严谨的技术就是严谨的态度—再论红伞与ESS之争

千堆栈

红伞与ESS（NOD32）之争也久矣，欲人之无惑矣难矣。
      不知从何时起，我们每每论及杀软之争，总有爱好者喜欢把红伞与ESS二者相比，以为颇有一番对照。
      然而，红伞与ESET之争，并不是德先生与赛先生之争，也决计不是京派文学与海派文学之争，也决计不是胡适与鲁迅之争，更不是曹操煮酒论英雄，关公赚城斩车胄。
      我认为，红伞与ESET之争，是技术的高低差别之争，是态度的严谨与否之争，是理念的合理与否之争。

      我们不作泛泛而谈。过去的旧账我们也不必翻，我这里就针对最近一篇红伞与ESS的长论说一些自己的观点。（身为超版，一直没有给大家一个正式文章阐述这个问题，抱歉一下，呵呵）

      以下斜体字为其原文，加黑体为本人观点：
     首先，我想说报壳的问题。
     病毒木马为了隐藏自已的特征，躲避杀毒软件的扫描监控，最常用的手段就是对自身进行加壳，而且加一层不够，还要加变态的N层，加一种还不算，每层都可能是不同类型的壳。总之一个目的，让杀软解不开，看不出这个执行程序到底是什么，也就查不出病毒。但多数情况下，正常程序都没有必要加壳，或只加简单的压缩壳。而这样一来，病毒越给自己套解不开的猛壳，就越显出来它“此地无银三百两”的逻辑。所以，红伞对加壳程序可能会敏感的报可疑文件。这个特点大家都了解，也是有所争议的。
     都说红伞“误报”高，其实我并不认为如此，她的高启发特点是：就算不确认什么毒，只要认为有可疑的病毒特征就提示，在弹出对话框的信息中会告知你“如果需要更详细的分析，可以通过软件界面中的‘隔离管理器’进行文件上报”。这种方式，降低了漏网之鱼的机率，相应也提高了安全性。大蜘蛛误报，要死人；小红伞误报只是麻烦点！

    1、查壳与脱壳的技术优劣之分是不可回避的
     首先，原文回避了（或者说是没有提及）查壳与脱壳这两种技术策略优劣之分的问题。众所周知，脱壳要比简单的查壳实现起来复杂的多。也许有朋友会说，用简单的方法实现起来岂不是更好？问题就在于，简单的方法是不济事的。
     第一，如果只采用查壳而不是脱壳的技术，会带来更多的误报。这一点，原文亦是承认的。这里就不必多说。
     第二，站在病毒的角度，应付查壳比应付脱壳要更容易，更容易“作假”。比如，我们随便找一个不是病毒的文件，只要在文件头部写上常见壳的字符，红伞便会查杀。这就说明红伞采用的技术是简单。换言之，当有病毒加壳但是隐藏了标识字符后（这是可以并且有些病毒已经做到的），红伞就按照无壳处理。而这就说明，这种简单并非简洁，而是低级。是会误事的。

    德国人的严谨作风也体现在红伞上面的，毕竟很多误报来说，是程序的不规范行为导致的，而像诺顿的那种对系统文件的误报，暂时还没有发生过。一方面是程序的不规范性，另一方面，也是红伞引擎机制定位引起，相互作用产生的。

   2、德国人的严谨作风全球闻名，但是很遗憾我没有发现这种严谨作风体现在红伞上半点
    我特别欣赏德国人的严谨作风，这一点在我自己的POLO汽车上体现无疑。尽管目前POLO已经100%的国产化，但是按照德国技术标准生产出来的感觉，果然远胜出同级别的其他车型。
    但是我很遗憾，这种严谨的作风我没有在红伞身上看到。作为一个用户，是没有义务去了解什么是“程序的不规范行为导致的”还是“像诺顿的那种对系统文件的误报”，总之，只要误报，就会给用户带来麻烦。只要有误报，作为一个杀软来说，就难称严谨。
    就像汽车，作为用户，我没有义务去考虑我开过的路面是不是潮湿，还是干燥，还是盐碱路面，而是不论什么情况，也不论用了多久，底盘都不应该因此而生锈。否则，“严谨”二字是不敢乱说的。

    但每款杀软都有自身的优缺点，只是我们使用的时候，仔细观察，如果都能互相“学习”一下，取长补短，那就比较好了，上述如果说的不是红伞，而是卡巴或NOD其实也一样，也就是换个角度也一样，不能总是把自己的缺点和别人的优点比，或者把自己的优点和别人的缺点比，都是见树不见林，NOD和红伞的Fans天天口水战皆因此而已。

   3、诚然，每款杀软都有优缺点。
    但是比起ESS，我的确没有看到红伞除了免费这一条还有什么优点或者明显优势。但是我认为。如果是因为费用问题，哪怕我都可以支持大家使用D版。这就像我选择汽车时，尽管家里只是10万预算，这个价格如果选择别的车型，可以买到更大，配置更好的，但是我依然选择小型车中的精品POLO的原因。我看中的是它的德系品质。

