谈谈杀软究竟是个啥

白羊座

杀软是用来防御恶意软件的软件吧？是的，只是防御的方式比较特殊而已。我习惯称其为前摄式防御，或者你可以认为是预防御。毫无疑问，杀软是防御体系的先锋，是御敌于国境之外的第一道防线。为什么又说是特殊呢，因为在这个过程中不存在真正进攻方，所以杀软的“防御”其实也是无从说起的。病毒在进入系统后，根本就没有被真正执行起来，就被杀软强制请出去了，连进攻的行为都没有，谈何防御？如果你认为含有恶意代码或者特征码的东西进入系统就是进攻，那么以前很流行的一段测试杀软的文本是不是也有进攻能力呢？显然不是，所以杀软的防御是特殊的。
        既然是特殊的防御，那么怎么样的防御效果对于杀软来说是合格的呢？这个历来被人争论不休，且版本很多。又说能监控到是防住了，有说能扫描到是防住了，有说运行后无不良后果就防住了。这些说法有的涉及防御体系的其它环节，不想铺开陈述。我觉得对于杀软来说，在恶意程序运行并开始破坏动作前任何时间拦截到，都是合格的防御。至于在监控还是扫描，那只是防御敏感度的差别，只要能完全清除，这点敏感度差别不足以威胁系统安全。
        以上说的是合格杀软的标准，下面来说说好的杀软。防御合格不代表就是好的杀软。为什么？我们设想下列情形：有一种杀软，监控级别超级不敏感，不运行病毒实体（包括运行自身和插入其他进程调用运行）它不报，理论上确实不能威胁系统，是安全的防御，但是不能排除将病毒文件夹带传输到其它无杀软的电脑之上造成的安全隐患。这就是为什么高手测试杀软时非常在乎监控灵敏度的真正原因。PS：此情形其实非常像单奔hips的状况，因为hips不运行不防御，而下载大量文件后也不可能逐个双击去试，所以单奔hips是不符合大众安全要求的。跑题了，只是说说，下面回到杀软。
        留下一个很大的问题：上述情形都是杀软能识别恶意程序的前提下发生的，要是不能识别呢？识别率问题一直是大家讨论的重点，我想参与讨论的必有用A软杀不出用B软一杀几十个的人吧。这种情形真的很多很常见，但我要提醒各位冷静，不要武断下结论。首先先排除误报吧，假设B软杀出来的都是真毒。这时候你真的觉得B软就强于A软吗？恐怕不是。网上传来传去的木马样本要想生存，多多少少得有点本事吧，带个针对XX杀软的免杀是非常正常的现象。带哪个免杀的多呢？自然用户群越大的杀软，被针对加免杀的情形越多。这里稍稍为国产杀软鸣不平，本就被针对免杀最多（尤其政府机关教育机构啥的，基本都是国产），还要拉去国外权威机构用国外的样本做测试，结果自然测试成绩不行，实际效果也不行……
        除了免杀，还有真的识别不了的现象。原因很多，比如脱壳不彻底（但是好的杀软会报可疑，要是不报，那是真的不行）和病毒库滞后（引擎+启发+高启发能识别80%以上，但还是要病毒库补充的）等。这时候杀软基本属于无能为力的状态，必须通过别的途径来补充。比如本论坛最热的卡巴kav，用了简单的主防+虚拟沙盘技术，这些都不是杀软本身的东西，但是为了提高防御级别 ，不得不集成进去。所以针对这样一类的杀软（已集成其它防御途径的），扫瞄无果了就不是真的被过，运行后系统玩完才是。（虽然大部分情况扫描无果后运行都是玩完）
        说了那么多的废话，无非是告诉大家，没有杀软是神话，也没有哪个杀软可以完全防御恶意程序。以后有人找你推荐杀软时，不要拿查杀率做最有力论据。对于排名靠前的优秀杀软，也没有绝对的优劣，关键看使用者喜欢怎样的操作习惯与哪个杀软的工作方式想契合。
         百毒不侵，永远只是一个梦而已。

[ 本帖最后由 zyh6036 于 2009-4-19 20:01 编辑 ]

夜.忆铭

大实话，来人加个一分二分的

edwardcl

“说了那么多的废话，无非是告诉大家，没有杀软是神话，也没有哪个杀软可以完全防御恶意程序。以后有人找你推荐杀软时，不要拿查杀率做最有力论据。对于排名靠前的优秀杀软，也没有绝对的优劣，关键看使用者喜欢怎样的操作习惯与哪个杀软的工作方式想契合”

是不是只要上网习惯良好，玩具级的杀软最好玩了呢？因为最符合人的惰性：安装一直next下去，完了就ok了，不用去管它了，因为从不弹框报毒。。。因此更不用担心误杀问题。。。这么简便的操作方式和习惯不是人人都想的吗？

yeow5243

杀软是必须品

llydmissile

可惜不能加分

英子

呵呵 基本的防毒意识吧。。。

kav2046

楼主分析得很好，感谢分享！

白羊座

啊？没提及玩具级的啊……

llydmissile

等到机密丢失、密码被盗的时候就不简便了

ansen98

杀软只是工具，要想不染毒，首先要良好的习惯，其次要有深厚的it水平，计算机小白用工具是不可能百毒不侵的