楼主: astorm
收起左侧

[原创] F-Secure 广为流传的谬误

[复制链接]
xuedage
发表于 2008-11-5 21:23:31 | 显示全部楼层
好帖,学习了,建议置顶!
走丢啦
发表于 2008-11-5 21:58:24 | 显示全部楼层
非常精彩!
shaw530
发表于 2008-11-5 22:40:44 | 显示全部楼层
LZ辛苦了 学习了
hysz
发表于 2008-11-5 22:41:50 | 显示全部楼层
寫的真好!對FS系統軟件的認識就更多了,我也喜歡他的設計理念與防毒進程,所以早期的V5.52 用到現在V8,有任何相衝異狀可以容易卸載,特別是專門的卸載工具更是首選,而且用起來很順手!
我喜歡FS !
ㄚ一
发表于 2008-11-5 23:20:13 | 显示全部楼层
3、「f-secure 曾經超過Kaspersky,排名第一,但後來Kaspersky增加了擴展病毒庫,反超f-secure」

    「第一」已經在上面駁斥了,說說後面那段。

    首先,FS 7 開始,已經有卡巴擴展庫了;其次,卡巴有時檢測率超過(說的是「有時」)FS,並不是因為它的擴展庫,而是因為它的啟發、解殼等技術。

特徵庫更新時間不一致才是主要!
兩者解殼根本一樣沒有差別,Kaspersky早就放棄極致的解殼技術了
從V4到現在的V8解殼方面只有更差沒有更好!
而且現在解殼就算再強,也沒有比對手擁有更多的優勢!


二、「F-Secure 採用卡巴 4.5/6.0 引擎」
引用:


    除了那段錯漏百出的介紹,FS 採用卡巴 XX 版引擎是我聽到最多的傳言之一了。

    當問及如何得知是什麼版本時,有的說是某某評測網站說的,有的說是某某論壇某位「權威人士」說過的;有位「專家」甚至信誓旦旦的「舉證」(在繁體論壇和簡體論壇都見過,名字就不提了),自己曾親自驗證過引擎文件的MD5還是SHA之類的,FS和卡巴某版本完全一模一樣云云,哈哈。

    那麼事實是什麼呢?我們來看看現實的幾個情況:
    1、FS 的 AVP 引擎版本號懷疑是自編的,與卡巴自己的引擎版本號並不一一對應。
    2、FS 的 AVP 引擎是修改過、部分(非完全)的引擎,有可能是卡巴改好給FS的,也可能是卡巴授權FS讓它自己改的。這點和早前的 AVK、eScan 並不相同。
    3、自 FSAV  4.0 之後,FS 再無官方方面的聲明,稱它採用的卡巴具體的哪一版的引擎。

    由此可見,某雜誌和某些專家說的並不準確;官方既然三緘其口,又沒有人真正有能力從技術的角度去分析它,FS到底採用什麼引擎,也只有鬼才知道了。說不定甚至連 FS 發言人都不知道自己引擎究竟算是卡巴哪一版本。總之,這也屬於 FS 十大謎題之一了。

    至於比較校驗碼什麼的可謂是睜眼說胡話的典範之一 —— 既然是修改過的版本,文件都不一樣了,還怎麼 MD5 「一模一樣」啊?早知道官方的「專家」不可信,沒想到民間的「專家」也那麼不靠譜,呵呵。

    順便說一句題外話,我不久前還聽過有人介紹說「AVK 2009 採用了卡巴和XX的引擎,非常的強悍」,總覺得這個世界太瘋狂了。

除非經過破解,否則雜湊值一樣,那絕對是同樣的一個文件



四、「FS 的企業版就是 F-Secure Client Security」
引用:


    既然 FSIS 破解如此費勁,為什麼不使用不需要破解的企業版本?

    很多人的回答令人啼笑皆非,「個人就應該用個人版,企業版是企業用的」,哈哈。不過這種想當然的有趣回答不止存在於FS,還存在於其它殺軟、其它軟件,以及操作系統。懶得去回應了,愛用什麼用什麼吧。

    來說說 FS 的企業版。

    常有新手問,「FS企業版是什麼?」於是高手們就回答他,「FS的企業版就是FSCS」

    但是告訴大家,這個回答是錯的!來看看 FS 的版本:

    FS的產品眾多,除了與ISP合作捆綁之外,FS的產品主要分三大類:家庭用戶、小型商業用戶、大型企業用戶。FS的企業版是個套裝,包括了以下產品:
    Products included in F-Secure Anti-Virus Enterprise Suite:
    F-Secure Client Security
    F-Secure Anti-Virus for Windows Workstations
    F-Secure Anti-Virus for Citrix Servers
    F-Secure Internet Gatekeeper
    F-Secure Anti-Virus for Microsoft Exchange
    F-Secure Anti-Virus for MIMEsweeper
    F-Secure Linux Server Security
    F-Secure Linux Client Security
    F-Secure Anti-Virus for Windows Servers
    F-Secure Internet Gatekeeper for Linux
    F-Secure Spam Control for MS Exchange
    F-Secure Spam Control for Internet Gatekeeper
    F-Secure Policy Manager

玩文字遊戲...
FSCS就是企業版,不是企業用戶誰會採購"客戶端版"?


七、「卡巴是FS的首發引擎」
引用:

    很多人總認為 FS 沒有自己的技術,同時認為 FS 多引擎中最先用到的還是卡巴引擎,

    實際上並非如此。FSCS8 五引擎中,有三個引擎是自主開發的,系統控制、防火牆也屬於FS自己的技術;而卡巴引擎也並非最先使用的監控引擎。

    且看 FS 官方論壇的兩段問答;

根據你寫的文章Hydra引擎是V8開始才有的
那V8之前的呢?


