QQ管家杀毒能力如何呀！

尘梦幽然

jzh100 发表于 2014-4-16 22:44
这是单步和多步的区别？我以为像火绒那样，对行为只有一个判断就是单步，想毛豆对每个行为都有提示的是多 ...

嗯，，所谓多步就是综合多步行为直接判断威胁性质，而单步顾名思义，就是单纯论某个行为的好坏。。
毛豆的话现在是单步多步结合的。有的威胁是HIPS单步提示，有的是启发式分析引擎或者其他行为分析技术直接报威胁。建议有兴趣去防火墙大区COMODO子版逛逛。曾经COMODO的HIPS在那个智能主防和“云主防”还不成熟的时代在卡饭爽翻天，现在单步判断为基础的云主防在强大的云数据库支持下也非常成熟，结合了云优势的单步主防有了媲美甚至超过毛豆hips的效果（因为云端自动为你选择好大多选项，你自己就很轻松了，而且云端选择出错率比较低）。现在云主防，不管是金山还是360，也都是单步多步结合了，不过就样本区大多数提示看，还是单步为主，多步在云主防中一般是对付一些行为非常典型的样本，比如qq黏虫的固定行为模式，网购木马的固定行为模式。完完全全坚持多步智能主防的，主要是一些国外杀软，比如诺顿，趋势，bd，mse等等。

jzh100

尘梦幽然 发表于 2014-4-16 23:37
嗯，，所谓多步就是综合多步行为直接判断威胁性质，而单步顾名思义，就是单纯论某个行为的好坏。。
毛豆 ...

感谢解答，云主防虽然现在已逐步成熟，但是hips还是很重要的，对于未知的病毒，云无法做决定，只能上传到云端，但hips就可以本地做决定了。现在hips都加上云检测了，像毛豆也一样。

尘梦幽然

jzh100 发表于 2014-4-17 08:53
感谢解答，云主防虽然现在已逐步成熟，但是hips还是很重要的，对于未知的病毒，云无法做决定，只能上传到 ...

嗯，你说的不错。hips加上云以后，提示的频次下降，准确度上升。
未知病毒，，其实杀毒软件可以杀的，包括用主防、启发式什么的可以拦截的，都不算是未知的。因为它的行为模式已经被知晓了。
像Flamer、Stuxnet这样的攻击方式比较独特的APT，这才是真正的“未知病毒”。这种未知病毒上传云都解决不了……安全软件厂商的工程师如果不留意的话，也很容易忽略它。
我只知道360的云主防判断规则有点类似于非白即黑。也就是云端凭借巨大的用户量所以有无限大的白名单，白名单之外的程序只要更改系统关键设置统统黄框提示并默认阻止。
不过也有一些办法可以过得了360云主防，看样本区就知道了，现在盗窃帐号密码的样本越来越多，行为越来越正常，动作越来越小，和合法软件差别不大，所以云主防的非白即黑有时也会失灵，因为其行为根本没有触及任何一个防御点。之所以样本区360检测率那么高，除了360自身技术过硬，也和360在样本区有人蹲点或设置自动爬虫入库有关。

jzh100

尘梦幽然 发表于 2014-4-17 13:10
嗯，你说的不错。hips加上云以后，提示的频次下降，准确度上升。
未知病毒，，其实杀毒软件可以杀的，包 ...

杀软还是有一定的局限性，虽然传统杀软根据特征码杀毒，有的库里没有就没法检测，用virustotal检测，同样的样本，不同的引擎检测结果接不一样，再说启发式，灵敏度跳到最高，虽然可以检测的更多更高，但误报也就更多，一个事物的两面。现在杀软都有主防吧，有的还是很弱的，如果hips用好，可以对软件的行为更加清楚，可以拦截或让其运行。这就好掌握一点。不过64的hips较少，毛豆V7弹窗卡，反正折腾的人就在杀软之间轮换。

luyu99998888

腾讯的产品应该可以的

崇祯皇帝

使用国外的杀毒引擎，应该比较强。

世谦

我想知道它的修复能力如何？能不能跟微点主防搭配

Markel.Scofield

感觉管家越来越臃肿了