主动防御？被动防御！

fishx

原帖由 yimike 于 2008-1-4 13:47 发表
我整篇文章从来没有任何贬低现有“主动防御”的意思~
我更没有说行为监控和启发式孰好孰坏

我只是想指出现有的“主动防御”观念很狭隘

而且不懂的电脑的人用起来基本没用,因为他们都会按通过

爱·妖姬

指出一点，病毒终止杀软是任其所能的（只要能终止，它一定都会终止），而杀软，终止病毒进程或者是删除任何未知的病毒衍生物都会向用户询问（包括微点在内）。换句话说，这也就是：杀软是不会自行去终止未知病毒进程的。

其实微点的询问等于没询问，询问只是例行公事，只是防止误报和保障知情权而已！

stonejr

原帖由 <i>shxzj</i> 于 2008-1-4 12:59 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=2444944&ptid=182107" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br /><br />难道在哪个区就一定要说哪个好 ，？

<br />理解错误，我是说用红伞的都知道伞的启发检出率比nod高。

爱·妖姬

针对有特征的病毒，启发就是主动，主动防御是被动

针对没有特征的病毒，主动防御就是主动，启发是被动

针对病毒作者或全新手法和特征的病毒，两种方法都是被动

Nblock

读完下面的介绍就会知道 为什么会出现主动防御？ 为什么需要主动防御？


什么是特征值扫描？

特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。


特征值扫描技术是否成为传统杀毒软件难以克服的重大缺陷？

    杀毒软件以特征值扫描技术作为理论基础，其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。杀毒软件厂商只有发现并捕获到新病毒后，才有可能从病毒体中提取其特征值。这种特征值扫描技术是在新病毒出现后，以滞后的单个病毒人工捕获、滞后的人工分析、滞后的版本升级为防范机制，要应对每小时数种、数十种网络新病毒的威胁，显然力不从心，难以承担网络病毒防御的重任。杀毒软件不尽快改变始终被病毒牵着鼻子走的现状，将使整个反病毒产业深陷“道高一尺,魔高一丈”的恶性循环。

    当前杀毒软件厂商依然沿用“亡羊补牢”的事后“补丁”式技术路线，期望通过频繁的版本升级克服其技术的重大缺陷——杀毒软件对新病毒的防范始终滞后于病毒出现。以国外某杀毒厂商2004年共截获28000多个病毒为例：平均每小时约有3.2个新病毒出现，从捕获病毒，到分析病毒样本，最后完成杀毒软件升级之前最快速度为4小时（数据来自国外某著名杀毒厂商），而在这4小时之内又约13个新病毒出现。这种滞后杀毒技术固有的重大缺陷，导致用户不能对网络新病毒及时防御，被动处在一个又一个“时间差”的危险之中。即从一种新病毒出现，到厂商人工捕获病毒，再到分析病毒样本，最后完成杀毒软件升级之前，这一段时间内，用户对该病毒没有防范能力，处在“不设防”状态。
   
     因此，特征值扫描技术已经成为传统杀毒软件难以克服的重大缺陷。


当前病毒的发展趋势

    回顾早期出现的病毒，其具有传播速度慢、数量／种类少、危害影响范围较小等特点，在这种环境下，杀毒软件依特征值扫描技术能够有效地阻止病毒进一步传播。

    伴随网络在全球的飞速应用，利用网络技术、以网络为载体频频爆发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、qq病毒、msn病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性爆发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点，使杀毒软件面临严峻挑战。

