的有重叠。因此这种分类方法，无法起到分类作用。

4 在病毒进入本地（本地定义为用户电脑的内存以及硬盘等存储器）前拦截的都属于防，进入本地后拦截（包括双击，主防拦截，实时监控）属于杀
这是美系“流派”比较支持的说法。这个观点比较贴切目前国外流行的云安全的概念，将借助服务器来发现威胁并提前拦截视为防御。

5 杀毒软件主动发起的都算防，用户发起的算杀
这个观点实质将手动扫描以外的其他均视为防御。属于观点一的泛化。

海阔の天空

这个……实时监控是防御啊

88865ff

貌似现在大家说的防主要是说杀软中的主动防御，并不是不带主防的监控。

fovfinal

右键是杀，实时是防

jefffire

88865ff 发表于 2012-3-18 16:37
貌似现在大家说的防主要是说杀软中的主动防御，并不是不带主防的监控。

不见得哦。

jefffire

fovfinal 发表于 2012-3-18 16:37
右键是杀，实时是防

为什么？或者说，你认为区别防与杀的关键在哪儿？

飞霜流华

实时监控，如果不算双击拦截，本质上来说，还是属于扫描。

lbb9432

貌似除了主防  都可以算查杀

maomao110

这个问题以前就想过  也和你一样这么想过    不过猫猫对这个不感兴趣
并且这个问题存在辩证关系，不好说
猫猫一般都在想：这个AVG的图标这么好看，台式机换成诺顿真舍不得呢

fovfinal

jefffire 发表于 2012-3-18 16:40
为什么？或者说，你认为区别防与杀的关键在哪儿？

在实际生活中，比如你在网站上下载文件或者预览问题网页，实时监控报了警，这是就避免了你运行下载的问题文件/或者继续浏览问题网页而受到欺诈，所以这个就可以说是完成了一次防御。