九、「FS 由於進程多,所以卡系統」
引用:

    正如許多人並不瞭解「啟發式」「主動防禦」卻喜歡掛在嘴邊,逢人便念叨一遍一樣,很多人其實並不真正瞭解自己所看到的任務管理器;所以得出這個風牛馬不相及的「結論」。

    真實的情況是FS佔內存而不佔CPU,通常也很流暢,沒有想像和傳言中的卡。

    其實佔內存和佔CPU完全是兩碼事。FS「卡」的多半原因,是系統設置、或跟其它安全軟件(沒卸載乾淨)衝突引起的 —— FS和很多軟件都有隱形的衝突,值得批評。比如有人同時安裝FS和小紅傘,就上不了網。

    同時,很多人建議FS減少進程以減少系統資源佔用。但我認為,多進程也是FS沒辦法中的辦法;正如一千隻螞蟻和一頭大象的原理一樣,如果FS不從內核上進行大的革新,而僅僅是簡單的融合、減少進程,結果只會更卡。

佔用CPU的問題在F-Secure官網蒐一下就可以找到了
http://support.f-secure.de/ger/c ... ue-2004012000.shtml
beike8256
发表于 2008-11-5 23:21:53 | 显示全部楼层
真是学习了,楼主说的好啊!
astorm
 楼主| 发表于 2008-11-5 23:34:59 | 显示全部楼层
原帖由 ㄚ一 于 2008-11-5 23:20 发表
特徵庫更新時間不一致才是主要!
兩者解殼根本一樣沒有差別,Kaspersky早就放棄極致的解殼技術了
從V4到現在的V8解殼方面只有更差沒有更好!
而且現在解殼就算再強,也沒有比對手擁有更多的優勢!

除非經過破解,否則雜湊值一樣,那絕對是同樣的一個文件


呵呵,又是想当然无证据的说辞。前面已说过,懒得驳斥了。

最后一个是2004年的解释,也一并略过。
ㄚ一
发表于 2008-11-5 23:44:55 | 显示全部楼层
原帖由 astorm 於 2008-11-5 23:34 發表


呵呵,又是想當然無證據的說辭。前面已說過,懶得駁斥了。

最後一個是2004年的解釋,也一併略過。

你前面說的那些等於沒說
我告訴你F-Secure的引擎是可以跟Kaspersky核對版本的
在Kaspersky引擎還沒有進步緩慢之前,每個版本的特性都不一樣
兩相比較很容易就可以知道F-Secure用哪一版本的引擎!
樓主你如果不會,我或許私底下可以教教你



這個fsm32.exe的問題現在分明還是存在!
而且存以前就一直存在,而F-Secure還出過hotfix修正過這個問題!


說了半天,啟發到底是什麼?我的理解是:
    「此人尖嘴猴腮、獐頭鼠目,八成不是什麼好人」—— 以貌取人,這是傳統的「病毒特徵碼」技術;
    「這人走路東張西望、鬼鬼祟祟,我看是個小偷」 —— 行為特徵判斷,這是「啟發式」;
    「他把手伸進那位大媽的口袋裡了,快抓住他!」 —— 具體行為分析,這屬於「主動防禦」;
    「將嫌犯和一名化了妝的便衣女警關在小黑屋裡,看他是否有什麼不軌企圖」 —— 這叫「沙盤」技術。

我覺得這類的比喻不好,要麻單刀直入核心重點
這種譬喻連我都看不懂,其他人看了肯定也容易造成混淆
不是什麼東西都用二分法做分類,他不是一難道就一定是二不能是三還是四的嗎?
特徵碼跟啟發式的這兩個譬喻根本就是錯的

查毒可以根據啟發式,但是啟發式可不是單純靠"引擎"做就可以了
除了少數像VBA32這種虛擬機不需要特徵碼,大部分AV沒有特徵碼引擎要怎麼啟發?
現在目前普遍常用的基因啟發,就是標準的特徵碼啟發式
而啟發式中的虛擬機技術,同樣會創造虛擬環境
在虛擬環境內檢查是否具有危險行為!
你的譬喻裡這種方式跟沙盤的譬喻有什麼差別??
真是諷刺,指責荒謬自己卻也荒謬的在誤人子弟
本拉稀
头像被屏蔽
发表于 2008-11-5 23:46:38 | 显示全部楼层
汗,进入两大高手辩论时间了。
astorm
 楼主| 发表于 2008-11-5 23:53:52 | 显示全部楼层
原帖由 ㄚ一 于 2008-11-5 23:44 发表
你前面說的那些等於沒說
我告訴你F-Secure的引擎是可以跟Kaspersky核對版本的
在Kaspersky引擎還沒有進步緩慢之前,每個版本的特性都不一樣
兩相比較很容易就可以知道F-Secure用哪一版本的引擎!
樓主你如果不會,我或許私底下可以教教你

這個fsm32.exe的問題現在分明還是存在!
而且存以前就一直存在,而F-Secure還出過hotfix修正過這個問題!


正如你前面所说,既然你认为什么所谓的“否則雜湊值一樣,那絕對是同樣的一個文件”,那么请提出你的证据,否则依然无视。

“樓主你如果不會,我或許私底下可以教教你”。“真是諷刺,指責荒謬自己卻也荒謬的在誤人子弟”

以你的说话语气、表达能力及反应的人品,别说你水平未必比我高,就算某些地方比我多知道那么一点点,恐怕本人还不需要你来教。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:21 , Processed in 0.091311 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表