国内杀毒就真的走不了收费吗？

方鸿渐

BHHZDQL 发表于 2016-12-10 13:36
没机会发展？难道非要发展传统特征码引擎才叫发展嘛

国内的安全软件就算OEM了，绝大多数时候 ...

另外，国外的引擎数字也逆向了好多年了，问题是根本不可能逆向出结果的，所以数字才另辟蹊径，从系统修复、漏洞这种非常规角度入手的。实话实话，抛开OEM引擎，国内的杀软还真没一个能拿的上台面的。

BHHZDQL

方鸿渐 发表于 2016-12-10 14:03
要是不考虑误报，随便一个启发引擎查杀率都能上90%好不好，QVM到底好不好，看看数字是怎么退出AVTEST的不 ...

然而QVM的原理是查出“不正常的文件”

而AVTEST的误报测试是故意制造出不正常的文件去进行误报测试。

总之QVM绝对不是启发引擎、也不是特征引擎、而且效果不错可以很好的压制木马作者的生存链，就很好了。

要说误报，即便红伞这样的，对易语言程序的误报都比QVM高

所以QVM真的不算误报高的引擎了，至少比费尔好点

BHHZDQL

方鸿渐 发表于 2016-12-10 14:04
另外，国外的引擎数字也逆向了好多年了，问题是根本不可能逆向出结果的，所以数字才另辟蹊径，从系统修复 ...

如果觉得特征引擎比写一个稳定高效的HIPS、做出兼容性好强度足够高的沙箱、硬件虚拟化、系统急救箱这类都复杂，我觉得未免太高看特征引擎了

特征引擎原理很简单，无非就是拿字节集去文件中查、最多加上脱壳、模糊匹配，难度真的不算高、原理绝对比HIPS、沙箱、文件过滤驱动简单多了。
但是特征引擎难在维护上。比如我能做一个很好的特征引擎，但是我没有足够的精力去维护库，那就然并卵了。

OEM引擎真的就是个吉祥物，360我记得是默认不开的，金山腾讯好像也就是默认不开的

你说国内除了OEM就拿不出手了，你让FS,GData这种OEM引擎是主力，主防有可能也是买的、自己引擎露头概率低的一塌糊涂的软件情何以堪

方鸿渐

BHHZDQL 发表于 2016-12-10 14:06
然而QVM的原理是查出“不正常的文件”

而AVTEST的误报测试是故意制造出不正常的文件去进行误报 ...

数字的误报控制主要是依赖其庞大的装机量，就引擎本身来说，QVM到底好不好，至少目前还没有一家厂商，不管国内的还是国外的，去OEM数字的QVM引擎，这一点就很说明问题了。况且，现在国内的很多杀毒软件对云的依赖是相当大的，这是一种比较取巧的办法，只能说有利有弊。你刚说数字的OEM引擎只是个摆设，其实也不见得，管家现在也默认不安装OEM引擎，但一旦断网呢？没有高启发，有没有强劲的本地引擎，连主防都不完善，那岂不是神坑？另外，杀毒软件行业发展不发展的，这个也看国家吧，英国没高铁也没什么不方便，中国没高铁，整个交通效率得下降不知道多少。同理，加拿大造不造原子弹，照样太平，毕竟有美国这么个邻居，但中国要没原子弹，就别想着能过太平日子了，这个不能一概而论。

方鸿渐

BHHZDQL 发表于 2016-12-10 14:09
如果觉得特征引擎比写一个稳定高效的HIPS、做出兼容性好强度足够高的沙箱、硬件虚拟化、系统急救箱 ...

这个不是简单不简单的问题，如果你能写出一个完善的HIPS，像COMODO那样，那肯定好。但你提供不了优质的主防，又不屑于一般的特征引擎，这就是眼高手低了。况且，脱壳这一块儿，貌似至今还是数字的软肋。OEM引擎更多提供的是查毒服务，真正杀毒做得好的，还是老牌的几个杀毒软件，可惜他们的查毒现在有点跟不上形势，各有千秋吧。

BHHZDQL

方鸿渐 发表于 2016-12-10 14:12
数字的误报控制主要是依赖其庞大的装机量，就引擎本身来说，QVM到底好不好，至少目前还没有一家厂商，不 ...

