趣解传统杀毒软件与主动防御技术

ytrewq

一、传统杀软：
您的电脑就像一座围着城墙的古代城池。
城池有一道城门（U盘，网络，光盘等外部进来的通道），
城门口站着守卫（传统杀毒软件），
守卫手上拿着一份公安部（杀软厂商）发下来的通缉犯的名单和照片（病毒库），
进出城门的人（外部进来的文件）都要经过守卫仔细核对每个人的名字和照片（实时监控，采用特征码对比技术），
如果发现某人和名单上的照片相似（特征码匹配），立即打入死牢（清除病毒）！

此方法缺点：
1、    如果某人昨晚刚刚犯罪（新病毒），今天便逃往您这座城（传播），公安部显然还没来得及通缉他（病毒库中没有新病毒的特征码）。于是，您这座城便不得安宁了（中毒）。
此缺点补救方法：以最快的频率和公安部取得最新的通缉犯名单和照片（升级病毒库），然后派大批的人挨家挨户的查房（反病毒引擎全盘扫描）。
2、    如果某人是在逃的通缉罪犯（老病毒），找美容医院整了容（加壳），然后来到了您这座城（传播），守卫肯定不会认识他（脱壳能力差）。于是，您的城又鸡犬不宁了（中毒）。
此缺点补救方法：现在年增加1000万的未知病毒新病毒，对传统杀毒软件压力太大了。发展高科技，给守卫配备先进设备，不靠眼睛识别罪犯（杀软厂商升级自己的脱壳技术）。
此方法优点：
宁可错杀一千。不可放过一个（保持系统干净，没有病毒尸体）！


二、主动防御：
您的电脑同样是一座围着城墙的古代城池。
城池的城门大开，任何人都可以正常出入。
您拥有一个可以监控全城的人的行动的天使（主动防御软件）。
他随时关注着城里所有人的一举一动（行为监控）。
一旦发现有人违法（触发行为规则），立即打入死牢（清除病毒）！

此方法缺点：
如果有罪犯进入了城里（病毒进入了您的硬盘），但是规规矩矩的过了一辈子也不违法（未发作），那么天使不会对他采取任何行动（留下病毒尸体）。

此方法优点：
1、    不管罪犯是刚刚犯的事（新病毒），还是老油条（老病毒），只要在城里犯事就抓（触发行为就清除）！不用时刻找公安部要新的名单和照片（不用经常升级）。
2、    不管罪犯变成美女还是帅哥（加壳），只要有违法行为（触发规则），立即正法（清除病毒）！

由此对比可看出，不管是传统杀软杀扫描技术还是主动防御技术，都有不足
之处。而相比之下，主动防御技术有着明显的优势，可以非常有效的防御新病毒，真正的做到主动杀毒！这一点微点的实力在熊猫烧香发作的时候得到了充分的证明完胜熊猫烧香！而主动防御技术的缺点就是“不发作的病毒不处理”。所以，只有主动防御和传统扫描结合起来，用主动防御进行监控，扫描技术来清除那些没有发作的病毒，才是最理想的杀毒软件。但是我们要注意区别的是，主动防御绝不单单是简单的注册表监控，对于某些厂商鼓吹的主动防御，相信谎言迟早是要被戳穿的。不过它们的扫描引擎是真资格的，而越来越多的传统杀软厂商在其产品中加入“主动防御”也映证了我们上面那句话。而在主动防御领域领先的微点主动防御软件，也开发出了正在内测的扫描引擎。同样映证了我们上面那句话。未来杀毒界鹿死谁手，时间会告诉我们一切！

读后评:以简单有趣的例子通俗讲解了传统特征码查杀病毒和现在主流杀毒技术的区别及方法,让网友更加深刻了解杀毒软件技术原理

destructorv2

写的很有意思，谢谢楼主分享

zwl2828

他规矩地过日子，不做坏事，就无需逮捕他，所以这不是缺点。

geyang925

呵呵,写的有点意思

jellybudding

写的真是有意思,也把两者的不同点形像化的分析出来,赞一下

jpzy

早就看过了~！
特征码有特征码的优势，特征码可以御敌于国门之外，主防只能放敌人进城。你怎么保证敌人动手了你就一定抗得住呢？

另外，特征码的误杀率比主防要低。毕竟两张脸长得八九不离十的事情不多。所以，特征码不是“宁可错杀一千，不可放过一个”。

主防也不是那么安分的。看到有人动刀就逮人，结果人家是卖猪肉的，厨房切墩的，后院砍柴的……没办法，还得出个清白榜：允许张三卖肉，允许李四切墩，允许王五砍柴………………

[ 本帖最后由 jpzy 于 2009-1-6 11:04 编辑 ]

funnyface

好像在哪里看到过，讲的很生动，呵呵

cutekingkids

恩，这个更生动，所以要两者结合，呵呵

philishave

有点意思.

Dirk

6楼的有才...