感觉WD的查杀率也不比卡巴BD差呢

咖啡28576

传奇Song 发表于 2025-3-2 15:59
查杀是查杀，防护是防护，很多人要的是防护而不是单纯的查杀，比如那些端点安全就注重防护。SEP和以前没套 ...

详细讲讲呗，我一直奇怪诺顿这个垃圾杀软（查杀率）是如何活下来的，再有听你的意识，像是卡巴斯基BD这些软件防护能力很强吗？还是说只有EDR很强呢

con16

跟卡巴BD還是有差距，不過一些進階功能開啟也堪用

MD雲防護用預設，開ASR規則就強很多，你沒開ASR有些查殺倒也未必擋住被加密。

你要積極檢測未知程序就是雲防護要開到高級
上去高級還有零信任會套用其他防護。不過誤殺可能高，連網也比較久，有時候會影響電腦使用。

咖啡28576

con16 发表于 2025-3-2 18:10
跟卡巴BD還是有差距，不過一些進階功能開啟也堪用

MD雲防護用預設，開ASR規則就強很多，你沒開ASR有些查 ...

跟卡巴BD還是有差距，不過一些進階功能開啟也堪用，看来还是不太好呢，看楼上大谈防护说是MD防护很糟糕

con16

你用預設沒有說到糟糕，主要是不要去亂點亂用來路不名東西


那預設雲端防護，油管有人測試還堪用，也示範過有開ASR和沒開差別

你若要用雲端默認預設層級，還是會建議開啟ASR規則，有幾條真的是加強本地防護很有效，存在感也比MD查殺高

咖啡28576

con16 发表于 2025-3-2 18:33
你用預設沒有說到糟糕，主要是不要去亂點亂用來路不名東西

拉满的MD跟卡巴斯基BD比呢，感觉MD这玩意非常的难用

con16

不用難用，是有些人覺得單薄沒安全感

但實測不亂測試亂點，就正常使用加個ASR規則也滿夠用

传奇Song

咖啡28576 发表于 2025-3-2 16:55
详细讲讲呗，我一直奇怪诺顿这个垃圾杀软（查杀率）是如何活下来的，再有听你的意识，像是卡巴斯基 ...

诺顿的金牌防护，可以看这个2008年的帖子 https://bbs.kafan.cn/thread-337894-1-1.html 这仅仅是2008年。更多的关于攻击防护的帖子可以在论坛里找找，有很多。
卡巴和BD的防护也是一流的，这点毋庸置疑。
而病毒防护仅仅是防护的其中一项功能，杀毒也仅仅是安全软件的一项功能。安全软件还要防入侵、防勒索、防攻击、防渗透等等。

以下是个人见解：

说到病毒，就要了解病毒的攻击模式和传播模式。现在病毒攻击都要利用漏洞，利用内存溢出，这里面涉及到计算机底层逻辑，当然，这点实现起来并不是很难，难的是如何利用低的资源保证流畅度的同时对内存进行监控，这点一流的安全软件都做得很好。

一、外部防线：挡在门外
病毒传播模式很复杂。注意，只要你不在样本区乱点，不主动玩毒，在现实世界中，病毒一定是通过介质传播到你的电脑中的，介质可以是U盘，可以是光盘，可以是网络等等。拿2017年的举世闻名的WanaCry勒索病毒为例，病毒利用“永恒之蓝”漏洞，在445端口在局域网内进行传播。445端口一般是用于打印机共享协议。防护的作用在这里就体现出来了，如何防止病毒进入你的电脑，是安全软件的第一道防线，除了对硬件层面进行防护（可移动介质），还要对网络端口进行监控，比如110、137、138、139、143、445等端口，这些端口可以用于电子邮件、文件共享等等（建议去了解一下TCP/IP协议），病毒可以伪造报文或者劫持进行传播。一款称职的安全软件基本上都会把威胁阻挡在第一道防线之外，也就是说病毒根本进不了你的电脑。
防攻击和防渗透非常重要，比如局域网内有被劫持的肉鸡或者别人电脑有后门、流氓等威胁程序，会在局域网内进行端口扫描或者泛洪（Flooding），从而扫描整个局域网内的所有电脑有没有可利用的端口，一旦扫描到了可利用的端口或者漏洞，下一步可能就是利用漏洞或者端口进行种植、传播病毒，或者盗取信息等。在防护攻击和渗透的时候就不是查杀技术了，而是网络安全技术的体现。当然，还有来自网页的攻击等等，通过网络进行的攻击五花八门，这里非常考验网络安全技术。诺顿的入侵防护非常优秀，卡巴、BD的也很一流，一旦检测到有攻击者对自己的电脑进行端口扫描、泛洪等等渗透行为，或者入侵行为，就会启动保护，关上大门，切断本电脑与攻击者之间的通信，或者进行严密监控，防止病毒传播进来。曾经美系的杀毒软件都非常重视这些，就是“美系重防御，欧系重查杀”。赛门铁克、诺顿的防护在这里是最出色的；端点安全也非常重视这些。

