【吐槽向】盘点那些被玩坏的安软相关的命题

白露为霜

By root1605

前言

       之前在国内区还有技术类的讨论，但现在似乎“xx和xx哪个更厉害”，“xx是流氓软件”这样的论题占了绝大部分，即使有一些“技术讨论”，也是“怎样配置HIPS来防盗号？”，“网页防护技术有哪些？入库杀？注入？”这样不知所云的问题。在本文中，收集了一些经常被提到的说法和问题，尽量做一些相对合理的解释。
       “闻道有先后，术业有专攻”，这里不会过多涉及具体的计算机相关知识，而只是分析一下误区，有些问题，不是几句“科普”就能说清楚的（试试，爱因斯坦的广义相对论？）。在读这篇文章之前，推荐先看看


安软入门指南（四）：常见的误解 http://bbs.kafan.cn/thread-2097560-1-1.html
这里也有一些关于安全软件认识的误区，但侧重点不同。另外还有一些相关的科普：

安软入门指南（一）：什么是Hook&“加驱”	http://bbs.kafan.cn/thread-2087636-1-1.html
安软入门指南（二）：UAC&DLL注入	http://bbs.kafan.cn/thread-2092223-1-1.html
安软入门指南（三）：Windows的“绝对领域”	http://bbs.kafan.cn/thread-2097057-1-1.html

       “加驱”，“Hook”等，是一些经常被“民科化”的知识，随时把“加驱”，“HIPS”，“权限”，“内核”挂在嘴边而不知道这些术语是什么意思是多么滑稽！
        杨绛曾经说：“你的问题主要在于读书太少而想得太多。”思考是必要的，但也要讲基础。不能奢求一个普通小学生只通过思考掌握微积分吧？也不能指望一个从没见过计算机的人说明“P = NP”吧？孔子云：“思而不学则殆”，习惯于以单一模型思考问题。把复杂的人和事套在这个模型中，就得出结论，通常还不允许别人质疑，这不是民科是什么？这里“读书”是两方面的，一方面，一个人读的书越多，视野就可能会越广，能够从多种角度分析问题，而不至于有极左的思想，忽略客观事物的存在；另一方面，参与讨论和思考有些论题需要基础知识的储备，有人在讨论“怎样绕过Windows 10的内核模式代码强制签名策略”，而你不知道“内核模式”，“签名”这些词是什么意思，并且这些词不是独立的简单的名词，其背后有一个庞大的知识体系，参与这样的讨论有意义吗？
        当然了，对于有些概念，在没有精力和兴趣学习时，可以类比地，抽象地理解，但不一定准确，要是借助比喻的对象再推出其他结论，很可能会陷入一个自编自导的世界。比如，安全软件有保护系统安全的作用，可以把安全软件当做自己的警卫，但关键是，即使你需要来一个500人的卫队来保证安全，但你的系统需要500个安全软件吗？
        总之，少一点“脑补”，多一点学习和思考没有坏处。大多数的谣言，不也是源于知识的匮乏以及不当的思维习惯吗？
        P.S.没有点名批评谁，只针对各种问题。

吐槽开始

1.“xx和xx哪个好？”
       “卡巴和诺顿哪个好？”
     “360和金山哪个好？”
     “英国人和法国人哪个好？”
       这些问题难以回答，因为各个安全软件都有自己的优点和缺点，有时候还来源于用户的直观感受。“好”指的是什么？都好，还是某些方面好，那么既然是某些方面好，为什么直接说xx比xx好？即使各大机构的测试，也从来没有xx比xx好的结论吧？举个例子：卡巴Free和火绒哪个好？首先，从价格上来看，都免费，都没有扰人的广告弹窗，性能上呢，没有找到专业的测试数据，感觉哪个对系统影响小就好，在静态扫描中，卡巴好一点……但这样比较是没有依据的，谁也可以反驳。在这样的讨论中，用火绒的说火绒好，用卡巴的说卡巴好，说直白一点，都是废话。任何被广泛运用的东西，怎么会没有优点，xx和xx 哪个好，一棒子打死了客观的比较，除非有些安全软件实在很差（不点名），否则，xx比xx好，只是有些人个人喜欢，自然就“好”了。
       类似的，还有“xx和xx哪个防御更强”这种问题。“防御”是个不太准确的名词，指的是静态扫描？所谓的“主动防御”？病毒清除技术？网页防护技术？问问题之前，如果连自己都不知道问的是什么，怎么会得到合适的结果？