    面对当前病毒的发展趋势，我们不禁要问：传统杀毒软件还能有效地阻止病毒的传播和破坏吗？

※ ※ ※ 本文纯属【soft_killer】个人意见，与【 微点交流论坛 】立场无关※ ※ ※

什么是主动防御？

以“程序行为自主分析判定法”为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

※ ※ ※ 本文纯属【hero】个人意见，与【 微点交流论坛 】立场无关※ ※ ※

时间和效率我们要追求什么？

每次喝点酒就喜欢写点冠冕堂皇的东西，满足一下自己的虚荣心，这次也不例外。
说回来又白吃了一顿饭，日子过得也到滋润，隔三岔五就能白吃白喝，想不到帮俺同学的同学杀杀毒也能够骗到饭吃，真不错。
同学的同学貌似很强，装了卡巴和某星，感觉是把某个杀软打半残了，本本系统还是跑得挺快就是有几个auto。用Wsyscheck看了下大概就是auto了所有盘符吧，既然样本找到了都懒得去杀进程、清理启动项这些，毕竟人家带本本过来只有电池，要是半截没电可就o了。那个会auto一下的东东不过是病毒的母体程序，想像中虽然主体程序可能和母体一样，但是目录是不同的，所以运行这个auto后病毒以后会作些什么全部就出来了，那样岂不省事，那同学的同学看我只看不动可能不明所以然，问我病毒是不是很厉害，俺只能够回答他再他本本上面运行一下这样本就知道了，看着那张哭笑不得的脸就想发笑，连这种螳螂捕蝉黄雀在后的道理都不懂。为了给他的本本节省好多硬盘空间和系统资源，让他半残的卡巴和某星全残后安装了微点，重启杀了几个后运行那个会auto的，新的老的一起杀了，运行病毒的时候看了那小子一眼，好像看到人家流汗了，哈哈。
前几天看电视搞到一句“防范胜于补救”感觉不错，就好比两国打仗一样，防范可以借助天时地利，以不变应万变，以逸待劳，所以占用的系统资源可以很少很少，并且有很好的效率，如果防范的恰到好处，以后根本不用把时间用在杀毒上，因为不会中毒，何谈杀毒？补救就差的远了，某些人总喜欢用杀毒来衡量一个杀毒软件的能力，这样很有意义么？以目前的状况看清除病毒越来越难，今天又见到了runtime3，发冷的毒……假使你特征码所扫到的病毒都能够清除，只是假使，扫描是不是需要一定的时间，清理是不是需要一定的时间，如果提示重启后删除是不是还得要放下手头的工作重启一下计算机，是不是对工作、娱乐很不方便，并且在扫描的过程中计算机是不是很卡，这些又说明了什么？不做回答，应该都是一些弱智的问题。杀毒也只不过是一种补救的措施，既然是用措施这两个字来进程表达的，那么也就是被动的，回忆小说通常被动和任人宰割联系很密切，所以把杀毒这两个字形象化一些就是“在被动的情况下被病毒感染然后又被动的去感染病毒”不难想像系统经过两次被动后应该很被动了，然而他带来的效率确等于0，这就好比作用力和反作用力，理想环境下会等于0，丢失的却是时间，如果碰到了清除不掉的时间还会无限大，它的时间和效率构成不了比例，所以系统实是在亏损的情况下运行的，言尽于此补习物理去了。

  防范胜于补救 与其天天想着如何灭火 不如考虑如何避免火灾, 主动一些才可以未卜先知，主动一些才可以反客为主。

主动防御技术是反病毒的革命 虽说没有完美 主动防御需要不断完善增强 但如果没有反客为主的意识和本领 我们普通用户只能眼睁睁地任病毒木马们宰割 成为小黑们的肉鸡~ 事后杀毒格盘没什么用 第一时间能抵挡威胁保护好帐号就是硬道理！

wwtd

主动进攻容易误伤啊,有点交互提供给有经验的用户可能会更好点

Nblock

传统杀软一直在被病毒牵着鼻子走 处处被动挨打..   主动的一方是病毒作者  看看样本区的最新小毒和扫毒软件的成绩表现就知道了

主动防御反客为主的意识和本领不断发展增强 我相信这样的发展会让黑白2道双方继续进行魔兽争霸！

quyuji

所谓的主动防御如果不高度智能化只能是少数人的玩物，绝对不会大范围流行的

绝大多数人是没有兴趣去学什么排除，了解什么进程之类的

周杰伦

这贴不适合发到红伞区吧

fishx

原帖由 quyuji 于 2008-1-4 15:34 发表
所谓的主动防御如果不高度智能化只能是少数人的玩物，绝对不会大范围流行的

绝大多数人是没有兴趣去学什么排除，了解什么进程之类的

说的对,谁有空整天看是否该通过哪些操作啊