关于诺顿查杀率较低 说一些我的理解

jefffire

lmw8023zz 发表于 2014-7-9 13:57
大大，请问你说的实时监控是不是随机扫描文件？那样不能在第一时间发现病毒，作用并不是很大啊，我是小白 ...

随机扫描。。。。当然不是。是程序访问，写入，修改文件时，事先扫描。

lmw8023zz

jefffire 发表于 2014-7-9 14:59
随机扫描。。。。当然不是。是程序访问，写入，修改文件时，事先扫描。

那么这是不是就是双击扫描呢？这不算主防吗？

jefffire

lmw8023zz 发表于 2014-7-9 15:01
那么这是不是就是双击扫描呢？这不算主防吗？

不完全对。双击扫描，准确说应该叫运行时扫描，是实时监控的一部分，依然是依靠特征引擎的识别，不属于主防。
举一些例子
进入一个文件夹，文件夹内有病毒，这时实时监控提示有病毒。这就是访问时扫描。
解压一个压缩包，内部有病毒，这时提示有病毒，这是写入时扫描。

lmw8023zz

jefffire 发表于 2014-7-9 15:07
不完全对。双击扫描，准确说应该叫运行时扫描，是实时监控的一部分，依然是依靠特征引擎的识别，不属于主 ...

哦 我知道了 也就是说这些都还是要依靠扫描引擎 而和主防无关吧 那看来无论是主防强还是扫描强 都可以很好的防范病毒 但是估计主防应对未知病毒的能力要强于扫描了。对吗

jefffire

lmw8023zz 发表于 2014-7-9 15:10
哦 我知道了 也就是说这些都还是要依靠扫描引擎 而和主防无关吧 那看来无论是主防强还是扫描强 都可以很 ...

是的。因为相较特征引擎的代码特征，主防的程序动态特征更接近“本质”，但是主防误报高。

lmw8023zz

jefffire 发表于 2014-7-9 15:07
不完全对。双击扫描，准确说应该叫运行时扫描，是实时监控的一部分，依然是依靠特征引擎的识别，不属于主 ...

也就是说 这两者只是侧重点不同 但是我觉得 能把主防做得和实时扫描的防护效果差不多 很不错了对吧？而且主防有应对未知病毒的能力

lmw8023zz

jefffire 发表于 2014-7-9 15:12
是的。因为相较特征引擎的代码特征，主防的程序动态特征更接近“本质”，但是主防误报高。

感谢大大解答 可惜不能给你加分

jefffire

lmw8023zz 发表于 2014-7-9 15:13
也就是说 这两者只是侧重点不同 但是我觉得 能把主防做得和实时扫描的防护效果差不多 很不错了对吧？而且 ...

主防因为更接近“本质”，所以能发现未知病毒，但是精确度比较差。所谓精确度比较差就是说，误报和漏报比较多。主防为了确保精确度必须做一些取舍，必然会漏报一些病毒，因此不能保证检出所有已经发现的病毒。同时，主防特征的发布周期也比较长，这样在面对突发威胁时快速反应能力就差了。
特征码引擎，虽然发现未知病毒的能力差，但是非常精确。误报可以控制的很好，因此可以检出所有已发现的病毒。同时特征码发布周期相对主防特征要短很多，可以控制突发威胁。

jefffire

lmw8023zz 发表于 2014-7-9 15:14
感谢大大解答 可惜不能给你加分

多学了一点，离真的大大差远了。

linyinlu

jefffire 发表于 2014-7-9 13:45
普通用户遇到毒的几率比黑客入侵大多了。真要是有水平的黑客入侵，防火墙就和豆腐一样，秒破。

我的意思是“稍微有点电脑知识的用户都不会去点击来历不明的网站和文件”，点击了至少还有一个防火墙在那里把关。对于普通用户而言，个人用户计算机的存在价值比之FBI, CIA之类的小太多了，所以，我认为墙的存在是重要的——毕竟黑客的普遍入侵方式除了发送木马让计算机成为“肉鸡”外，还可以通过软件扫描IP和端口，从外部入侵。而普通版的墙基本可以做到这点防护。
当然，对于真正有水平的黑客来说，啥米墙都只是浮云，我也不指望那点薄薄的墙能阻挡“核弹”的袭击。我的计算机本身没啥价值，而且我对于成为“肉鸡”的应对方式却有很多，所以，装个墙，聊胜于无