太天真 （一）

lbj888

XX杀毒软件最好？  VB百分百就是最好的杀软？
“愚”论：在周围人眼里，你的电脑水平应该已经不错了，很可能会有人问你：“哪款杀毒软件最好？”如果你把自己最
                  喜欢的那款推荐给他了，说明你不太负责任了。
         
打“愚”：对杀毒软件的盲目崇拜就好像个人崇拜一样，盲目地相信一件事物，容易被光环蒙蔽自己的眼睛。多数人只是
                 根据自己的主观感觉来判断究竟那个软件好。就算一款软件在用户中的口碑非常好，其实往往也是有厂商
               “口碑营销”的功夫在里面。周围人的意见 就像他们对于颜色的好恶一样，是十分主观的。就像衣服一样，
                 没有“最好的”，但有“更适合你的”。


   流行杀软优劣势表                  

软件名	优势	劣势
诺顿	与系统紧密连接	拖慢系统速度
Dr.Web	脱壳技术一流	压缩包扫描速度慢
F-Secure	多引擎同时扫描	进程过多
小红伞	低漏杀率	误杀较多
McAfee	小资源占用	扫描能力差
卡巴斯基	响应速度快，主动防御	对于改时间病毒防御差
BitDefender	超大病毒库	流行度较差
NOD32	启发式杀毒	对木马查杀弱

什么是启发式杀毒：
就是将对象文件与病毒特征库中的病毒原码进行比较，当二者匹配率大于某一值时（通常这一值较小，所以容易误报），
杀软就会将其列为可疑文件以进行下一步处理。这就是所谓的启发式杀毒。

什么是主动防御：
它通过“行为判断”技术，开发出了“危险行为监控”。“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判断程序的行为特征，可以识别大部分未被截获的未知病毒和变种。

即然每款产品都是各有长短，那么权威评测是不是能给我们答案呢？Virus Bulletin可以说是国际上最有名，历史最悠久的病毒测试机构之一，1989年于英国成立至今，定期对各大防病毒品牌产品进行测试，其报告备受全世界防毒业界所公认与推崇，测试着重防毒软件对病毒侦察率与扫描速度的表现，并在扫描过程中没有任何误判情况，方可取得Virus Bulletin的最高荣誉VB 100%奖状。评测没有打分，在Virus Bulletin看来只有两个结果：通过或者不通过。这样的机构评出的最优杀毒软件是不是就是最好呢？
   也不尽然，目前主动防御这个概念越来越被重视，现在也有很多以此为基础的防毒软件，其防病毒效果绝对是传统型杀软（包括启发式杀毒能力很强的）不能达到的，一些在主动防御上有见树的防毒软件已经事先定义好杀毒规则，这和没做规则的是完全不可同日而语的-----这种测试似乎不太公平。

感谢大家的讨论！希望起一个抛砖引玉的效果！！
大家如喜欢，我会出“太天真（二）”的！

[ 本帖最后由 lbj888 于 2008-4-6 17:21 编辑 ]

wlbol

国内这环境，练习好重装系统才是最重要的……

卡西莫多

原帖由 <i>wlbol</i> 于 2008-4-6 13:07 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=3187848&ptid=230105" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />
国内这环境，练习好重装系统才是最重要的……

<br />
呵呵
看法相同！

PC0amera

主动防御


目前，很多安全厂商在推出新产品时，总是强调该产品具有“主动防御”技术，可以防御未知病毒、未知威胁、ZeroDay攻击等。根据安全专家的分析，所谓“主动防御”其实是针对传统的“特征码技术”而言的。


一般意义上的“主动防御”，就是全程监视进程的行为，一但发现“违规”行为，就通知用户，或者直接终止进程。它类似于警察判断潜在罪犯的技术，在成为一个罪犯之前，大多数的人都有一些异常行为，比如“性格孤僻，有暴力倾向，自私自利，对现实不满”等先兆，但是并不是说有这些先兆的人就都会发展为罪犯，或者罪犯都有这些先兆。


因此“主动防御”并不能100%发现病毒或者攻击，它的成功率大概在60%--80%之间。如果再加上传统的“特征码技术”，则有可能发现100%的恶意程序与攻击行为了。从国外的情况看，诺顿、Kaspersky、McAfee等主流安全厂商，都已经向“主动防御”+“特征码技术”过渡了，可以说这是安全系统的必然发展趋势。


此外，防火墙也是一个运用“主动防御”技术的典型例子。目前的企业都在使用防火墙，很多用户对于防火墙经常询问是否放行一个进程访问网络，或者有不明连接进入本机而发出警告印象深刻。


其实防火墙就是在全程监视进程的网络行为，一但发现违反规则的行为就发出警告，或者直接根据用户设定拒绝进程访问网络。当然，现在的防火墙一般都把系统网络进程，如Services.exe、Svchost.exe、Lsass.exe记在“受信名单”里，这些进程是默认允许访问网络的，如果禁止的话，操作系统就不正常了，这也是现在很多病毒和木马都喜欢远程注入这些系统进程，以求突破防火墙而访问网络的原因。


