防御的艺术

caolizhen

看到这个标题很多朋友也许会奇怪，为什么武术层面的东西会发到国外版呢？其实我做了一次标题党

  前言：很多朋友在和我交流杀软时，冥冥之中都会有不少人养成每周，或者定期全盘扫描的习惯，认为这是一种良好的安全习惯，可我却很不解，为什么一定要刻意扫描呢，而且还伤硬盘？


被扭曲的习惯
       估计这样的喜欢卡饭里的朋友们也会有，而且我估计相当广泛，为什么会形成这种习惯呢？我想大概是因为主动防御的较晚普及造成的。所谓主动防御，也就是非被动防御，简单的来说就是不用特定特征码查杀特定病毒（就这点来看，gen或者广谱，也就是基因应该算是主动防御技术，毕竟是特征码片段查杀），这种杀毒技术存在严重的滞后性，只有病毒入库以后才能识别。而主动防御，也就是可以优先侦测最新变种，达到先发制人的效果，刚开始的主动防御（比如启发，虚拟机等技术），但是由于种种原因目前效果没有预期的要好（影响因素太多，如系统环境，还有为了减少误报启发一般都开的不高，毕竟对一些新人来说那些模棱两可的提示很难进行操作）虽然目前应用了白名单，检验数字签证等手法，但并不能达到100%的未知侦测，可是却从一定层面上抵御了攻击。之后，随着云技术（不敢说算不算主动防御，但绝对不是被动的），HIPS这些新技术的加入，给主动防御注入了新鲜的血液，就好比卡巴2009，那近乎100%的kill病毒率绝对不可能用单纯的病毒库，启发来办到（小红伞这个问题嘛，这个这个，算个例外吧，但100%同样也很难）09中引入的应用程序过滤和主动防御，几乎把HIPS的作用发挥到了极致（虽然可能也许没有回滚）但也稍稍对用户的电脑知识有了一定要求，虽说有自动模式，但依然没有手动选择来的high。


防御的魅力
     前面废话了不少，可能大家都不知道我到底想说什么了，现在就引入正题。
     总的来说，我们因为过去的被动防御形成了一种固有习惯——定期扫描，并不是说他不好，只不过在目前这个主动防御满天飞，HIPS人人都用的时代未免有些落伍，扫描这东西毕竟耗时耗力，也许你说我电脑配置好，但是扫描时可不仅仅占用CPU，内存，更可怕的是硬盘，传统的物理硬盘一张碟就俩磁头，管你什么N核CPU，照样卡。
     所以防御的重要性就突出了很多，我们希望的并非机械的扫描，而是人性化的防御，就像诺顿360一样，你不管他，他默默保护，你只需要做你该做的。


防御的奥秘
     很多人也许会疑问，不扫描真的安全吗？万一病毒进入了电脑我不去管他可以吗？其实我们没有必要去担心这些，病毒，木马这玩意它不自己运行，就是死尸，如果运行了，杀软定会对其进行监控，分析（调用API了，写入内存了，当然要监控），即使真的无法检测到，你扫描也没啥意思。就好比微点吧，人家就是一个监控程序，没有扫描，但是比有些自称XX技术的杀软效果好得多，为什么？他把生和死之间的大门进行了监控，这样，你没有必要去监控死掉的那一面了（相当于硬盘内的数据）节约了资源，提高了效率，何乐而不为？

   
    说这么多，无味就是想让大家抛弃原来的习惯，减少不必要的浪费。（现在都经济危机了嘛)但不管今后主动防御发展到何等地步都不可能完美无缺，杀软毕竟只是一个工具，更重要的是我们个人的习惯和安全技能（虽然这句话被重复了千遍万遍，但还是得说）

    ————END


PS：本鱼水平有限，文章定会有一些突兀，请各位多指点咯。

自由空气

文笔很棒
诺顿09越用越爱 无需用户过多介入

chowfaye

杀软还是得装，虽然不用，图个心理踏实。

JusT.Like

定期安全模式扫描是有必要的……而这个期因人而异……
有些恶意程序，常规扫描是发掘不了的，过监控也是可以的……这个鄙人有实例
HIPS也有漏洞，智能、手动的也罢……
当然，楼主所说并不无道理……但有个前提，保证系统的纯净……

caolizhen

但是过了监控，扫描也过了不是吗？

像360啊，Windows清理助手这些软件定期扫描是很不错的，我想说的是杀软的扫描

JusT.Like

错……过监控不一定过扫描……特别是安全模式下……

cc56cc56

定期扫一下也不是什么坏事~即使是死尸，不也是占地方吗~~~

caolizhen

如果我没记错的话，安全模式下很多杀软不能监控吧。。。。。

还有，监控为了减少资源也许用的较低的启发，但是还有HIPS，行为分析等撑腰，扫描就是开高了的启发啊

不会游泳の鱼

杀软是否选择扫描，关键看你选择杀软的扫描速度。
扫描快的如小红伞，即使一天扫描个几回，估计也花不了多长时间嘛。
扫描慢的像卡巴一类的，安装后全盘扫描一次也就够了，否则等以后硬盘塞满东东，就太恐怖了。

bukkake

有一定的道理