主动防御？被动防御！

will

实际上我不想写这样一个比较老套的话题，这个话题两年前就开始炒，到今天只要会上网的都知道“主动防御”。

到底什么是主动防御？难道拦HOOK几个函数，拦截几个动作，然后提示你说发现未知病毒就算是“主动防御”？如果你认为这就是主动防御，那么你认识到的“主动”是非常狭隘的。请你先摒弃这个观点，然后往向下看。

现在稍微有点水平的病毒都会针对杀软采取些针对性的行为，而一旦这样的病毒运行起来，那么杀软还占主动吗？

也许你会说，杀软有自我保护，某些杀软甚至还可以保护自己的安装目录下的任何文件不被恶意添加、删除、修改。但这一点恰好说明现在的病毒往往是主动的，而杀软是被动的。

指出一点，病毒终止杀软是任其所能的（只要能终止，它一定都会终止），而杀软，终止病毒进程或者是删除任何未知的病毒衍生物都会向用户询问（包括微点在内）。换句话说，这也就是：杀软是不会自行去终止未知病毒进程的。

从这一点之中，我们就可以看出，现有的所谓“主动防御”，都被动！都是在未知威胁侵入系统时做出的招架和反应。

所以我说现有的“主动防御”观念很狭隘，充其量只能算是“被动防御”！

真正的主动防御是启发式，让未知威胁在执行之前就将其扼杀，而不是威胁开始侵袭时再做出反应。

-----------------------------------------------------
一家之言  不大成熟   欢迎大家板砖…

[ 本帖最后由 yimike 于 2008-1-4 12:17 编辑 ]

无尽藏海

有深度，容我思量一番……
“主动防御”，防御嘛，自然要敌人先行
启发算是主动出击了吧

[ 本帖最后由 无尽藏海 于 2008-1-4 12:25 编辑 ]

fishx

启发是主动进攻

taiw_1144

虽然我是菜鸟，也要说两句了。
启发杀毒技术做得最好的nod32对最新病毒的拦截率是61%，微点呢，恐怕不止这个数吧，当然有些病毒木马是可以关微点，但是比较少了，至少我用微点解决了不少卡巴搞不定的病毒。
如果未入微点病毒库，病毒先运行，触动行为库，微点拦截，这是不是暗合了武侠中的后发制人，先发制于人的道理呢？又如独狐九剑，让敌人先发招，找破绽，然后破之，那么独狐九剑算是主动还是被动呢？主动和被动是相对的吧。
主动防御和启发杀毒技术是对付最新病毒的两大利器，没必要为宣传谁而贬低谁吧！！

[ 本帖最后由 taiw_1144 于 2008-1-4 12:45 编辑 ]

stonejr

原帖由 <i>taiw_1144</i> 于 2008-1-4 12:41 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2444782&ptid=182107" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />虽然我是菜鸟，也要说两句吧。<br />启发杀毒技术做得最好的nod32对最新病毒的拦截率是61%，微点呢，恐怕不止这个数吧，当然有些病毒木马是可以关微点，但是比较少了，至少我用微点解决了不少卡巴搞不定的病毒。<br />如果未 ...

<br />在伞区说nod启发做得最好……

taiw_1144

原帖由 stonejr 于 2008-1-4 12:46 发表
在伞区说nod启发做得最好……

网上有，感兴趣可以去找找吧。
红伞也是我很喜欢的一款杀毒软件，如果不用微点，我会选红伞或费尔。

[ 本帖最后由 taiw_1144 于 2008-1-4 12:55 编辑 ]

无尽藏海

NOD32的启发做得确实很好
但这个第一嘛，谁也不知道是哪个，自己喜欢就行

[ 本帖最后由 无尽藏海 于 2008-1-4 12:57 编辑 ]

hanghang702

各有各的说法
各有各的特点，没有一件杀毒是完美的
自己想用什么就用什么
只要自己觉得满意就行

shxzj

原帖由 stonejr 于 2008-1-4 12:46 发表
在伞区说nod启发做得最好……

难道在哪个区就一定要说哪个好 ，？

will

我整篇文章从来没有任何贬低现有“主动防御”的意思~
我更没有说行为监控和启发式孰好孰坏

我只是想指出现有的“主动防御”观念很狭隘