“主动防御”的技术实现


在“主动防御”技术的的实现上，主要是通过函数来进行控制。因为一个程序如果要实现自己的功能，就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的，在Windows里一般是通过DLL里的API提供，也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为，通过看它调用了什么样的API就大概清楚了，比如它要读写文件就必然要调用CreateFile()，OpenFile()，NtOpenFile()，ZwOpenFile()等函数，要访问网络就必然要使用Socket函数。因此只要挂接系统API（尽量挂接RING0层的API，如果挂接RING3层的API将有可能被绕过），就可以知道一个进程将有什么动作，如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统，用户可以在它的安装目录里找到几个驱动文件，其实这些驱动就是挂接了ntoskrnl.exe，ndis.sys等系统关键模块里的API，从而对进程的普通行为，网络行为，注册表行为进行监视的。


在此基础上，用户可以自己设想一下一个“主动防御”型安全系统的一般操作流程：通过挂接系统建立进程的API，系统就在一个进程建立前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令（一般正常软件不会有这些指令），就进行提示，如果用户放行，就让进程继续运行；接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告；如果收发数据违反了规则，发出提示；如果进程调用了CreateRemoteThread()，则发出警告（因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒、木马用得最多）。


可以想象，未来企业用户在运行程序时可能会被提示多次，访问网络也可能被提示多次，各种各样的提示有可能将大多数人搞的昏头转向。不过这就是安全，也是主动防御的魅力，一句话，企业想安全就要管严，放松就不安全了！






启发式


启发式：简化虚拟机和简化行为判断引擎的结合
Heuristic(启发式技术=启发式扫描+启发式监控)
重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒，只是对特征值扫描技术的补充。
主要针对：木马、间谍、后门、下载者、已知病毒(PE病毒)的变种。

启发式技术是基于特征值扫描技术上的升级，与传统反病毒特征值扫描技术相比，优点在于对未知病毒的防御。是特征值识别技术质的飞跃。
传统反病毒特征值扫描技术，由反病毒样本分析专家通过逆向反编译技术，使用反编译器（ollydbg、ida、trw等）来检查可疑样本文件是否存在恶意代码，从而判定程序文件是否属于正常程序或病毒、恶意软件。在确认程序为病毒、恶意软件后，不同的安全厂商根据自己的标准对此可疑程序样本进行特征提取和样本命名（不同安全厂商有自己规定的特征提取点和样本命名规则）。最后经过测试部门测试通过后，更新到服务器，提供用户的本地病毒库更新。在用户操作系统正常监控或用户手动扫描后，利用杀毒引擎对系统上的文件自动进行特征值提取并与病毒库中已存特征值比对，条件符合即比对结果为真时，即判断此文件为病毒库中记录的特征值对应的病毒名称的病毒（恶意软件）。

病毒、恶意软件通常最初的指令是直接读写磁盘操作、解码指令，或获取系统目录(GetSystemDirctory)、获取磁盘类型(GetDriveType)、打开服务管理器(OpenSCManager)等相关操作指令序列。这些都是病毒样本分析专家分析中得到的经验。
启发式技术，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。
例如：一个可疑程序通过反病毒杀毒引擎反编译后，发现代码中自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务，以便进一步控制计算机。通过这些条件即可判断为恶意软件（后门程序）。


病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。

　　启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h，即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互性输入继续进行的操作指令时，就可以有把握地认为这是一个病毒或恶意破坏的程序。

　　启发式杀毒代表着未来反病毒技术发展的必然趋势，具备某种人工智能特点的反毒技术，向我们展示了一种通用的、不需升级(较省需要升级或不依赖于升级)的病毒检测技术和产品的可能性。由于诸多传统技术无法企及的强大优势，必将得到普遍的应用和迅速的发展。纯粹的启发式代码分析技术的应用(不借助任何事先的对于被测目标病毒样本的研究和了解)，已能达到80%以上的病毒检出率， 而其误报率极易控制在0.1%之下，这对于仅仅使用传统的基于对已知病毒的研究而抽取“特征字串”的特征扫描技术的查毒软件来说，是不可想象的，一次质的飞跃。在新病毒，新变种层出不穷，病毒数量不断激增的今天，这种新技术的产生和应用更具有特殊的重要意义。

gogo8989

McAfee 小资源占用


McAfee 占的资源可不小

[ 本帖最后由 gogo8989 于 2008-4-6 13:25 编辑 ]

於陵闲云

原帖由 wlbol 于 2008-4-6 13:07 发表
国内这环境，练习好重装系统才是最重要的……

此乃绝技，最后的杀手锏

SIGKILL

上遍黄网，经常搜破解软件，n年没ghost过，更别说重装了。

zwl2828

卡巴斯基 响应速度快，主动防御 对于改时间病毒防御差
你不知道MP1？

小红伞 低漏杀率 误杀较多
NOD32有启发，难道小红伞没有，还是比NOD32差了

happydian

不敢苟同LZ啊

嘁。不稀罕~

不得不说，人人心中都只有自己喜欢的杀软，未必最好，但是是最适合！
ps：楼主的表格数据最好注明版本，不然都以现在的最新版来说，有些已经过时了。。。