2.哪个安软占内存较小？
        首先，明确下大多数人看实际物理内存占用方法不准确，不要只看任务管理器的占用数据，那个不准确。如果你懂Windows API，可以试试调用CreateRemoteThread函数，在非自身的进程中创建一个远程线程，用这个进程往内存里加载大量数据，这占用算谁的？有的安全软件从任务管理器看占用300MB，有的只有2MB，都是同类型的软件，实现类似的功能，怎么会有这么大差距！安软不是“Hello World”小程序。
        在Windows XP时代，清理内存垃圾、整理磁盘碎片、桌面右键刷新是一种“仪式”。特别是第一个，不少人一旦内存使用量过了60%就没有安全感，就要赶紧运行“xx卫士”，“xx管家”来“加速”一下。占内存大的软件不一定影响直接拖慢系统（当然，把物理内存占完了，使用虚拟内存会有很大影响），占内存小的不一定就很快，一个几KB的vbs脚本照样能占用大量的运算资源。通俗简单地说，内存越大，操作系统就会把更多的东西放到内存里，使得操作系统的速度更快。假如你之前有50㎡的房子，刚好挤挤够用，换了500㎡的房子，你也禁止家人使用大于50㎡的地方？现在的操作系统内存管理不断的完善，Windows Vista开始Windows就会自动管理内存预加载和暂留，以保证部分大应用启动时可以更快；而此部分内存也可以随时抛弃，不要按照XP时代的想法，尽可能地让内存腾空以便让新程序使用。有条件做两个实验，开几个chrome的进程（这是内存占用大户），你就能发现ntoskrnl把内存让出来给chrome了。安软占多少内存，只要不影响正常使用，都可以理解，但如果它占的太多，比如2GB，可能是出现内存泄露了，请联系客服。总之，如果不了解Windows的内存管理机制，相当然的纠结于一些数据没太大意思。

3.xx是正版吗？   
        正版即“正确地使用版权”。而版权是属于版权所有人的，版权所有人提出使用条件，使用者只要符合条件，就算是正确地使用，就不违反版权法。这里不会多普及法律知识，但是，免费用着本该收费的产品，多半是盗版。
        不要以为只有软件弹出“您是盗版软件的受害者”才表明你在使用盗版。明确的说，按照论坛的资源使用FSCS。SEP就是盗版，无限制试用卡巴斯基也是盗版，盗版不一定人家会追责，但不追责不代表不是盗版。拿SEP来说，一个企业级产品，终端防护软件，没有提供公开下载，只有购买产品后有权限下载，使用泄露出来的版本就不是正版，虽然它没有在安装过程中要激活码，但哪条法律规定了不要激活码就随便用？使用盗版，这里不会“谴责”，但非要拿自己的盗版当正版到处炫耀十分可笑。要不，去问问铁壳的客服妹子，说用了泄露的SEP算正版吗？

4.xx和xx兼容吗？
      “360和卡巴斯基兼容吗？”
      “不兼容。”
      “胡说，你看我把他们都安装在一起了，有图有真相，快看，怎么不兼容了？”
       “……无语中”
       据说卡巴斯基和BD安装会有蓝屏，结果就有图了，手拉手，没蓝屏！于是，他们是兼容的。

       安装在一起了就叫兼容了？不蓝屏就叫兼容了？这是什么逻辑？能安装在一起，这个没什么惊奇的。蓝屏是系统崩溃或者受保护的目标被修改引发的，系统故障不一定蓝屏，程序故障不一定报错，也可能吞掉。但是，安全不兼容也可以体现在：使对方监控失效，让某个系统服务不正常，一些DLL中的函数失效无法调用，拖慢系统速度，在特定的时候导致蓝屏，导致内存泄露等等。这些都可能不会蓝屏，不会崩溃，不会导致明显的性能问题（配置足够好）。
       再说了，有很多人测试软件与系统的兼容性，软件与软件的兼容性，系统与硬件的兼容性……如果Windows说，我在这台电脑上可以安装，不会让机器爆炸，其他我不做保证，你敢用吗？
       要多个安软，你最好清楚你的目的是什么，如果只是图个心理上的“有n个警卫了”这种安全感，看起来很有道理，也很没道理，你把客观世界的模型套到计算机的世界了，说白了是在脑补一些莫名其妙的东西。如果你坚持用各种卫士管家补漏洞清内存扫垃圾，最好就用它的全家桶，明确的说，不兼容！

