理性探讨杀毒软件存在价值

Eif-Hill

看了@RICHCLUB     发的https://bbs.kafan.cn/thread-2129400-1-1.html
这么热闹，也来凑个份
首先将原图的大致内容翻译一下：


上图由于讨论的内容过于简单，狭隘，以下将讨论进行延伸
讨论
1、单纯杀毒软件更多是针对个人、家庭、小型企业的，对于中大型企业的安全（组织、ZF）那不是简单的杀毒软件可以解决的问题，而是需要完整的多端的安全整体解决方案（桌面端杀毒软件也许是安全解决方案的其中的一个模块）
2、针对于个人、家庭、小型企业，计算机（或其他终端）所面临的更多威胁不是有组织的入侵或渗透，绝大部分时候需要解决的安全问题是盗号木马、各种具有破坏文件的蠕虫病毒等等这些麻烦（甚至破坏性很大）很大，但绝大部分用户无法利用系统自带安全机制有效解决的问题（试想一下，只需要将U盘插进学校的机房，超大概率带回来的木马/病毒）
3、某些低劣的“杀毒软件”打着安全的旗号，实则adware/spy（某些234*卫士），而且是拥有非常大的权限的adware
4、系统本身是一个极其复杂的整体，杀软公司未必有足够的能力研究透其安全防护机制（有能力开发出针对性的补充防御措施），甚至某些杀软的防护措施会破坏原有的系统安全机制
5、系统本身的安全性也不短提高，以Windows为例，vista之后，在xp时代（以及更早期）波及面极大的安全性事件（如：冲击波蠕虫）出现的频率大幅降低，这就进一步降低系统安全需要额外的杀毒软件来补充的需要（当然各类Ghost系统不在此范围）
6、在讨论系统安全问题上，攻击面（attack surface，一个软件系统的功能模块的集合，软件的功能模块越多，可被攻击的点也越多，安全风险也越大）是个关键，由于杀毒软件在系统当中是一种独特的存在（获得远超其他软件的权限，可接管大量系统自带的安全功能，提供额外更多的延伸安全功能），这就意味着从入侵选择上（1、安装量大，如flash；2、权限大），杀毒软件是一个潜在非常好的入侵入口
7、安装量相对较大的杀软一般也是入侵者需要绕过的，以便于其散布的诱饵能够进入用户的电脑，这意味着杀软很多时候是事后诸葛（如：利用各种零日漏洞，永恒之蓝（0）+WannaCry），某些杀软为了商业利益，搞出的“白名单”更是一个看得见的大漏洞（甚至利用用户对其信任大肆洗白各类adware，没错说的就是国内某些大厂）

总结
1、普通用户遇上有计划有组织入侵几率低，更多时候需要的是防流氓、防破坏，这是大部分杀毒软件能够做到的，这也就是为什么普通用户需要杀软的原因
2、对于有动手能力者（防护意识高、权限控制好、联网控制好等），系统自身的安全机制足以用以保障安全（建议安装杀软，毕竟数据一旦出现被盗或破坏，难以挽回，毕竟窃取数据才是主要目的）
3、杀毒软件选择，大厂优先，付费优先
3.1 并非说小厂不安全，而是相对而言在产品完整度、病毒库上大厂可能相对完善
3.2 并非说免费不安全，而是免费的后果终究还是羊毛出在羊身上，商业模式很大程度决定了这些免费的杀软需要通过其他途径从用户获取收益（如：收集贩卖用户数据、诱使捆绑推广其他软件等）
4、某些杀软也许更多时候起到的是“安慰剂”的效果
5、通过向杀软间接入侵用户系统还是相当可行、可怕的
5.1 杀软相较于系统而言，可能更为脆弱（相比于微软的资金、人力/技术），可能被发现潜在高危漏洞（0day）的几率更高，漏洞发现难度更低
5.2 直接渗透杀软更新服务器，间接大面积向用户扩散（类似于ccleaner（avast收购），短期即可波及数以百万计的用户）
6、杀软对于零日（0day）这种缺陷未必有很好的作用，但是可能提供补丁发布前的缓冲作用
7、零日漏洞这种大杀器也不是一般的攻击者所能驾驭或使用的

顺带补充-致哪些“我的电脑没有什么有价值的”裸奔党（大神请绕路）
1、你所泄露（被盗取）的信息，影响的可能是别人
2、不中毒（对实体机产生明显影响），不意味着安全（网站挂马xss攻击窃取账号密码）
3、海量的肉鸡也许你就是其中一份子

