F-Secure 广为流传的谬误

xuedage

好帖，学习了，建议置顶！

走丢啦

非常精彩！

shaw530

LZ辛苦了 学习了

hysz

寫的真好！對FS系統軟件的認識就更多了，我也喜歡他的設計理念與防毒進程，所以早期的V5.52 用到現在V8，有任何相衝異狀可以容易卸載，特別是專門的卸載工具更是首選，而且用起來很順手！
我喜歡FS !

ㄚ一

3、「f-secure 曾經超過Kaspersky，排名第一，但後來Kaspersky增加了擴展病毒庫，反超f-secure」

    「第一」已經在上面駁斥了，說說後面那段。

    首先，FS 7 開始，已經有卡巴擴展庫了；其次，卡巴有時檢測率超過（說的是「有時」）FS，並不是因為它的擴展庫，而是因為它的啟發、解殼等技術。

特徵庫更新時間不一致才是主要！
兩者解殼根本一樣沒有差別，Kaspersky早就放棄極致的解殼技術了
從V4到現在的V8解殼方面只有更差沒有更好！
而且現在解殼就算再強，也沒有比對手擁有更多的優勢！

二、「F－Secure 採用卡巴 4.5/6.0 引擎」
引用:


    除了那段錯漏百出的介紹，FS 採用卡巴 XX 版引擎是我聽到最多的傳言之一了。

    當問及如何得知是什麼版本時，有的說是某某評測網站說的，有的說是某某論壇某位「權威人士」說過的；有位「專家」甚至信誓旦旦的「舉證」（在繁體論壇和簡體論壇都見過，名字就不提了），自己曾親自驗證過引擎文件的MD5還是SHA之類的，FS和卡巴某版本完全一模一樣云云，哈哈。

    那麼事實是什麼呢？我們來看看現實的幾個情況：
    1、FS 的 AVP 引擎版本號懷疑是自編的，與卡巴自己的引擎版本號並不一一對應。
    2、FS 的 AVP 引擎是修改過、部分（非完全）的引擎，有可能是卡巴改好給FS的，也可能是卡巴授權FS讓它自己改的。這點和早前的 AVK、eScan 並不相同。
    3、自 FSAV  4.0 之後，FS 再無官方方面的聲明，稱它採用的卡巴具體的哪一版的引擎。

    由此可見，某雜誌和某些專家說的並不準確；官方既然三緘其口，又沒有人真正有能力從技術的角度去分析它，FS到底採用什麼引擎，也只有鬼才知道了。說不定甚至連 FS 發言人都不知道自己引擎究竟算是卡巴哪一版本。總之，這也屬於 FS 十大謎題之一了。

    至於比較校驗碼什麼的可謂是睜眼說胡話的典範之一 —— 既然是修改過的版本，文件都不一樣了，還怎麼 MD5 「一模一樣」啊？早知道官方的「專家」不可信，沒想到民間的「專家」也那麼不靠譜，呵呵。

    順便說一句題外話，我不久前還聽過有人介紹說「AVK 2009 採用了卡巴和XX的引擎，非常的強悍」，總覺得這個世界太瘋狂了。

除非經過破解，否則雜湊值一樣，那絕對是同樣的一個文件

四、「FS 的企業版就是 F-Secure Client Security」
引用:


    既然 FSIS 破解如此費勁，為什麼不使用不需要破解的企業版本？

    很多人的回答令人啼笑皆非，「個人就應該用個人版，企業版是企業用的」，哈哈。不過這種想當然的有趣回答不止存在於FS，還存在於其它殺軟、其它軟件，以及操作系統。懶得去回應了，愛用什麼用什麼吧。

    來說說 FS 的企業版。

    常有新手問，「FS企業版是什麼？」於是高手們就回答他，「FS的企業版就是FSCS」

    但是告訴大家，這個回答是錯的！來看看 FS 的版本：

    FS的產品眾多，除了與ISP合作捆綁之外，FS的產品主要分三大類：家庭用戶、小型商業用戶、大型企業用戶。FS的企業版是個套裝，包括了以下產品：
    Products included in F-Secure Anti-Virus Enterprise Suite:
    F-Secure Client Security
    F-Secure Anti-Virus for Windows Workstations
    F-Secure Anti-Virus for Citrix Servers
    F-Secure Internet Gatekeeper
    F-Secure Anti-Virus for Microsoft Exchange
    F-Secure Anti-Virus for MIMEsweeper
    F-Secure Linux Server Security
    F-Secure Linux Client Security
    F-Secure Anti-Virus for Windows Servers
    F-Secure Internet Gatekeeper for Linux
    F-Secure Spam Control for MS Exchange
    F-Secure Spam Control for Internet Gatekeeper
    F-Secure Policy Manager

玩文字遊戲．．．
FSCS就是企業版，不是企業用戶誰會採購"客戶端版"？

七、「卡巴是FS的首發引擎」
引用:

    很多人總認為 FS 沒有自己的技術，同時認為 FS 多引擎中最先用到的還是卡巴引擎，

    實際上並非如此。FSCS8 五引擎中，有三個引擎是自主開發的，系統控制、防火牆也屬於FS自己的技術；而卡巴引擎也並非最先使用的監控引擎。

    且看 FS 官方論壇的兩段問答；

根據你寫的文章Hydra引擎是V8開始才有的
那V8之前的呢？

九、「FS 由於進程多，所以卡系統」
引用:

