病毒库与查杀能力关系

曲中求

1很多杀软没有剔除一些无用的病毒特征

这个是一个标准性问题，无不无用不是我们说了算的，对于安全而言，只要有一线作用，不能随便剔除病毒库，这个值得商榷。而且很多，楼主没有指出“很多”是哪些，以及具体可参考的官方病毒库数据显示。

2病毒库大不意味杀毒能力强，技术较好的杀软可以依赖优秀的引擎和精确的特征码杀掉所有变种，而不需添加不必要的特征
这一点说对了一半，但要补充一下的是，启发再强，引擎再好，没有强大的病毒库作为后盾，是有一个查杀上的瓶颈和上限的，所以说，问题要辩证的正反两个方面看。

3较大的病毒库意味着更大的资源占用
这个倒是一个不一定的因素，卡巴就是例子，且对资源的分配还是有办法处理的，资源占用是一个比例，这个比例具体到什么标准，要看安全厂商的定位问题了，但总的趋势是：在提高查杀速度和性能的同时，做到尽量控制资源的占用。

sola2008

主动防御是在其功能设计方面脱离了病毒库，以往杀毒软件只是发现应用程序类似病毒就去病毒库中进行验证，这样判断病毒都是已经发现的病毒，对于新病毒便失去了防御作用。主动防御具有独特的功能设计，通过规则过滤应用程序，当发现其存在恶意行为的时候，便告知用户，这样将处理此恶意行为的权力交给用户，由用户决定放过还是拒绝此类危险动作，从而可以达到主动预防病毒的作用。即使遇到一个病毒库里面没有记录的新病毒，在病毒肆虐的网络中，主动防御功能在病毒与计算机之间又设置了一道屏障，将病毒置之门外。

伞兵づ泡泡

晕

病毒库明明就是越大越好

伞兵づ泡泡

原帖由 百地三太夫 于 2008-5-15 12:32 发表
主动防御是行为分析

启发式是痕迹分析，特征分析等

根本没有谁从属于谁

不过好像确实有观点认为主动防御是行为拦截和启发查杀的统称

spaceplane

库很重要，但并不是最重要

萨菲罗斯

说的好没有病毒库的杀软靠技术能杀多少病毒啊？

cici584522

技术较好的杀软可以依赖优秀的引擎和精确的特征码杀掉所有变种，而不需添加不必要的特征


目前的杀软扫描没有可以做到的

嘁。不稀罕~

呃。。。这话在2008年说出来，不科学哦！

Devy

很多人概念都还不清楚啊……
特征码是病毒的物理特征，病毒库是各种病毒特征码的集合，用于判断和发现病毒。
发现病毒不一定要依赖病毒库，也可以使用病毒行为特征。
对于使用特征码检测技术的杀软来说，病毒库的质量与查杀技术同样重要。有好的病毒库而没有好的查杀技术或者反过来，都不可能是好的杀软。
仅就病毒库来说，大与好也不是同义词，打个比方来说，1000克铁与100克黄金，谁值钱？病毒库也是同样的，每家杀软公司提取病毒特征码的能力不同，A公司只用4个字节特征就能判断出的病毒B公司要用12个字节特征来判断，谁更好？即使是同等大小的特征码，各公司打包成病毒库的方法也不一样，这也会造成病毒库大小不一致。而且不同公司针对病毒库的取舍也不尽相同，有的仅包含近几年来出现的病毒信息，有的则包含了更早期的、甚至基本绝迹了的病毒的信息，这也导致了病毒库大小的不一致。总之，仅依赖病毒库大小判断杀软的好坏太过于片面了。
至于启发到底包不包含行为分析，目前有几种观点：1、启发仅指特征启发，2、启发包含特征启发(基于不完全特征码，判断特征码匹配度)与行为启发(基于行为判断，根据触发规则权值求和)。这些尚有争论，个人觉得也就是广义与狭义的区别。
还有，主防和启发虽然有关联但并不是同一个概念。主防是一种防御技术，而启发是一种检测技术，根本不在同一个范畴里。