5.xx病毒爆发了，好可怕，xx率先查杀
        如今生产安全资讯的成本越来越低了，拿个很普通的病毒就说严重爆发，并且“率先查杀”。比如一些广告程序，盗号木马，本身十分简单，常见的类型，并且各种安软都能检测到，然后拿一篇文章，全篇代码分析，时不时拿出一些汇编，C的代码，“看，好高级，原来关键点就是这个”。是自欺欺 人，还是愚弄大众？
        在有些高危病毒爆发时，往往不会只有一家厂商做出响应，要清楚“率先查杀”是广告词，比如17年的勒索病毒爆发，真的是某厂率先了？
对于普通用户，做好关键数据的备份，养成良好习惯才是有效的。别害怕一个简单的玩笑程序，广告程序？

6.我不用杀软，x年都没中毒了。
        “安软不能100%阻止威胁，安软无用。”
        “高手不用安软。”
        “Windows不安全，Linux安全，不需要安软。”
        你怎么知道没中毒？难道只有机器卡的动不了，桌面上一大堆乱七八糟的图标，系统无法启动，数据全部丢失，系统蓝屏，机箱爆炸才叫中毒吗？当发生某个系统API被挂钩，某项系统服务被替换，加载一个恶意驱动程序时，作为普通用户的你，如何能发现？
        对于喝醉了的人来说，他会说自己没醉。中了毒，可能“反应剧烈”，也可能风平浪静。像很久以前的熊猫烧香，的确人人都知道中毒了，但对于一个Rootkit，它会给你留下痕迹吗？除非是有些发烧友为了炫技，或者是反人类，反社会的人，无目的的破坏是没意义的。一般，病毒有它的特定目的，一个用来窃取商业机密的病毒，它并不需要考虑怎样让系统崩溃掉。一个硬盘炸弹，不需要把桌面搞乱，一个FakeAV，不需要让CPU占用率达到100%。
       不安装安全软件，也可能你就只是中了一些比较“安静的”病毒罢了。要秘密盗取商业秘密的木马，怎么能够弄出大动静来暴露意图呢？别老想着现在的病毒就是以前的CIH，熊猫烧香这行习惯搞大动作的病毒。
        安软不能100%阻止威胁，但它能尽量减少不必要的损失。鼓吹安软无用论，不能代表你是“高手”，反正微软也不能把100%的漏洞都修复了，还不如一个漏洞都别修复吗？
        安软是帮助你实时保证系统安全的，的确有些“高手”可以不借助安软，但是打开计算机首先就手动检测半天，就是“高手”？借助合理的工具，避免不必要的麻烦，这就是“非高手”了？
        至于说Linux很安全的人，首先得确认，到底用过Linux没有。Linux有诸多发行版，单单一个内核，没法说它安全不安全，虽然在它上面没有太多安全软件，是因为个人用户远小于Windows的，病毒数量少，这不代表它就安全得连个病毒都写不出来。

6.恶意软件就是流氓软件
        曾经在国外区就有过这个争论，恶意软件指什么。通常来讲，在各厂商的定义里，恶意软件就是各种有威胁的程序的总称，比如广告软件，玩笑程序等。

7.HIPS，规则，权限，内核等被滥用的名词
        “哪位大神能简单的说一下怎样编写规则防注入？”
        “UAC就是一垃圾，Windows的权限机制很混乱”
        “怎样编写规则阻止加驱动”
        “主流的网页防护技术是什么”
         这些类似的问题，不是一句话就能解释清楚的，也需要一定知识积累才能理解。
问几个问题，什么叫加驱，什么是注入，什么是UAC，你所说的权限是什么意思，操作系统内核指哪部分……
         不要以为问一些看似很高大上的问题就能抬高自己的水平。真的感兴趣，推荐Windows Via C++ ，Windows Internals之类的书籍（零基础免谈）。

