谈谈火绒，谈谈到底怎么样才是一款好安软

幽冥の龙

首先，这里不是宣传火绒，不是说火绒有多好，只是借火绒抛砖引玉，想大家一起思考讨论一下，到底怎样才是款好安软


这是火绒官方的介绍，没有什么头衔，也没什么听上去很高大上的 “新名词”
其中有一句值得在意的：针对国内当前安全形势

国内当前安全形式是怎么样的？
1、大规模破坏性病毒木马几乎不存在了，应该归功于“云”的高速响应吧
2、不以破坏为目的恶意程序小规模传播，比如邮箱、Q群 的远控、粘虫，以盗号、恶作剧、敲竹杠为主……
3、各种流氓软件肆虐，改主页，后台下载，静默安装，卸载不净，死灰复燃，让安软不知是该杀还是不该杀
4、病毒没中，反中杀毒…… 多因于各种流氓推广行为

那么火绒目前做到了吗？
个人觉得暂时没有
对于第一点，火绒目前没有云，研发团队人数也较少，所以响应速度肯定赶不上各大主流杀软，也就直接造成了火绒经常扫描 MISS……
那么当遇到破坏性病毒木马怎么办？那就靠主防，木前来看，火绒对于这种高危行为的破坏性病毒木马拦截还是蛮给力的，即使扫描不出也不用担心。

对于第二点，我觉得火绒目前做的很不好，远控，粘虫，敲竹杠 基本都是靠入库，主防没反应，而以火绒入库速度扫描经常被过，也就是说如果有谁处于经常遇到这些东西的地方，单奔火绒悲剧概率很大。但火绒也不是完全不能防，扫描被过后，除了主防以外，还有自定义规则、系统防护、联网监控。
自定义不大众就先不说了，系统防护如果开到严格，对于敲竹杠、恶作剧那些会修改系统敏感位置的一些行为还是会有反应的，只是需要用户一些自己的判断力（因为很多时候火绒推荐操作是允许……）
而联网监控则是可以秒杀任何盗号、远控…… 很简单，陌生程序一律禁止联网，数据传不出去自然也就不存在被盗了，对于这个，火绒对于任何程序的联网推荐操作都是阻止，所以不用怕误点，自己不信任的程序联网就拒绝，这点判断力我想 只要玩电脑的人都应该有的吧。

对于第3点，火绒还是不错的，自带防捆绑+自定义规则+联网控制简直无敌，基本不存在中招的可能。查杀不给力，防御上针对流氓来说个人觉得火绒是目前国内最好的。
4同上

那么究竟怎么样才算一个好杀软呢？
有人说查杀高就好，目前大部分的杀软也确实是这样做的。引擎全开+云联动，查杀确实很高，高到各大都看不出什么区别了……既然都差不多那其实查杀率并不是用户应该首要考虑的问题了，而应该考虑的是查杀高带来的另一个问题“误报”
卡饭区有着大量的扫描党，而且很多人对别人上传的样本所持的态度是，扫描报了，好，不报？不给力啊！  至于样本到底是什么，根本不关心……
由于我不会编程不会逆向，所以分析行为什么的我也不懂，但是因为我是带着这样的疑问去扫描的，没当扫描不出的时候，我就会丢到火眼、哈勃上去在线分析，同时自己双击 结合火绒剑的分析看行为……
当遇到火眼、哈勃 没有跑出危险行为的时候，同时我自己虚拟机双击了也没发现哪里不对的时候…… 而各大安全扫描又报的时候……  我不得不问一句：真的有问题？不是误报？
很遗憾样本区追根究底的人太少，所以这个问题终究也是没有答案的。
那么对于各大安软 是否有存在“靠弹窗恐吓用户”的行为呢？那得取决于那些样本到底是不是误报了……期待有人可以解答

