原创——我来讲讲杀软。。。（云，hips，回滚等）

菜鸟杀毒

感谢8楼提醒。。。这个帖子虽然是想给小白以及入门的人看的，但是由于楼主装x与蛋疼，部分词汇以及术语请自备度娘字典。。。

第一部分：杀软防御病毒的方式
1.特征码：
杀软的病毒库现在还是靠着特征码，就是官方发现了一个病毒，然后入库，也就是提取他们自己认为是病毒特征的代码（也有可能是他们提取md5之类的）
这样更新病毒库后就能查杀那一个病毒了
这种查毒方式必然的好处就是离线能查杀，但是，在这个病毒爆发的年代，特征码的数量越来越多，导致占用内存更多，并且在查杀时候需要更久时间（好比你看一堆数字里头有没有0这个病毒，等会你又要看里头有没有0 和 1这两个病毒）

2.启发或虚拟机技术
对抗特征码，同一种病毒可以通过修改自身就能产生新的特征码，这样杀软就不能扫描到了，那怎么办？
病毒自身的行为还是一样的，因此可以通过模拟一个虚拟环境，让病毒的行为暴力出来，这样就能判断是不是病毒了，虚拟机技术就是这种。

启发的意思和虚拟机类似，都是看程序的动作。

3.云特征码
云特征码和本地的其实一样，但是把特征码放到云端（也就是服务器那里），可以降低本机的内存占用，节省内存，而且这样也不用更新了。。。


4.信誉云——霸气又蛋疼的方式
信誉云就是杀软利用自己的客户分析一个程序，如：QQ
举例：
诺顿帅气的误报：诺顿在用户下载一个程序时会判断诺顿社区里（就是使用诺顿的用户里）有多少个人拥有该程序，如果特别少，那么就报可疑
这种方式看起来有点不靠谱，但实际上确实很有用的，比如你下载一个外g，诺顿提示有10000000个人使用。。。那么你就不用担心那个程序的安全问题，因为很多人都在用，而且如果那个程序会对你电脑造成破坏，那100000000个人早就会删除了。。。   但是！那个程序还是可能有问题，如果它偷偷发送你的密码到主人手里，而不影响你的电脑，那你的帐号还是会被盗。。。囧

5.动态回滚——有点费资源+误报有点高  但是灰常有效的方式
我知道的有费尔和诺顿使用了这个技术，费尔的表现更明显
动态回滚是说运行一个程序后杀软记录这个程序所有的动作，然后当这个程序做了一个（或这一系列）危险的动作时，杀软就把之前的动作全部恢复，这样，，，你的电脑就恢复如初了！这有点像虚拟机技术？没错。。。不过这个是实机训练，不是虚拟出一个环境，这样的好处就是可能发现更多动作，毕竟病毒作者可以修改病毒让杀软特征码+虚拟机都发现不了，但是病毒还是要做那些事情，所以不可避免的会落入杀软动态回滚的监控里。。。

这么强大？没错，一个程序的任何行为杀软都在监控。这样的缺点就是占用太多资源。有人说，肿么可能，费尔才占5m内存啊。。。但是，费尔动态回滚所要造成的硬盘占用是非常大的，毕竟人家是监控并记录所有动作。。。占用就当一个副产品吧，这个我个人觉得是没法避免的。。。


6.hips——麻烦死自己的超级管家。。。
hips是什么？不用管，把它当作一个代号，意思就是可以让你允许或者阻止一个程序的任何动作。

好啊，那不就不怕病毒了吗？是的。。。一个病毒那小小的可爱的动作都在你的管理范围里。。。
不过，一个正常程序所要做的动作也是很多的，如果你想管理所有的，那md的正常模式再加上md规则里头监控所有。。。你就能享受了。。。造成的感觉是一个程序要运行，你可能要允许1000个动作（算上加载dll+不使用通配符（我好坏。。。）），甚至更多，因此hips类软件不是一个正常人想要的。。。而对于大牛们，如果想用hips也不会像我前面说的那样，他们会制作自己的规则，减少hips类的弹框。。。

你会想，hips和动态回滚一样啊，都是管理所有的动作，没错，不过性质不同，hips是在软件执行动作前询问或阻止，而动态回滚则是放过所有正常动作，一旦发现危险动作，则可以清除前面的所有动作。因此hips相对更不容易看全一个程序的动作，因为你在它做危险动作前可能就阻止了。不过费尔的动态回滚也不是无敌的，有些危险动作费尔没有考虑，因此可能就放任病毒肆虐。。。并且动态防御有些地方没有监控。。。
而好的hips则可以控制几乎所有动作，因此hips很疯狂。。。



