查看: 3058|回复: 1
收起左侧

[讨论] 防毒软件用户在想什么?(网管员安全周记)

[复制链接]
pctool
发表于 2008-6-10 17:10:05 | 显示全部楼层 |阅读模式
最新病毒情况
最新病毒码及清毒工具
最新病毒警讯
实时通讯=实时风险 川震诈骗活动愈来愈多
更多往期回顾 中文黑客工具 助长网站渗透
[table=98%]
消费者的投诉信 骇到美国企业
[/td][/tr][tr][td][/td][/tr][tr][td][/td][/tr][tr][td]
  “有没有那种装了之后,不会跳出窗口来问我怎么做,什么都可以自动解决又不会出错的防毒软件?”
这是一位教音乐的朋友阿肥问我的问题。我思考了一下,斩钉截铁的回答:没有。起码在我十多年的使用经验和测试中,从没遇过这么理想的防毒软件。

  像阿肥这种计算机业之外的精英人士,在计算机软硬件方面想当然不会很熟(常用的东西用得好就不错了!),对他们来说,想对抗复杂多变的恶意程序,防毒软件是唯一可依赖的选择,即使用了会影响计算机执行速度;多数时候又看不出有何表现,不知是浪费钱还是有确实的防御效果。

  但面对日新月异的恶意程序,很少人敢不弄一套来装,尤其是各行各业已经演化到离不开计算机的前提下,不装套防毒软件,说实在的也真难安心,尤其是那些有经验中过恶意程序而数据毁于一旦的朋友,更是不装就毫无安全感。所以我把防毒软件比喻为计算机的必要之恶,就跟人类的政府一样。

  多数人总认为装了之后,它就会自动把所有恶意程序挡在计算机之外,从不去了解它的功能、设定和状况处理方式,以致于防毒软件没有彻底发挥应有的”实力”,某些状况明明不是防毒软件的错,却一口咬定是防毒软件不够好。可是诚如吾友阿肥所说:”我就是不懂才需要防毒软件呀!就像不会修车才要找汽车修理厂呀!要是用个计算机就得什么都会,有资格进科技公司上班的人不就满街市?”

  话虽如此,偏偏计算机安全的范围很广,恶意程序的种类、类型、入侵形式和可能的状况又多又复杂,伪装的方式更是千奇百怪,加上演进速度越来越快,防毒软件要达到完全防护和不误判的状况,真的有难度,往往还得配合使用者的判断才行,否则可能会造成更大的灾难(去年某信息安全大厂的产品误判Windows内的重要系统文件为恶意程序并且加以隔离或删除,导致许多人的计算机无法使用)。因此多数的防毒软件都会保留让使用者自行判断的弹性,问题是多数人和吾友阿肥一样:我的专业不在此,更没兴趣了解,不想用这种方式来解决!我需要更smart的东西!

到底一般使用者最常碰到哪些问题呢?根据我多年的经验,在使用和设定方面,主要有以下的几个问题。在使用方面:

1.判断某个程序有没有安全风险,我哪知?

  安装或执行某些软件时,防毒软件会跑出一个窗口来,大意是说侦测到某个程序可能是危险软件,或者它的行为具有危险性,要不要加以隔离、删除、禁止(执行)或执行?如果使用者对于要安装的软件或所用软件有点了解的话,或许还知道该怎么处理,要命的是很多人根本就不知道!一旦出现这个窗口,不是来者不拒的隔离、删除、禁止(选项视防毒软件而定),就是一律放行。结果不是某些应用软件不能用,就是让恶意程序长驱直入。

2.隔离区的档案可不可以或该不该杀掉?

  扫瞄计算机时,某个档案可能因为感染恶意程序而被送往隔离区内(顾名思义是为了避免感染状况扩大),但有些人对于恶意程序的存在已经到了杯弓蛇影的地步,会问真的能有效隔离吗?在里面就不会感染其它的档案吗?只要这些有问题的东西在自己的计算机内,心理就是觉得不妥,不彻底干掉就是不放心!可是我偏偏就遇过删除隔离区的档案之后,计算机就再也不能开机的状况!

3.装了防毒软件后,计算机变慢且画面常常会当住!