人家加拿大没有原子弹，可人家是英联邦国家。韩国没有原子弹固然也太平，但是还得要美国驻军嘛

去OEM数字的QVM引擎？我记得除了BD和红伞被OEM的比较多以外，几乎没什么引擎经常被OEM的把，对了，联想OEM麦咖啡，曾经的可牛OEM卡巴，那么是不是说明其他的引擎都没什么卵用呢？


国内的软件对云依赖大？你让熊猫情何以堪、而且没有比现在的模式更好的模式了、因为用户可能感觉不到杀毒软件被关掉了、但是肯定能感觉到上不了网了、电脑卡慢了。

现在这种模式是互联网企业经过多重考虑得出的结果

360要做本地主防一点也不难，内核层的东西都有了，无非就是些逻辑和规则的东西

差不多就是现在完成了98%，本地主防就是剩下的2%而已

BHHZDQL

方鸿渐 发表于 2016-12-10 14:15
这个不是简单不简单的问题，如果你能写出一个完善的HIPS，像COMODO那样，那肯定好。但你提供不了优质的主 ...

难道COMODO的驱动层比360好很多嘛？是指强度呢还是兼容性呢

难道COMODO的驱动相对于360是碾压？COMODO能防99%而360只能防20%？


到底什么才叫优质？是指易用性、还是防御全面程度、还是说稳定性、以及兼容性还是指自定义规则呢？


真的要搞出自定义规则来，多少用户会去用，像COMODO那样搞出20个分组，我想绝大多数情况都被骂死了好吧


举个栗子：MD（malware Defender）就是一款纯手动的HIPS，你觉得360的驱动层会不如MD?，驱动层会不能实现完整的HIPS功能？

然而360为了最大限度的傻瓜化和易用性，为了照顾国内绝大多数压根没多少电脑知识的用户，才搞出现在的模式，不能自定义。

遇到360的弹窗，直接关掉就行了，我不相信COMODO可以这样干


我觉得现在做的还不够，以后应该把这些弹窗以更浅显易懂的方式表现出来，如同现在的”这是一个网购木马、会盗取钱财“，”这是一个勒索病毒，会勒索钱财“一样，改成”这是一个流氓软件，会篡改主页“，”这是一个恶意推广软件，会使得系统变卡变慢）

方鸿渐

BHHZDQL 发表于 2016-12-10 14:19
人家加拿大没有原子弹，可人家是英联邦国家。韩国没有原子弹固然也太平，但是还得要美国驻军嘛

...

主防不是你想象的那么简单，那么万能，真这么好的话，大家都上了，还会把机会留给一个新兴的企业？云也好、主防也好，都不可能完全取代传统查杀技术。况且，OEM引擎也是要花钱的，你把钱投入到OEM上，研发的投入自然就少了，至于OEM一年要花多少钱，你可以在网上查一查。想拿OEM逆向去发展杀毒技术，这种可能性可以不用考虑了。

方鸿渐

BHHZDQL 发表于 2016-12-10 14:21
难道COMODO的驱动层比360好很多嘛？是指强度呢还是兼容性呢

难道COMODO的驱动相对于360是碾压 ...

要照你这么说，瑞星在06年的时候就提出了系统加固，我当时开过高级模式，基本上随便一个操作就有弹窗，问你是不是同意，现在微点、火绒的主防大部分继承了当年的瑞星。然而，有什么用？这三个现在有哪一个很厉害的？

BHHZDQL

方鸿渐 发表于 2016-12-10 14:28
主防不是你想象的那么简单，那么万能，真这么好的话，大家都上了，还会把机会留给一个新兴的企业？云也好 ...

搜索引擎不是很复杂，为什么还要留给谷歌？智能手机不是很复杂，为什么NOKIA迟迟不去做，非要留给苹果？
浏览器原理不难，为什么IE很长时间都被Chrome甩在后面？


很多东西其实就是很简单，可是传统厂商不能如此开脑洞的去思考问题，于是你懂的