其实NOD的技术能力非常强，只是对于病毒处理上有一定的缺陷，对于国内这种疫情，NOD的反应能力有比较明显的滞后性，现在还没有到卡巴那种地步，如果真到了那种地步，对NOD疯狂免杀的时候，NOD这种状态...一个企业的文化不容易改变的，很多时候很无奈。

  4、问今是何世？乃不知有汉，无论魏晋。
  首先，现在在说国内病毒还是国外病毒已经不合时宜了。因为病毒无国界。
  第二，就算病毒有国界，我想只要是真正的ESS用户，已经能明显的感觉到自从去年来，ESET针对国内病毒升级质量已经大大提高。目前，虽然还不能说绝对理想，但是随着论坛上诸多网友，其中比如佼佼者EQ2，还有二版科技背后的强大支持，我相信ESS每一天都比前一天更进步。
  所以，现在如果谁还在说ESS应付国内病毒不行，我只能说他是桃花源记里说的一样，问今是何世？乃不知有汉，无论魏晋。


  最后，我重申一下，我这里并无意于去贬低红伞。任何一个网友，你们想用红伞尽管去用。你们想用ESS，我们也随时欢迎。但是我们始终认为，以严谨的技术查毒就是以严谨的态度对待用户。

ssjj1910

好贴！！沙发了先！！我用eav！！

lin13

两者杀毒理念不同

选一款适合自己的杀软就好

没必要为对比两者的优劣大打口水战

毕竟没一款杀软是完美的 ...

mofunzone

只用一句话回复
严谨的技术就是把zlob，thelatin，vundo，swizzor，还有诸如ircbot等一个不差的漏过去
就算antivir是杀壳，但在不靠着壳查杀的时候也比eset强的太多太多

wusuobuzai

原帖由 mofunzone 于 2008-4-13 04:20 发表
只用一句话回复
严谨的技术就是把zlob，thelatin，vundo，swizzor，还有诸如ircbot等一个不差的漏过去
就算antivir是杀壳，但在不靠着壳查杀的时候也比eset强的太多太多

你懂ESET的理念吗?ESET只对真正有威胁的病毒才会查杀的,一般僵尸等不会有什么危害的,ESET一般是不会查杀的..
这才是杀毒软件的精髓..

zwl2828

只要在文件头部写上常见壳的字符，红伞便会查杀

——常见壳？！电脑里面的很多程序加了常见壳，为什么AntiVir没杀？
难道AntiVir只要加壳就杀？错了，只是那些变态壳、加花和还有一些黑客工具、病毒常用的壳！
这也可以说是一个低廉的、有效的解决方案。
就算AntiVir是杀壳，但在不靠着壳查杀的时候也比ESET强的太多太多...

当有病毒加壳但是隐藏了标识字符后（这是可以并且有些病毒已经做到的），红伞就按照无壳处理

——无壳处理，那病毒库是干吗用的？有些病毒的确无壳啊，难道AntiVir漏掉了？
难道AntiVir就靠查壳？那病毒库、引擎不用更新了，只要有壳的都报，无壳的都“按照无壳处理”好了。

只要有误报，作为一个杀软来说，就难称严谨。

——ESET也不严谨:-)，就我看到的误报来说，已经有5~6个了，当然，肯定不止
和官方所说的0误报，相差甚远。
按照你的观点，ESET也难称严谨。
再说，试问哪款杀软严谨？哪款杀软没有误杀、误报？？

我的确没有看到红伞除了免费这一条还有什么优点或者明显优势

——呵呵~优点比ESET多多了，你居然只看到免费！
AntiVir高启强，超强查杀率（在单引擎是红伞第一），这是人所共知的；
AntiVir的反应速度（上报处理速度快）；
还有很多很多...懒得说了，这里任何一条都比ESET强，包括启发！

最后，我也重申一下，我这里并无意于去贬低ESET。

zwl2828

原帖由 wusuobuzai 于 2008-4-13 06:04 发表

你懂ESET的理念吗?ESET只对真正有威胁的病毒才会查杀的,一般僵尸等不会有什么危害的,ESET一般是不会查杀的..
这才是杀毒软件的精髓..

对病毒库小的借口...
僵尸居然没危害....Bot啊~
僵尸是病毒，是病毒就应该查杀！
难道你否认这点？

rulerwang

诺顿的飘过。

mofunzone

zlob，thelatin，vundo，swizzor，和ircbot没危害
我不知道这世界有什么有危害了还。。

wusuobuzai

那偶想问一句,在国际上ESET和小红伞哪个用户群多?
  连德国人自己都不用杀软,到底能强到哪里去...
  论人气和知名度,小红伞和ESET根本就不是一个等级的.

中国人就是这样,什么东西杀毒强就是厉害的杀软，以前说卡巴杀毒强,就卡巴厉害,现在说小红伞杀毒强,就小红伞..
难道一款杀毒软件只看杀毒的话,那世界的杀毒软件全部换小红伞算了.

[ 本帖最后由 wusuobuzai 于 2008-4-13 06:47 编辑 ]