8.xx安软可以深入内核
        不止一次见过这种让人云里雾里的结论。
首先，你说的内核是什么？指的是运行在内核模式的所有组件？Windows（微）内核？还是其他的什么？
深入内核，又怎么理解？
        一个问题，根本不知道在说什么。要说深入内核是加载驱动，没有哪个安软不加载驱动的。即使使用硬件虚拟化技术等，这与深入内核有什么直接联系吗？

9.现在都没啥病毒了
        一无数据，二无例子，为什么没啥病毒了？

• 这个问题，应该转化为，为什么没有大规模病毒爆发的行为？
• 你不关注，不代表没有。
• 病毒只是一种威胁，还有钓鱼网站，数据泄露，DDos攻击等。威胁多元化。
• 十多年之前，安软普及率没有现在高。
• 系统的安全性进一步提升。但病毒的技术手段也越来越高。
  

       根据卡巴SL的数据，威胁数据基本没有大幅度下降过。总之，数量上没有减少，但很多病毒的隐蔽性，导致了错觉。

10.怕什么，重装系统什么都解决了。
      这种建议很不负责。不是所有人的电脑都只有一个游戏，浏览器，Office。比如，有些开发环境配置很麻烦……重装耗费大量时间，在有些人体验Linux时，也是动不动就重装解决问题。
      但是，有些病毒，不能靠简单的重装解决问题，比如之前的鬼影病毒。
而且，感染病毒并不只是意味着系统被破坏，你的数据不是靠重装挽救的，比如各种勒索。
所以，平时安装个安软，比不停地重装有效得多。

11.xx是重武器，xx轻武器
        怎么判断重武器，轻武器？
        大多数人这样想：

• 看安装包大小，几百K的安装包就是轻武器。
• 看UI，看起来功能少，颜色比较淡就是轻武器。
• 看内存管理器显示的各种占用。
• 此外，与卫士管家兼不兼容，卡不卡系统，等等。
  

        当然，这个概念没有明确定义，怎么说都行，但大家平常说的重武器不一定卡系统，轻武器不一定对性能影响小，轻重很大程度取决于自我感觉没有统一标准。
        经常被认为是重武器的，卡巴斯基，诺顿，BitDefender等，都是看起来各种防护齐全的。总之，选择安全软件的时候，不要纠结于这个伪概念。

12.鄙视入库杀，只看主防
        所谓的主防，指的就是运行时检测未知威胁的技术。我们选择安全软件是为了保护系统和数据，不是为了单单看主防怎么样。
一个安全软件有自己的防御体系，从一个浏览器网址检测的插件，到文件监控，主防等，都可能阻止威胁。把其他防护关掉，只剩主防，测试固然好玩，但不能代表哪个比哪个好，DeepGuard可能玩不过System Watcher（打个比方），但可能FS的其他模块阻止了威胁。
总是能够快速阻止威胁的爆发的安软，通过云也好，本地静态启发也好，都是好安软。

13.用xx测试版本好不好？Key很难找
        如果你购买了正版安全软件，得到的不只是一个激活码，还有配套的服务（特别注明的无技术支持除外）。不讲大道理，长期使用，正版最好。各种破解补丁，清除工具，没法表明它们就是安全的。
测试版本不能一概而论，卡巴斯基的测试版就很不建议使用，使用360杀毒的尝鲜版和卡巴斯基的测试版是两个概念，大部分测试版真有大量的bug，有的会导致系统崩溃，有些会导致防护失效。有些安软的测试版相对较稳定，比如FSP，迈克菲MTP的测试版。能用正式版就用正式版。想体验新功能，才建议用测试版。

14.xx主杀，xx主防
        一股浓浓的百度贴吧风格的结论。杀和防，指的是什么？（这篇文章用了很多个“指的是什么”，因为真的不知道指的是什么）
按照流传者的意思，杀应该是静态扫描，防就是指的各个监控模块？还是杀指的是感染清除技术，防指的是在病毒没有感染时的措施，比如静态扫描？既然一个概念都定义不清，怎么拿它解决问题？
不过可以说一下，常见的静态扫描（右键扫描）检测率比较高的是Avira，BitDefender，ESET等。