对于普通用户，以下方法也许能够稍微强化安全
1、降低账号权限等级，使用低级别账号（用起来不爽）
2、绝对不使用不明来源的Ghost系统
3、尽量减少使用kms激活工具来激活系统（这些工具多被加料）
3.1 有money，尽量支持正版
3.2 少money，某宝key
3.3 自己搭建kms或者找可用kms服务器
4、安装系统如非必要尽量不使用PE或WinNTSetup的第三方工具（这些工具多被加料）
5、减少使用各类破解、绿化软件
6、关闭系统不必要服务、组件、端口（如：SMB）
7、非必要联网程序，一律禁止联网、非必要进站程程序一律禁止进站
8、安全补丁还是要打打
9、减少使用某些国产软件（国情如此）
10、控制拥有开机自启动权限程序数量
11、远离某些非必要加驱的程序
12、广告拦截大网编织好
13、控制好本地入口端（USB接口），web端（浏览器，据某安软称个人家庭计算机安全威胁90%来源于浏览器）
14、常逛卡饭配好虚拟机+沙箱

注：小白一枚，各位拍砖，看完再拍，理性拍、轻拍

Jerry.Lin

"要不要杀软" 这个话题最近风生水起呀

519916277

说真的，杀软只是辅助，毕竟有些人安了杀软，开了HIPS，出来互动窗口看都不看直接允许的人不也是大有人在么，而且说真的，svchost和svch0st分不出来，explorer和expiorer分不出来，spoolsv和spoo1sv分不出来的人我也是见过不少

tihs

安全软件，就好比门锁，不能说家里从来没被盗抢过，就说天下无贼，门锁是“鸡肋”。
安软的存在价值，就是让你平时“忘掉它”，但是在关键时刻能出来为你挺身而出，哪怕只有一次。
对于破坏性病毒、勒索，只要一次中招，就可能哭死（电脑里连个重要文档、资料都没有的除外）。
普通个人用户，绝对有必要安装一款比较可靠的，然后忘掉它，卡饭综合征除外。

shuiyue96

普通人，不但要装杀毒软件 还要提高防卫意识。
有些人下的乱起八糟稀奇古怪的软件 交友，外{过}{滤}挂，破解软件（页面一句杀毒软件会误报刷的一下就加白或者把杀毒软件退了）。中木马了，账号盗了，电脑卡机挖矿了，文件丢失了，（接着杀毒软件安装有毛用，有毒都不知道杀~）  
大神就厉害了 装什么杀毒软件啊，看那有个毒，快快先捉起来，起锅放油，解剖看看是什么编译的，从那些地方死进来的，有哪些不轨行为，幕后是谁~~~

sunnyjianna

不知道，但是还是会为了某些杀软剁手入坑。。。

HEMM

你懂的可真多儿~
请果照送我邮箱进行严格的属性鉴定~
系统本身是一个极其复杂的整体.........的确是好复杂哦，每天蓝屏一次，因故障手动重启两次，用着用着就天然故障了，缓存，没错了，就是那个缓存，量太大会抽抽~BUG10简直花样......
系统本身的安全性也不短提高
真的是不短哦，比如组策略啦，又什么防火墙规则啦，又什么SS啦，巴啦啦一长串可是不得了惹，也就是只有难用这一个缺点而已~
不明来源的Ghost系统人家最稀饭用惹，集成了好多的工具软件呢~好棒棒哦，比如某知名安软3个强强联合，都不能更新耶，酷毙惹！用来玩游戏还是不明来源的Ghost系统大法好，虽说是不安全了点，破了点，旧了点，可你说气不气人，居然比BUG10好用耶，集成了那么多，亏的是不卡，怪不闹人的，玩游戏可是兼容了呢~
为嘛BUG10这也是不兼容，那也是崩溃，竟比不上野鸡版，一上来开机什么都不做，就去了它1个多GB呢，现在4GB内存都不敢说是电脑了，怕说出去丢人，微软也嫌弃~那个自带的WD啦，开机就给你颜色惹，真是的~
敢问........有木有感性探讨，一起吐吐槽嘛~

ELOHIM

3、某些低劣的“杀毒软件”打着安全的旗号，实则adware/spy（某些234*卫士），而且是拥有非常大的权限的adware
4、系统本身是一个极其复杂的整体，杀软公司未必有足够的能力研究透其安全防护机制（有能力开发出针对性的补充防御措施），甚至某些杀软的防护措施会破坏原有的系统安全机制。

帝辛

我就是为了事后防护。杀软至少能保证你在被响应范围内。就是说。别人中毒。杀软智能快速入库。免杀剩余。
另外。部分杀软是真的有事前防御的功能。哪怕有限。比如永恒之蓝。锁库半年。卡巴和BD主防都能击杀。
不留一款杀毒。网页JS都能搞死你。更别说端口木马了。

kira130139

有总比没有强，关键还是得有个基本的操作意识，不能随便下载乱七八糟的东西