那怎么样才算一个好杀软呢？
有人说主防强就好，主防的优势就是不怕变种，再怎么免杀也没用，扫不出，但只要运行就干掉。目前个别软件是这样做的，而说到防御不得不提一下费尔，防御是当真强悍，说它铜墙铁壁不为过，人称“万物杀”……
反正样本区里几乎没有见过能过费尔的……  监控+动态防御+云鉴定+智能黑盒， 弹一次窗就给你清的干干净净回滚可以连母体一起清了 可是这依然带来相同的问题“误报”……我虚拟机有装费尔，还是终身的，偶尔下几个样本玩玩，但是我实机没有用，因为我真的不知道当费尔报警一个我要用的游戏或软件时……我到底该不该信任……所以说防御太强也不好……

目前的防御国内个人认为还是微点最好的，很强也比较少误报，很好的平衡。查杀没有最好，各家全开的情况下都差不多……


那么怎样算是个好杀软？
个人认为
1、能快速响应的云查杀（本地不需要太大的库，因为还有主防，保持轻巧）
2、能精确定位及回滚的主防，并且能与云联动减少误报
3、能智能拦截流氓行为
4、高度自定义（包括自定义规则以及自定义模块，比如各种附加扩展功能，用户自己决定装不装，满足各类用户需求）
5、自身没有流氓行为，没有多余广告和弹窗

或许太理想化了，但也是我谈火绒的原因，至少我觉得火绒正朝着这个目标在努力，虽然距离还比较远……

我是UD

毛豆貌似比较符合楼主的设想。。。不过。。。云不是国内的

chenxiaojunceo

支持火绒~

ydgaga

火绒现在的工作情况 很难有明显的提升，火绒需要钱 需要大力投入

396805331

个人觉得就是一点，在保证足够的查杀/防御能力下，对其免杀需要很高成本。

如果随便拿个工具点几下，旧样本就变新样本，杀毒软件无法识别。那纵使有云又的响应速度又能如何呢，几十分钟足够完成一次诈骗。
我在之前一个帖子里。

行为防护、文件防护过分强调哪一个都不好。
行为防御免杀成本高，一旦进攻行为在某一点被拦截，那整个进攻路径可能都要失效，免杀不是用免杀工具改改就完活的，但是规则的整理维护一样需要高成本，毕竟你要考虑误拦截的情况不是。
但是行为防护无论怎么做都很难保证在病毒的恶意行为全部拦截，但是文件防护，在病毒进入的电脑的时候就可以做到清除。
现在大家的作法基本都是相互补充。

行为防护、文件防护只用某一种或者过分强调某一种都不会有好的效果，各有优缺点互为补充。

飞翔病毒

我认为360做得很好了，把唯一特别盈利的手机助手，软件管家，人工服务都能自定义安装，已经算是楼主说的高度自定义了吧，手机助手软件管家都是重要的应用APP分发平台，利润巨大，人工服务里的收费专家也是盈利项目很重的，再说了360以前经常推广，现在基本上真没有了，现在国内比较流氓的应该是金山腾讯了，后台静默安装手机助手应用宝软件管家，所以金山腾讯才是真流氓，再说了，免费软件就算有点推广又能如何，360的云在国内非常强大，主防真心不弱，加上QVM我觉得已经很给力，当然我相信我不能说服很多对360有偏见的人，不过360作为国产软件，尤其现在的国家安全，国家安全形势，我觉得除了系统以外，尽量使用国产才是硬道理，国外安软不见得比国内的好

Qutianshang

飞翔病毒 发表于 2014-11-29 20:34
我认为360做得很好了，把唯一特别盈利的手机助手，软件管家，人工服务都能自定义安装，已经算是楼主说的高 ...

数字确实是不错的，各种工具也挺好，唯一的不足是太臃肿了。一启动就是占去大块内存，让我们低配机怎么运行

337924925

这货就是一主防。。。要查杀不如加个360的云引擎或者bd的本地引擎

觉贤

还是比毛豆差很多

s22962000

Qutianshang 发表于 2014-11-29 21:04
数字确实是不错的，各种工具也挺好，唯一的不足是太臃肿了。一启动就是占去大块内存，让我们低配机怎么运 ...

低配機 不要用360國內版  用360IS國際版試試
流暢的不可思議