不必迷信主动防御

helldiablo

不知什么时候开始，主动防御开始热起来，言必称主动防御，更有国内几大厂商忙不迭的推出相关产品，并大打主动牌。似乎没有主动防御，产品就会低人一等。
但是，主动防御真的就是杀软的灵丹妙药吗？
不提那些有争议的产品，就拿目前舆论最火的微点来说。微点可以说是一款以主动防御为主的杀软，宣传的是可以消灭未知病毒，姑且信之。但是，过微点，微点升级等消息仍旧不绝于耳，难道计算机系统短短的事件内又出了那么多新的行为方式？我看未必吧。依靠主动防御仍旧需要收集样本，需要不断升级。不过，对于一个新公司，其样本数量，收集样本的能力都令人担心。
其次，我看到过微点的警示方式：可疑行为等等。这不禁让我想到了右键单击我的电脑引发KIS7不断弹框框的事情。对于一个初等用户，你如何让他分析可疑等行为，对于一个对系统有着丰富了解的人，又如何让其不生厌？这些都是问题，是否是病毒，结果是建立在用户的判断上的，但是，用户选择杀软是为了有一个筛选病毒的工具，而不是为了获得一个让自己判断什么是病毒工具。
病毒会报警，正常操作也会报警，是宁可错杀一千不放过一个，还是宽容对待一概放过，这些都取决于被提示者，而此时系统的安全的皮球也就重新踢回了用户。
主动防御，炒的过热了。不必迷信。

[ 本帖最后由 helldiablo 于 2007-9-14 18:44 编辑 ]

kp2006

主动防御功能要地 因为能保护系统 防御功能 这个为杀软其中一种功能很好

特征杀毒功能可以看做攻 主动防御可以看做防 攻防 本来可以

[ 本帖最后由 kp2006 于 2007-9-14 18:49 编辑 ]

flo

即便主动防御不是万能药，它应该认为是流行病毒的灵丹妙药。现在的流行木马，基本也就几十种，归纳出来的行为就更少了，但是计算上变种就铺天盖地了。
主动防御哪怕只抵御这几种，对于安全性就是极大地提升。
微点有自动样本采集机制，用户端分析到的样本默认会自动上报。而且微点的正常程序库也需要更新避免误报。
而且应该说还有很多过微点的方法，但问题是一些方法不流行，用特征码绰绰有余，何必靠主动防御增加虚警？
还有对于主动防御的易用性问题，这是每个开发者都会考虑到的。就拿你说的KIS7，如果你选择基本保护的，无效的警报就会极大减少。

[ 本帖最后由 flo 于 2007-9-14 18:54 编辑 ]

samancy

安全固然重要,但也不能只为安全不工作了!整天提心吊胆的看着那些主动防御弹出来的提示框,如此对于一些初级用户来说,不是一件容易的事啊!杀毒的思想还要继续向前走啊!如此主动太累了!

flo

原帖由 samancy 于 2007-9-14 19:07 发表
安全固然重要,但也不能只为安全不工作了!整天提心吊胆的看着那些主动防御弹出来的提示框,如此对于一些初级用户来说,不是一件容易的事啊!杀毒的思想还要继续向前走啊!如此主动太累了!

其实我觉得瑞星08有个策略不错。它针对某个病毒做特别检查模块，虽然可能会用到一些不太可靠的检查规则（比如文件路径什么的），导致遗漏一些样本，但是可以有效减少误报。

sharkkong

呵呵，我一直都认为没有完美得杀软或者说防护软件。
号软件很多，但是更关键是要学会用

runsisi

好像楼主没用过微点啊   那好像没有资格说什么吧
我的观点是    如果自己不了解就不要大言不惭的发表什么高见

wangjay1980

最近你很红啊，网络红人？

helldiablo

主动防御的思路不错，对于有一些基础的人也具有一定的现实意义，但是绝对没有吹嘘的那么神奇。
如何设定规则是个问题，让他报不报是个问题，报了如何处理又是个问题，这些问题最终都转嫁到了最终用户的身上。
也许能经过设置出良好的策略解决一些问题，但是不要忘了，看不懂弹出框框内容的人能够自己设置出适合的策略吗？
评价主动防御的人性化与易用性，应当以默认设置为准。

jpzy

什么叫主动防御？
LZ把微点，卡巴和HIPS的概念都混淆在一起了～！如果再加上NOD的虚拟机启发技术，恐怕更乱了～！
微点是部分行为分析＋部分特征码，卡巴的用部分AD＋RD来弥补特征码的不足，而HIPS才会出现设定规则的问题！

主动防御是目前的一个趋势，所以各个杀软厂商也都在炒作这个概念，但是这个主动防御是作为特征码的补充的，对于传统厂商来说，特征码才是主要的防护手段！

行为分析是未来的一个发展方向，现在NORTON已经出了自己的行为分析软件AntiBots！就像很多人说的，不管特征码如何改变，病毒的破坏行为要简单明了的多！利用行为分析，加上特征码，安全性无疑会大大提高的！