二、内部防线：监控和识别
当威胁越过第一道防线进入到你的电脑，就非常非常危险了（只要你的安全软件合格，这种情况就很少发生），现在就是各家安全软件特色的体现了。这时候的防护非常复杂，比如有漏洞利用防护、系统监控等等。漏洞利用防护里面就包括非常多的内容，举个例子，病毒会利用内存注入，这时候一款优秀的安全软件能检测到危险行为从而终止病毒程序。破坏性很强的新型病毒往往具有很高的隐蔽性，依靠特传统的征码是无法进行检测的，参考这个帖子（WanaCrypt0r勒索病毒：20款杀软主防测试【新增变种测试，结果有变】_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和!），而优秀的安全软件可以通过行为检测判断是否为威胁，卡巴、BD的技术都很先进，能够把WanaCry这款从未见过的病毒识别出来。这里卡巴的监控、BD的ATC、赛门铁克的SONAR各有特色，但是赛门铁克的SONAR有些依赖云端，所以不如前两者。
高的查杀率依赖特征码检测、信誉检测等等，ESET、Avira就是这种的典型，但是一款优秀的病毒（注意，是病毒）或者利用了零日漏洞的病毒是不会被这些检测所察觉的，甚至你手动去扫描，都会将其判定为安全。这里就需要自家的行为检测、主动防御技术了，谁强谁弱就在这里体现。ESET非常轻巧，但依赖特征库和启发式扫描，行为监控就差点意思了；卡巴斯基、BD能够在不怎么占用系统资源的前提下进行这种高难度的监控和防护，你说他们的技术强不强。
另外，卡巴斯基的回滚机制就不用说了，这是他们家的特色，很多被勒索了之后都能成功回滚，这并不能算防御了，而是一种修复机制。曾经的诺顿也能回滚，但是回滚的是操作，而不能回滚文件，现在套壳avast不知道如何了。

传奇Song

咖啡28576 发表于 2025-3-2 16:55
详细讲讲呗，我一直奇怪诺顿这个垃圾杀软（查杀率）是如何活下来的，再有听你的意识，像是卡巴斯基 ...

综合我前面说的，一款合格的安全软件能应对绝大多数威胁，但是你敢不敢赌一些未知的新型威胁？就像勒索病毒问世一样，以前谁能想到病毒还能这么玩？谁知道零日漏洞是什么样的？
我是做科研的，我的数据很重要，所以我不敢赌，我宁可花钱，也要买卡巴、BD这样超一流的安软来提高安全性。但是，买了这些也并不是万无一失，防护永远赶不上威胁的进化速度，曾经的WanaCry能防住，但是未来的威胁呢？谁知道，也许下次大规模攻击事件，卡巴、BD就趴窝了，这很难说。
所以提高自己的防范意识也非常非常重要。一流的安全软件+良好的用户习惯+严谨的防护意识=足以把威胁挡在门外，这三点缺一不可。

传奇Song

传奇Song 发表于 2025-3-2 19:25
诺顿的金牌防护，可以看这个2008年的帖子 https://bbs.kafan.cn/thread-337894-1-1.html 这仅仅是2008年 ...

所以曾经的诺顿（注意“曾经”）的特色体现在“外部防线”上，而卡巴斯基、比特梵德的特色体现在“内部防线”上。当然，诺顿的“内部防线”、卡巴/BD的“外部防线”也都很优秀。

咖啡28576

传奇Song 发表于 2025-3-2 20:06
所以曾经的诺顿（注意“曾经”）的特色体现在“外部防线”上，而卡巴斯基、比特梵德的特色体现在“内部防 ...

原来如此，照此说来MD其实是只有查杀没有防御的软件，。哦对了你说诺顿曾经是重视外部防御的那后来咋了？