15.普通用户，不用管安全问题，没什么价值。
        卖米饭从不一粒一粒卖，因为一粒没有价值，但很多粒就有了。一个普通人的数据没有价值，但很多人的就有了，这些个人信息被打包起来在地下市场出售，当你成了肉鸡的时候，黑客们可以在地下市场出售肉鸡资源，可以拿它们去攻击其他网站等。如果觉得这些不重要，只要钱没少就行，但是：盗号木马，网银木马（Banker），勒索木马就真与你有关系了。

附录

     一.什么是好的安全习惯？
     针对个人电脑来说：

• 安装一款广为运用的（靠谱点的）安软。6要能联网更新，即使有主防，也需要更新规则。长期不更新，总会漏的。
• 使用Windows Update补漏洞，用各种卫士管家也无错，但不要随便忽略补丁，所谓“安装后可能出现蓝屏”大多数指的是各种修改版系统不能安装。
• 合理运用安全工具，虚拟机，沙盒等，尤其是你知道你在做一些危险行为。不要关闭UAC，尽量不要以内置的管理员账户登录系统（Windows XP那是没办法才这么做）。
  

   二.怎样合理的提问？
       不牵扯太多的理论，合理的提问，需要以下几点（对于卡饭的用户）：

• 知道自己在问什么。
• 尽可能提供有效信息。比如要求分析一个文件是否是病毒，不要只给出安软的扫描日志截图，应该提供样本。
• 不要固执己见。既然是问问题，说明你不懂或者心存疑虑，如果问问题后，再拿自己的错误观点把别人一个个怼回去，那就不需要问，因为你已经确立了你的观点是对的。
  

翼风Fly

哈哈哈，卡饭里终于有这么全面的吐槽了[惭愧脸]

题外话。友善度什么的我也不要了。
在贴吧、知乎怼民科民哲的人应该都有这样的感受：各种一本正经的胡说八道，自认为手握真理；自己知道了一个词几个概念就想入非非，自认为比科学界比哲学界还要聪明，其他人一派胡言；立场坚定，凭什么说我是错的，凭什么说你是对的，你没见过你怎么可能知道，你证明不出屋子里有一只隐形的喷火龙就没权力说不存在；最给跪的，说信科学是一种迷信。对于这种人，要向大众普及一下正确观点；对于不友善的，同时我还会建议他从小学初中开始从头学习一下，说量子力学的先学经典力学和数学，说投胎转世的先学神经科学解剖学物理学，觉得自己可以像黑格尔康德一样牛X的起码先去上个哲学系本科（虽然其他民科也应该这样）。

浮于表面的知识点，是容易出现偏颇的。

相比之下，计算机类的“民科”呢？也许因更容易通过实践检验，可能还好一些。但也经常看到纯粹扯出概念大旗互相撕来撕去的，可能有意思，但有意义吗？
有时看到某人的问题&指责有明显的错误，解释半天发现他其实啥也不懂也根本不听你的，你会怎么想？
每个人都有思考的权利与自由，但若没有一定的基础，那不叫思考，叫意淫。你可能无法想象有些意淫可以错的多么离谱。


那么对于安全软件的讨论呢？
首先你要知道，安全软件是一种应用软件 —— 强调，是应用，只是为了给你用的。只谈谈该怎么用，一般是没问题的。
然而具体到技术细节，没有一定的基础，这会是什么样的讨论呢？确定不会以讹传讹？

对于自己不了解的领域，请保持谨慎。

当然，人非圣贤，孰能无过。即便是专业领域，也难免有自己的盲点与错误。如果有错误被指出，请尽可能好好辩证思考，及时纠错。否则，即便是专业领域，也会陷入民科。每当想到这些，不由的会想到朱清时院士，不知该如何说起。

关于提问的一点建议：
https://bbs.kafan.cn/thread-2105053-1-1.html

为什么这两年没再听说有什么大规模的电脑病毒爆发？
https://bbs.kafan.cn/thread-2036732-1-1.html

翼风Fly

HEMM 发表于 2018-2-21 16:27
我最善于指责惹，我要点名指责你~连新年快乐都不说一声，真是岂有此理！
新年快乐，恭喜发财~你看！我就 ...

