如何打造PC中的反恐精英

古老的明了

世界上有很多恐怖分子，自杀爆炸，劫机，抢劫，绑架杀人，无恶不作。威胁世界安全，为此各国都有不同的反恐怖部队，比如著名的LA SWAT,GSG9,SAS.Seal 6team等等。同样的，电脑世界中也有恐怖分子，进行着影响系统安全，盗取账号，破坏文件，威胁个人隐私资料。所以，打造一只属于PC世界的反恐精英是非常必要的，根据我这几年使用各种反病毒软件（以下简称“杀软”）的经验，给各位看官分享一下心得。（你要是觉得我，那就自己找资料吧。老子还不伺候你呢）

++++++++++++++++++++华丽的分割线++++++++++++++++++++++++++++++

一、 PC反恐工作的定义

我们拿著名的L.A.P.D. S.W.A.T部队的职能描述：
S.W.A.T.并不执行类似案件侦破和嫌疑犯调查等常规任务。只是其他部门的警察单位在遭遇上或怀疑有重武装的罪犯时，才申请S.W.A.T.的援助，然后SWAT就用他们的特种武器和战术像闪电一样迅速控制场面、制止歹徒顽抗，然后全身而退，以便警探和调查人员进行其他的工作。
杀软也是一样，对于PC的日常活动并不会进行过多的干预，只在需要时进行使用，将顽固的病毒删除或者清理。这一点几乎所有的杀软都有这种特性，所以不一一列举例子了，但是如果只是这样，如何判断哪些属于正常活动，而哪些是病毒活动呢？

二、 如何定义恐怖袭击？

世界上对于恐怖活动的定义有很多种。各个国家的定义可能都略有不同，没有一个统一的标准。
PC世界中的恐怖活动定义也是一样，各家公司对于病毒的定义都是不同的，也就导致了没种杀毒软件病毒库大小和内容都不一样，但是现在的情况来讲，每2秒钟就会有一个新的病毒或者木马诞生，所以病毒库的更新速度成了各个杀软厂家技术能力强弱的差距。也成了我们选择杀毒软件的一个重要标准。
根据我使用过得经验和一些资料来看，瑞星，金山，NOD32，卡巴斯基，和诺顿都是更新速度比较快的，其中瑞星和金山一般每天更新3-4次病毒库，NOD32和诺顿是1天更新一次病毒定义库，卡巴斯基在这方面已经做到了现阶段最快的速度，据我最新看到的资料，卡巴斯基2009版的杀软将病毒库更新提高到了1小时更新一次。
病毒库的更新是必定会在新病毒产生之后的，每个杀毒软件的背后都会有一个成熟的技术团队来对可能会出现的病毒进行监测，培养并实验病毒危害性，找出应对方法等一系列活动后，将该类文件定义为病毒同时添加进病故库，这需要非常多的人力物力还有时间来进行。我使用过瑞星、金山，KV2009等国内厂商病毒库普遍在1百万左右，NOD32和诺顿等国外厂商可以达到200万，这就体现出国内厂商在这方面的不足，这几个软件中，现阶段最好的是卡巴斯基他的标准病毒库就已经达到了821562个（更新日期是2009年2月7日）网络病毒库已经超过200万（这是我在北大挺尤金此次中国安全行讲座中得知的）。从这点我们可以看出，卡巴斯基的技术团队的规模有多大。

++++++++++++++++++++华丽的分割线++++++++++++++++++++++++++++++

三、 如何防御恐怖袭击？

相信来过北京的哥们对于咱们2008年奥运年时北京地铁安检的情况记忆犹新吧，上下地铁都得安检，液体还得喝一口验证，这就是一种防御恐怖袭击的措施。
杀软在防御这方面通常有两种方法，主动防御和被动防御。
主动防御根据我的理解，就是在使用电脑时，将可能引发病毒的因素尽最大可能进行封堵或者清理。比如，360安全卫士，瑞星卡卡助手（总觉的是个桌面宠物），金山反间谍2009，卡巴斯基的漏洞监测（或者威胁检测）都是主动防御的一种手段，因为病毒很多时候都是利用系统中的漏洞和BUG进行攻击，比如预计4月1日爆发的conficker蠕虫的变种“KIDO”，就是利用漏洞MS08 – 067来试图通过计算机网络攻击445或TCP端口139，来导致登陆故障。通过修复该漏洞就可以预防故障，所以漏洞修复对于病毒的防御非常有效。另外利用“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征，可以识别大部分未被截获的未知病毒和变种，从而反馈到病毒研究中心，进行行为判断后，更新病毒库。
被动防御方面，一般都会通过“行为判断”技术来判断程序的行为特征，从而识别改程序是否会对系统构成威胁。估计各位看官都遇到过诺顿提示有恶意插件尝试进入系统，瑞星提示是否允许该操作执行，金山提示有未识别的程序要访问计算机，卡巴斯基提示有程序要写入注册表等等等这些，都是杀软的被动防御功能识别到了危险动作，会询问使用者是否是安全的，需要确定后才能正常使用，如果不允许的话就无法继续进行动作。这个功能如何界定到底是不是需要拦截呢，行为判断是一个标准，另一个标准就牵扯到了刚才我提到过得病毒库定义。符合病毒库定义内的行为一般都会受到杀软的重点监控。
在防御技术方面，由于沙盒技术的广泛应用，让各个杀软对于网络病毒，特洛伊木马的防御能力都得到了有效地提高，在这方面我个人比较看好KV2009，卡巴斯基2009，KV2009对于沙盒的应用特点在于沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。而卡巴斯基的HIGHLIGHT是他特殊的双向防火墙技术，不进限制外部试探性入侵，也防止已经感染如木马类的恶意程序控制计算机进行开“后门”动作导致的进一步感染，可以最大限制的防止其他“艳照门”类似泄露事件的发生。（例子举的有点邪恶，哈哈）
上面我列举的几个杀软是在这方面比较突出的，当然360安全卫士这个类杀软也有这个功能。毕竟防毒一定要在杀毒之前完成，尽量不去亡羊补牢。