7.我也不知道。。。

第二部分：个人检测病毒的方法
1.特征码
EEK，dr.web 绿色版，就说这俩吧。。。大家可以通过杀软扫描来判断有毒没毒
也可以通过在线多引擎杀毒来判断，更猛。。。推荐virus total
2.信誉云
查看文件在杀软客户里的数量能很好的判断是不是病毒
3.hips或主动回滚
这个推荐在虚拟机里面测试。。。判断一个程序有没有问题，可惜有的病毒能检测虚拟机，因此实机测试效果更佳
4.在线沙盒
极力推荐金山弄得帅气东东——火眼，把文件上传后就能看文件的行为，而且还有酷酷的注释，极力推荐
当然，别的在线沙箱也可以，大家自己找找喽
5.云特征码
差点忘了。。。下载一个文件过后360卫士、金山卫士、qq管家、等等等等会告诉你是未知，安全还是有毒，如果是安全，那可以放心运行哦


第三部分：推荐点防御装备呗

1.无敌————如果你平时就弄几件事情，不会用u盘，那极力推荐hips，不要怕，运行后开启学习模式，然后运行你平时要弄的所有软件，然后开启安静模式，这样就什么都不怕了。。。（虽然如果平时不插u盘，不弄别的东东，直接裸奔也可以。。。hips当作蛋疼的礼物吧。。。）

2.依旧无敌————如果你平时什么都弄，可以试试虚拟机，在虚拟机（个人极力推荐vbox）里多多备份，运行任意东东，然后恢复就好了。。。这样实机可以裸奔，做那些肯定没问题的事情。。。

3.小白型
a.sandboxie，沙盒，自己普及，我不太了解

b.卫士类+自己蛋疼去。。。
国产卫士们相对轻巧，想配什么自己选吧，反正要是我，一个卫士走天下。。。。

c.无聊的人
考虑一下comodo，bb的被穿，让你感受自己在探索一片空地。。。blicked的bb的帅气阻挡一切未知（取消信任厂商）。。。无聊的人玩吧。。。


推荐随身装：
论坛的可升级绿色版drweb，修复能力个人觉得最高。。。
各种急救箱，杀杀杀



另：对于这个转帖http://bbs.kafan.cn/thread-1458484-1-1.html的内容，个人很不喜欢，因为里面有些是作者在乱想，比如 xx卫士类。。。
我想说，360卫士，金山卫士，qq管家卫士，这几个虽然是卫士，官方都说可以辅助杀软，但是，这三家在国内依靠多多的客户端，能很快的发现新的病毒，绝对可以当杀软！就说360卫士，不开别的引擎，联网，查杀率绝不在国外杀软之下，就算不行，上报机制也能很快捕获新的病毒，在卡饭享有 病毒区 定点入库的称号。加上360的主动防御，也可以拦截未知程序，主动防御算是削弱的hips。。。当然，360卫士如果不联网，的确查杀率就会降低，毕竟是云特征码的带价。

加上里面hips把dw和sandboxie混合。。。

加上根本不知道comodo的bb那么会被穿+hips默认关闭。。




总结：
1.好的使用习惯>一切
2.卫士们很刻苦，云白文件相对安全。。。相对
3.本帖子是2013年1月27日写的，可能不适用于未来，小白们回头不要挖坟。。。

-Lin-

啃毛豆，蛋疼中，

ljp2993

卫士那个部分···Q管本身就是杀软了···
另外第三个部分推荐杀软的部分
sbie，单纯的hips，vbox都不是杀软···

lhx1984

哈哈，欣赏了下

恋爱的夏娜

总结的挺不错的，还可以。

mikefan21

楼主辛苦，很优秀，学习了，谢谢

菜鸟杀毒

ljp2993 发表于 2013-1-27 15:37
卫士那个部分···Q管本身就是杀软了···
另外第三个部分推荐杀软的部分
sbie，单纯的hips，vbox都不是 ...

囧，改。。。


谢啦

Mr.All.Sunday

辛苦楼主了，专业性很强。对于我这种小白来说，某些专有名词需配备字典。。。

won_king

通常只用卫士来清理垃圾的路过

会飞的猫

lz语言通俗易懂，很棒！但在卡饭hips也是个玩具

---

Intact Magical: Opera/9.80 (Windows NT 5.1; SimpleU Edition) Presto/2.12.388 Version/12.13  (zh-cn)