浅析安软的选择与使用

白羊座

        前言：最近我的本本黑屏住了院（放心不是中毒，硬件问题）……没条件做出啥规则，索性来为小白们更好的服务了。此文的范围包括本论坛几乎所有种类的安软（是种类，我不可能一个一个去试），所以发到任何其它区都不合适（不要以为是把这个区的大大们当小白了，我没这个意思）。希望此文能对找不到合适的安软及患上杀软综合症的卡饭们有所帮助。
        说说自己的情况，我虽然是理科学生（即将毕业），但绝不是计算机、网络、信息安全、电子工程、通信工程等任何科班出身。本文中的名词可能为自我编造的“概念”，是非专业术语，但为的只是帮助大家理解，别无它意。
-----------------------------------------------------邪恶的分割线-------------------------------------------
        首先从安全软件这个名词下手。安全和软件分开时，我想各位既然有能力上网就不需要我解释。当然，语文老师会告诉你这是个偏正结构——安全修饰软件。软件作为大类，不需要过多纠缠。我们的问题是——什么是这里要讨论的“安全”？
        没错，这里安全指的自然是能够有效地对用户数据进行保护（自然包括对程序和文档的全面保护）。不是最近一段时间有某公司推“云安全”这个概念嘛（怎么看都是从云计算变来的）。ok，恭喜你已经全部掌握的了安全软件的最核心部分了。所有卡饭们所做的努力，就是为了这么简单的一个目的。
        什么！怎么快就要我推荐用啥软件了？别急，千万别急。我都说了是选择和使用，当然由看官们选择和使用咯。我只负责提供一些选项和参考。
        为了方便各位阅读和本人的继续码字。我非官方地把安软分为3类：前摄防御类，实时防御类，和滞后防御类。前摄防御类主要是AV（当然不止病毒，其余的杀马杀牛统统算进去）和Ghost（也不止它一个会做备份）；实时防御的包括hips、firewall和sandbox；滞后防御主要是ARK和专杀工具及一些修复工具。这里的前中后，全部针对恶意软件的破坏时序为分界，前摄防御是在破坏前做工作，实时防御实在破坏进行时工作，滞后防御是在破坏完成（或部分完成后）做工作。
-----------------------------------------------------邪恶的分割线-------------------------------------------
       转入正题，从前摄防御的说起。
       时至今日，杀软和ghost是使用最为普遍的安全软件了。挑简单的先说，Ghost，它不能防住任何破坏，但能保证（基本保证）你的数据无虞。本来应该归为滞后防御类，但明显，之前不备份是没有效果的，所以就归到前摄防御中了。及时备份数据是非常好的习惯，为自己留条后路，总没有错。备份类软件基本属傻瓜式，操作简单，门槛极低。随着硬盘的容量扩张和传输速率的提高，做备份镜像越来越容易。没事Ghost一下，几分钟而已，免除的麻烦可能是几小时几天甚至几个月。
        Ghost类备份工具        推荐指数★★★☆  易用指数★★★★★  安全系数★★★★☆
        下面是重头戏AV（微点比较另类，不在此范畴内）。关于AV的各种讨论也许永远不会停止（至少10年内吧），讨论的范围也日渐扩大，明显是给我压力啊……杀软的作用目前看来主要是扫描和监控（安全套装什么的属于组合使用，这里只说杀软，主动防御和沙盘模拟收集安全系数的暂时不在这里讨论）。
        关于杀软的选择：要用什么杀软，先从数据看档次。数据是不能100%代表实际情况，但是数据是不会骗人的。很明显处在第一集团的数款杀软之间的检测率差距几乎可以忽略。左右选择的因素就应该避开这个最敏感的点。各款杀软的默认配置是不一样的，有的默认是最大保护，有的默认是最高的流畅运行度。不管默认的情况如何，上手后都需要进行一定的设置。我很反感各位老用户去推荐XX杀软，前几位的杀软都很好，你又不拿广告费干嘛就去推荐？好的杀软几乎都有非常详细的设置教程，引导新人去看看。基本的系统配置要求和兼容性也很清楚，可以让用户自己选择。  