++++++++++++++++++++华丽的分割线++++++++++++++++++++++++++++++

四、反恐利器

当发生恐怖事件时。就是反恐精英们出动的时候，携带各种反恐利器，有助于战胜恐怖分子，保卫世界和平，赐予我力量吧我是————希曼（严重跑题中。。。）
在杀毒能力方面（下面列举的是查毒能力较高的软件，杀毒能力与之前的病毒定义库有绝对关系所以不再多说），国内和国外厂商分庭抗礼，让国人非常欣慰，老牌杀毒软件如江民KV2009、金山毒霸、瑞星，都具有良好的杀毒功能，个人认为应用“启发式扫描”技术的KV2009在杀毒能力（注意只是针对杀毒能力，不包括搞笑的桌面宠物和娱乐元素）在国内首屈一指。而国外产品就比较多元化一些， 比如BitDefender Antivirus ，卡巴斯基，NOD32, F-Secure Anti-Virus。各大厂商的看家本领到百度一搜能搜出一大堆，而且老卡在北大的时候也讲得非常明白，我就不多说了。这里特别值得一提的是F-Secure Anti-Virus，是来自来自芬兰的杀毒软件，集合AVP,LIBRA,ORION,DRACO四套杀毒引擎于一身，对网络流行病毒尤其有效。但有趣的是，这款杀毒软件使用的AVP是卡巴斯基杀毒引擎，这个软件的开发者是不是也是卡fan？老卡应该找他收收版权费哈哈。
杀毒的准确率或者说误杀率，也是现在广大人民群众关心的一点，辛辛苦苦做的动画和工作被删除，如果遇到了估计会立刻卸载这个杀毒软件来泄愤。
但是我觉得，只要是杀毒软件，必然有误杀的可能，宁可错杀一千也不放过一个，根据我的观察误杀率较高的软件多集中在病毒定义库相对较弱的软件，讽刺的是我刚才说的F-Secure Anti-Virus，还有nod32，在我使用期间都发生过误杀事件，5555俺的魔兽私服文件啊。。。。对于有扩展定义库的，还有更新病毒库较快的杀毒软件，就能比较好的解决误杀问题，这类问题的代表事件：联想电脑某系列读卡器与windows和金山同时使用会提示找不到驱动器问题，诺顿或者瑞星使用与VISTA系统下时会提示找不到网络，都是通过非常快速的重新定义病毒库进行解决处理，此类问题的解决速度也可以体现杀软公司的能力。
杀毒速度也应该算是杀毒能力中的一环，但是这方面基本没有什么特别大的分歧，杀毒软件占用系统资源的大小决定了杀毒速度，下一环节我就跟大家说说。（插广告）

++++++++++++++++++++华丽的分割线++++++++++++++++++++++++++++++

广告：你的电脑还在裸奔么?使用XX杀毒软件，享受裸奔所感受不到的安全感（裸奔能安全得了么）

++++++++++++++++++++华丽的分割线++++++++++++++++++++++++++++++

五、 反恐的成本

反恐部队需要后勤支援，装备，人员薪水等等，而到了计算机的世界，就成了系统资源的占用，如何用最小的硬盘空间和内存使用来达到同样的甚至更高的杀毒效果，就成了各个杀软公司技术部门最头疼的课题。
我使用的这些杀毒软件中，我认为占用资源最少的有： NOD32据VB100测试只有11M，平均占用23M的内存（太狠了），卡巴斯基2009,28MB，内存占用60MB。诺顿2008，内存占用10-15MB（这个是参数，我用起来感觉不应该真的这么少），已经达到了杀软的巅峰，也许有比这几个还少的专业杀软，但是我觉得就性价比来讲，足以满足个人用户的要求了。
想要让自己的电脑不会被恐怖袭击侵扰，就要提前准备好自己的反恐精英，希望我的介绍能对大家有帮助，多多回帖，多多讨论。

wswhw2008

头一次坐沙发 说的不错，很有关联能力

231767500

本人乃是小公民一只……电脑内不含高度机密。

[ 本帖最后由 231767500 于 2009-4-7 18:23 编辑 ]

The EQs

NOD32和诺顿是1天更新一次病毒定义库

这句就可以看出来LZ没有使用过nod32和诺顿

Atlantis祭司

同感。

小v可

KIS简单安全省心！

yeow5243

咖啡才是一天更新一次

Blackdavid

路过··········

play32

今天nod32好像更新了两次了

Dirk

这帖子没啥意思
楼主
珍惜第一次额