    正如許多人並不瞭解「啟發式」「主動防禦」卻喜歡掛在嘴邊，逢人便念叨一遍一樣，很多人其實並不真正瞭解自己所看到的任務管理器；所以得出這個風牛馬不相及的「結論」。

    真實的情況是FS佔內存而不佔CPU，通常也很流暢，沒有想像和傳言中的卡。

    其實佔內存和佔CPU完全是兩碼事。FS「卡」的多半原因，是系統設置、或跟其它安全軟件（沒卸載乾淨）衝突引起的 —— FS和很多軟件都有隱形的衝突，值得批評。比如有人同時安裝FS和小紅傘，就上不了網。

    同時，很多人建議FS減少進程以減少系統資源佔用。但我認為，多進程也是FS沒辦法中的辦法；正如一千隻螞蟻和一頭大象的原理一樣，如果FS不從內核上進行大的革新，而僅僅是簡單的融合、減少進程，結果只會更卡。

佔用CPU的問題在F-Secure官網蒐一下就可以找到了
http://support.f-secure.de/ger/c ... ue-2004012000.shtml

beike8256

真是学习了,楼主说的好啊!

astorm

原帖由 ㄚ一 于 2008-11-5 23:20 发表
特徵庫更新時間不一致才是主要！
兩者解殼根本一樣沒有差別，Kaspersky早就放棄極致的解殼技術了
從V4到現在的V8解殼方面只有更差沒有更好！
而且現在解殼就算再強，也沒有比對手擁有更多的優勢！

除非經過破解，否則雜湊值一樣，那絕對是同樣的一個文件

呵呵，又是想当然无证据的说辞。前面已说过，懒得驳斥了。

最后一个是2004年的解释，也一并略过。

ㄚ一

原帖由 astorm 於 2008-11-5 23:34 發表


呵呵，又是想當然無證據的說辭。前面已說過，懶得駁斥了。

最後一個是2004年的解釋，也一併略過。

你前面說的那些等於沒說
我告訴你F-Secure的引擎是可以跟Kaspersky核對版本的
在Kaspersky引擎還沒有進步緩慢之前，每個版本的特性都不一樣
兩相比較很容易就可以知道F-Secure用哪一版本的引擎！
樓主你如果不會，我或許私底下可以教教你



這個fsm32.exe的問題現在分明還是存在！
而且存以前就一直存在，而F-Secure還出過hotfix修正過這個問題！

說了半天，啟發到底是什麼？我的理解是：
    「此人尖嘴猴腮、獐頭鼠目，八成不是什麼好人」—— 以貌取人，這是傳統的「病毒特徵碼」技術；
    「這人走路東張西望、鬼鬼祟祟，我看是個小偷」 —— 行為特徵判斷，這是「啟發式」；
    「他把手伸進那位大媽的口袋裡了，快抓住他！」 —— 具體行為分析，這屬於「主動防禦」；
    「將嫌犯和一名化了妝的便衣女警關在小黑屋裡，看他是否有什麼不軌企圖」 —— 這叫「沙盤」技術。

我覺得這類的比喻不好，要麻單刀直入核心重點
這種譬喻連我都看不懂，其他人看了肯定也容易造成混淆
不是什麼東西都用二分法做分類，他不是一難道就一定是二不能是三還是四的嗎？
特徵碼跟啟發式的這兩個譬喻根本就是錯的

查毒可以根據啟發式，但是啟發式可不是單純靠"引擎"做就可以了
除了少數像VBA32這種虛擬機不需要特徵碼，大部分AV沒有特徵碼引擎要怎麼啟發？
現在目前普遍常用的基因啟發，就是標準的特徵碼啟發式
而啟發式中的虛擬機技術，同樣會創造虛擬環境
在虛擬環境內檢查是否具有危險行為！
你的譬喻裡這種方式跟沙盤的譬喻有什麼差別？？
真是諷刺，指責荒謬自己卻也荒謬的在誤人子弟

本拉稀

汗，进入两大高手辩论时间了。

astorm

原帖由 ㄚ一 于 2008-11-5 23:44 发表
你前面說的那些等於沒說
我告訴你F-Secure的引擎是可以跟Kaspersky核對版本的
在Kaspersky引擎還沒有進步緩慢之前，每個版本的特性都不一樣
兩相比較很容易就可以知道F-Secure用哪一版本的引擎！
樓主你如果不會，我或許私底下可以教教你

這個fsm32.exe的問題現在分明還是存在！
而且存以前就一直存在，而F-Secure還出過hotfix修正過這個問題！

正如你前面所说，既然你认为什么所谓的“否則雜湊值一樣，那絕對是同樣的一個文件”，那么请提出你的证据，否则依然无视。

“樓主你如果不會，我或許私底下可以教教你”。“真是諷刺，指責荒謬自己卻也荒謬的在誤人子弟”

以你的说话语气、表达能力及反应的人品，别说你水平未必比我高，就算某些地方比我多知道那么一点点，恐怕本人还不需要你来教。