新快～

其实我倒觉得，卡饭应该出现这样的帖子了，楼上诸位的反应已经很明显了。

猫姐，我一直是尊敬你的，你的作为，答疑区的老员工也都看在眼里。然而这次，我决定稍微认真讨论下相关问题，难免不当之处，望请海涵。

爪机码字，排版不便，容我后续整理。

————————————————

每个人都有说话的权利。所以，我也会捍卫楼主所述的内容。吐吐槽总是可以的嘛，毕竟不是作为一定之规。不过这句话还有隐含的内容。我们都知道，权利往往伴随义务，伴随责任；权利不是随随便便就能用的。既然行使了权利，那么也理应为此负责。

为自己的言行负责，这是义务。

如果说了谣言，便应为此负责；如果提出谬误，就应为此负责；如果引起撕逼，更应为此负责。但是，至少在卡饭，要为撕逼而负责的惩罚是有的，但是谬误呢？谣言呢？

卡饭的制度是宽容的，“互助分享，大气谦和”，我们对谬误和谣言也有一定的容忍，卡饭的制度设计者们在当时应该也不会质疑论坛的自我净化能力。楼主近期发过一些Linux科普，其中的问题便被楼下指出了；国内区常见的奇葩言论，也能被有效的回击。这正是论坛自我净化能力的展现。楼主这篇不也是吗？但是随着卡饭的水化，何况还有顾忌面子、多一事不如少一事等原因，这种自我净化能力还够吗？没有多少专业领域的人介入，仅仅只是爱好者吹水的地方，这样好吗？卡饭的衰落与此并非没有关系。

当然不得不承认这是一个娱乐至上的时代。生活已经不容易了，连这点娱乐都要管？那得看是什么地方。还是说民科。在容易出民科的领域，例如量子力学，相对论，进化论，科学界对他们容忍吗？能当娱乐吗？嗯，想娱乐当然可以，但要负责，科学的认真不容侵犯。作为有一堆规律组成的计算机世界，同理。要想玩，就应该遵循相应的规矩。无视定义无视事实胡搅蛮缠的，无论在哪个专业领域都会被办。即便是非专业的人，能够轻易接触不是可以轻易犯错的理由。

每个人都有寻求答案的欲望，这很好。虽然某些搜索引擎不能用，但是起码百度等还是能用一下的吧，比开个帖子“急！在线等”要快的多。这分明是懒。在专业讨论领域，我一定会甩给他 www.baidu.com ，当然卡饭我基本不这么做，但也有多次有这种冲动，对于此，我就不回帖了，让楼主爱干嘛干嘛。

为了方便自己描述，自造词/已有词自赋予也难免发生。例如我就给 “机器” 一词赋予了一个宏观意义，来概括的说明生物只是机器，人类只是机器。这么做虽然方便很多，但确实存在问题。但若已经被纠错，尤其在有更好的解决方法下，就应尽快纠正，而不是为了自己的概念打圣战。但有很多撕逼很显然只是为了维护自己的概念孤军奋战啊，何况很多自造的概念没有什么意义。

每个人都有自己的思考，但也应遵循基本法。
读书不多却想的太多，这太容易出问题了。

我也希望可以更乐呵的讨论某些话题，不过哪些需要调整，哪些需要牺牲，如何去权衡利弊，都不是太容易的问题。

关于排版的问题，有时间我一并承包了吧。 @root1605

锦瑟无端五十弦

  露珠辛苦了。此处应该艾特蓝天二号

黑暗的背叛者

写得不错这毕竟是个民间爱好者论坛，太专业的东西受众比较窄，自然难于交流。至于近些年网络上各种提问，讨论的风气好坏，就不多说了。

Jerry.Lin

版主写得很棒，有些人应该认真看看呢

InnoriaAlter

没错，有些帖子的提问感觉像是在搞事情一样...

519916277

666，写的炒鸡棒，不过估计还是有人会太长不看吧

2605276004x

前排膜拜大佬

KK院长

安全是意识问题，不是软件！
再好的软件没安全是意识也白费，如果你认为某某绝对安全就错了，认为某某绝对差也不对。
我用国产软件可以1年不中毒，虽然它漏杀木马我也不中毒，呵呵。