对静态防御和动态防御的一点看法

shiyuelaohu

静态防御可以理解为是FD，或者是依靠特征码杀毒，或者是像企业版咖啡、毛豆那样的FD，都是为了保证电脑上的文件能够干干净净，只不过在于智能和非智能的区别。杀毒软件发展至今，每个杀软也差不多都有了十几年的积淀，特征码技术也都很NB了，国内区不敢说，至少国外区的每一款杀软在这一方面做得都是非常好的。用咖啡个人版的人非常少，原因在于动态防御不行，这也就导致了其在AV-C和AV-T测试上成绩不佳。就我个人而言，个人版咖啡有月神，其静态防御，也就是监控能力是非常棒的，比较严谨，用过就知道了。这里只是拿个人版咖啡作个例子来说明一下，并非为咖啡区做广告，只是为其平一下反，正一下名。对于企业版咖啡、毛豆那样的FD，用起来可到是万无一失，但要涉及到排除，故比较麻烦。个人喜欢折腾的话，就尽量少往电脑上安装一些软件，尤其是尽量少用破解软件，到时候总不能单靠文件名来判断是否应该排除吧？白加黑就是个例证，不能依靠dll的文件名来判断是黑是白吧，大多数杀软对此都无能为力，更何况人的肉眼呢？

动态防御可以理解为AD和RD了，也有智能和非智能之分，智能的有微点、诺顿的sonar，对软件的多步行为进行综合判断，省事智能，但多多少少总是会漏掉一些样本。而企业版咖啡、毛豆、MD、DW等都是对软件的行为进行单步的判断，这种就很严谨了，理论上来说不会有漏网之鱼，这只是理论上，当然还得涉及到人的判断，不可能每一次判断都非常准确吧？所以，要使用hips，还是需要少装一些软件，少用破解软件。

说到这里，就是想说明一下，杀软的监控跟动态防御是同等重要的，甚至要更加重要一些，因为静态防御能够做到更加干净彻底。所以，不要只欣赏诺顿的sonar，同时也要欣赏一下红伞和NOD32的启发。这里，给大家举个例子来说明一下，我现在用的是企业版咖啡+毛豆的组合，用起来的时候，会发现毛豆的弹窗变少了，咖啡总能先于毛豆拦截，一开始我也不是很明白其中的原理。后来柯大说了一句话我很赞同，毛豆的FD是不如VSE的，FD总是先于AD和RD的，这也就是为什么将FD成为入口防御的原因。

npxywml

研究不到,没有观点,学习了.

shiyuelaohu

npxywml 发表于 2013-2-14 11:24
研究不到,没有观点,学习了.

感谢围观。

寒山竹语

这排版，勉强稀里糊涂看完了。

shiyuelaohu

寒山竹语 发表于 2013-2-14 11:38
这排版，勉强稀里糊涂看完了。

重新调整一下。

npxywml

shiyuelaohu 发表于 2013-2-14 11:26
感谢围观。

不担心平时U盘中遇到的小病毒,好处理,那怕是电脑损伤严重,总是有办法的.最怕大规模爆发病毒,如早期的尼姆达,威金等,全单位的同事电脑,特别是机房电脑全都感染了,全乱了,单位又是可以共享的局域网,查不过来呀,机房电脑全部重新做了几次,都没有完全解毒,直到所有的杀软都能杀了,慢慢的病毒逐渐被清理干净.

shiyuelaohu

npxywml 发表于 2013-2-14 11:43
不担心平时U盘中遇到的小病毒,好处理,那怕是电脑损伤严重,总是有办法的.最怕大规模爆发病毒,如早期的尼姆 ...

对于VSE来说防御大规模病毒爆发比较容易，一个计算机远端禁止操作和几条全局禁运规则可保万无一失。

qpzmggg999

你想说明什么？
是 杀软的监控跟动态防御是同等重要的，甚至要更加重要一些？
还是 毛豆的FD是不如VSE的？

另外 就说一句话 电脑还是小白多 没人爱去折腾 也就卡饭的朋友有点热情   

shiyuelaohu

qpzmggg999 发表于 2013-2-14 11:50
你想说明什么？
是 杀软的监控跟动态防御是同等重要的，甚至要更加重要一些？
还是 毛豆的FD是不如VSE的？ ...

主要是想说明，监控也非常重要，卡饭现在很多人都在注重动态防御的同时也应该重视一下静态防御。

qpzmggg999

shiyuelaohu 发表于 2013-2-14 11:55
主要是想说明，监控也非常重要，卡饭现在很多人都在注重动态防御的同时也应该重视一下静态防御。

静态防御表现在 监控机制 和 查杀率  McAfee静态是硬伤啊 同志  要是这样 我更推荐 ESET和Avira