  现今多数的防毒软件都有主动防护的功能,只要档案有存取、编修的动作就会加以扫瞄。发展至今,主动防护不只会扫瞄档案,连内存、程序的启动和对象的加载等也会加以扫瞄。这一扫瞄,往往就会让画面整个当在那儿不动或执行效能明显下降(端视扫瞄设定的种类和类型多寡而定,另外就是计算机系统的运算能力强不强),不了解详情的,还以为自己安装的防毒软件有问题!基本上这是个预防胜于治疗的功能,但也常常带来不便,尤其是正在赶案子的时候。

4.警告某个网页有问题,但却是我的博客?

  目前很多防毒软件都能扫瞄网页的内容,看看它是不是钓鱼网站,或网页内有没有恶意程序或程序代码,好减少使用者因为浏览网页而受害的机会。警告的如果是第一次看且不是很重要的网页,使用者也许会在安全的考虑下放弃继续浏览,但若遇到的是自己公司或知名的网站,甚至是自己的博客,怎么办?(Google旗下的Blogger,许多博客就曾被号称地表上最强的防毒软件判定为钓鱼网站而不能浏览),遇到这种状况不免让人怀疑:这些网站是不是被黑客入侵而植入恶意程序或程序代码?(如不久前精诚信息的官网)还是防毒软件误判?要不要放行或禁止呢?想必没几个人知道正确的选择吧!

5.要不要修改系统的登录文件(Registry)?

  自从浏览器的首页出现绑架案以来(就是不管怎么设定都会跑到某个特定的网站),系统登录文件的防护,似乎就被纳入防毒软件的保护范围。基本上安装软件是一定会更改登录档,如果不是自己决定要安装的当然要阻挡,问题是某些东西光是更改设定也会修改登录文件,例如换个屏幕保护程序。一般人第一次看到时肯定会被吓一跳!还以为计算机中了伪装成屏幕保护程序的恶意程序…(注:部分防毒软件对于这一类情况会自动放行)

6.某程序走某通讯端口,要不要放行?

  这种情形通常会出现在已经把防火墙整合进来的防毒软件上,目的当然是要透过通讯端口的管理来避免数据外泄或攻击。可是突然出现”XXX.dll透过远程连接埠2815链接到http://YYY.com”的窗口,然后给了封锁和执行二个项目让你选,很多人看到后恐怕只有晕眩和恐慌的感觉,因为根本不知道2815连接埠的传输特性,也不知道到底是要传送什么数据出去!执行后会有什么不良后果?说真的,问程序的设计者吧!

设定方面:

1.扫瞄的范围该设多大?要涵盖哪些类型?

  现在的硬盘容量越来越大(当然是因为档案越来越多),如果设定成完整扫瞄,每次的扫瞄时间几乎都以小时为计算单位。改设定成快速扫瞄模式(某些类型或状态的档案省略不扫瞄),又怕有漏网之鱼,至于档案类型的状况也相似。怎么在安全和效能之间取得平衡,相信会考倒很多使用者。

2.最适合的自动更新频率?

  以前很多人就是因为忘记更新病毒码才会中毒,所以现在的防毒软件都能设定自动更新来避免或减少这种情况。只是恶意程序翻新的速度真的很惊人,想有效防护,更新频率可不能设的太低。但更新频率太高,可能会降低系统效能(有些防毒软件更新后会立刻扫瞄内存、执行中的程序、对象和隔离区)。到底该设多少?以我的经验来说,一天最多只能更新一次的产品真的可以不要了,起码要以小时为设定单位的才行。(当然,对于挂网时间很短的人可能没有意义)

3.该设定自动扫瞄吗?

  有种说法是该设定定期的自动扫瞄,以确定自己的计算机很健康。我个人却认为这是个多余且浪费时间的动作。因为防毒软件如果不能在第一时间阻挡恶意程序(只要有存取和编修档案的动作就该进行扫瞄),还要等到例行的全系统扫瞄才察觉恶意程序的存在,那未免也太危险了!说不定在不知不觉中,恶意程序早就传染给数不清的档案和计算机了!至于防毒软件安装完所要求的系统完整扫瞄,为了确保安全和让自己安心,这个动作是该做,之后则该视情况而定,例如怀疑计算机有问题的时候。

4.要不要开启学习模式?

  有些防毒软件为了减少误判或减少警告窗口出现的频率,会根据使用者对于过往各种判定结果,来决定之后类似情况的判断依据。就长期来看,这样的功能可以符合使用者的习惯,会减少使用上的干扰,但是对于什么都放行的人来说,这个功能可能会害了他。

5.使用未知病毒分析技术到底有没有用?

  很多防毒软件对于恶意程序可能的变种能自行加以分析和拦截,以减少计算机在病毒码还没发布的空窗期被感染的机会。听起来很棒,实际上效果很难说。因为判定出来的结果,谁敢保证正确性?虽然理论上可以增加安全防护的范围,但判断出错时也会带来困扰。

若使用的是整合型防毒软件,可能还会有一些和防火墙或网络存取有关的设定问题:

1.哪些通讯端口该开,哪些该关?

  现在需要链接网络的软件和应用有越来越多的趋势,通讯端口的管理也变成是安全防护的一大重点了。理论上,不用的通讯端口全都关掉当然比较安全,只是没有几个人会去仔细钻研通讯端口的各项细节(有那个时间,就变信息安全专家了!),多数是使用软件的默认值,等碰到外来的非法存取时(这里的非法与法律无关,是指未经计算机管理者的同意),才进行封锁的动作。说起来是很被动,可是牵涉的内容太专业,一般使用者也只能鸵鸟的选择被动防御。

2.那些程序该开放存取网络,哪些不该?

  执行某些非通讯或档案传输软件时,会出现得连上网的要求,例如正版软件的验证,或者要连到开发者的数据库以取得最新的数据,如硬件测试软件等。该不该放行的先决条件,当然要看自己知不知道这些程序是啥玩意。若能把不需要放行的加以阻挡(不连上网一样能执行),对于系统效能还会有点帮助(能省掉检查的时间和运算资源),但遇到没检查就不能用的东西,除了先查阅说明档外,有时只有试试看才知道。

3.网页防护是要防护什么?

  网页的防护通常是要比对是否为钓鱼网站;扫瞄看看有没有附恶意程序或程序代码;会不会利用Script的方式强迫使用者安装恶意的外挂程序等(或者所写的Script本身就是恶意的)。一般来说最好是全部都防护,不过有时会因此而让连上网页变慢(要看网络的状态和计算机的运算能力),有些人会误以为自己的计算机当了或者网络有问题,增加不少困扰。

4.已经设定过滤垃圾邮件,但还是收到一堆垃圾信?

  垃圾信的判断本来就不容易,虽然很多电子邮件过滤软件(Anti-Spam)号称过滤能力超过99.9 %以上。不过用过的人或多或少都有类似的经验:想收的信被挡,不想收的还是收到!除了发送垃圾信和过滤的技术消长之外,有时也跟ISP有关。怎么办?这时只好配合白/黑名单的功能和多信箱策略,尽量降低垃圾信件的管理困扰。

5.怎么设定广告阻挡比较好?

  设定广告阻挡的优点除了能挡掉不想看的广告之外,往往也会加快加载网页的速度(尤其是影片式广告),但有时候也会因此挡掉某些要看的内容(这种情形常发生在图片内容上),这时只有自行手动设定白/黑名单来辅助了。不过设定起来有点麻烦,通常得先查出广告的来源或特征才行(各软件的设定方法各有巧妙),对于只会看网页不懂什么叫网页来源码的一般使用者来说,这是个让人头大的工作。

  以上所列还只是常见的问题而已,其它稀奇古怪的问题,更是不胜枚举。

  信息安全公司或设计人员有办法提供使用更简易但不减安全防御的产品吗?如果有,我想家庭使用者和企业的IT人员应该都会很开心的接受才对。不过短期内我想是不大可能,因为恶意程序也会不断进步啊!所以为了自己和公司的计算机安全,即使再怎么没兴趣和意愿,使用者最好还是拨点时间了解一下防毒软件和信息安全常识会比较好。
[/td][/tr][tr][td]
[/td][/tr][tr][td][/td][/tr][tr][td][/td][/tr][tr][td]
[/td][/tr][/table]
jmz
发表于 2008-6-10 17:13:22 | 显示全部楼层
谢谢你复制那么多东西...可是这样的帖子基本上我都不会看完的..
我还是比较喜欢看别人使用后总结的经验帖...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:25 , Processed in 0.154571 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表