        关于换杀软：个人非常不建议新人换杀软。每款杀软都需要时间上手，换完之后必然是一堆未知的新情况，一堆新的设置要摸索，一些软件上的磨合。这些隐性的精力花费还未必能让人满意。换杀软的情况无怪乎两种，一是图新鲜，二是中毒了导致的不信任。第一种情况是完全时间太多自我虐待的行为。当然喜欢研究杀软的朋友我不反对你这么做，如果你是杀软的用户而不是研究者，如果你使用的已经是世界顶级的杀软之一，真的没有任何需要更换的理由。第二种情况也许是大多数人的自然反映，杀软不行，当然要换一个。不过这里我也不认为是理性的行为（如果你用的确实是世界顶级杀软且设置正确）。原因很简单，能过掉世界顶级杀软的基本是毒王级的，换了未必有用。如果不是，那基本是针对目前这款杀软免杀的，换了别的，一样无法解决免杀的问题。下次再中毒后你换回来发现居然以前被抛弃的杀软成了救星……那岂不是对你自己最大的讽刺？
        关于杀软的作用：杀软不完全是用来杀毒的，主要还是用来防毒。在病毒进入的第一时间做出反应，在病毒运行前劫杀，所以说是前摄防御。因此监控的好坏非常重要，毕竟哪怕是单单扫描系统区也是需要不少时间的。
        关于误杀：误杀不可避免，误杀需要人品。当然，也不能因噎废食。
        关于杀软的其它情况，可以参看我写在国外区的“谈谈杀软究竟是啥”的文章，有更详细的阐述。
        杀毒软件        推荐指数★★★★☆    易用指数★★★★☆    安全系数★★★★
-----------------------------------------------------邪恶的分割线-------------------------------------------
        进入实时防御的部分
        第一个说的是firewall，防火墙也许不能阻止病毒，但是可以阻止木马的出站，可以阻止外来的攻击和很多试图控制你系统的黑客行为。防火墙说白了是对联网行为的控制程序。关于防火墙和hips对防泄漏的作用目前正在hips区展开着大讨论，但这里不想混为一谈。
        关于防火墙的必要性：简单的应用不需要过于强大复杂的防火墙，很多路由用户也许只需要简单的arp双绑就可以不用安装防火墙来解决入站攻击。但这并不代表防火墙不重要，因为出站连接的控制也非常重要。没错，你可以靠路由杜绝外来的某些攻击，可以靠双绑简单拒绝arp欺骗。但是如果没有防火墙，很难保证整个局域网环境的安全。很简单，你的机器中了毒，病毒如果通过局域网传播，你拿什么阻止它的出站链接呢？如果是免杀的盗号木马呢？
        关于防火墙的选择：防火墙虽然也有大量的测试和排名，但是对于一般用户，能管理好出站连接，能简单的抵挡基本的攻击，隐藏敏感的端口，具有一定的自我保护能力，就已经足够了。防火墙的设置随着其强大的程度的增加，基本上是越来越复杂。但是默认的规则也是基本可以接受。高级用户自然可以定制规则，普通用户简单的交互一下也能完成设置。
        firewall        推荐指数★★★★      易用指数★★★★       安全系数★★★
        Hips全称助剂入侵防御系统，其实是对系统中各种程序全方位控制的一种程序。
        hips之前一段时间就安全和易用产生过大口水，这里不想讨论问题。只是就事论事的做做介绍。
        hips的主要分类为手动型和自动型。区别在于工作方式。手动型基本上通过定制规则单步判断来控制程序行为；自动型（有人喜欢叫智能），是内置规则加多不判断的产物（与微点的方式类似，也能定制部分规则，但难度较大）。手动型的内置规则是透明化的，用户可以根据需要自行更改；自动化的内置规则一般黑盒话，定制部分的规则当然也透明。
        当杀软被免杀或者未能检出未知病毒时（当然不装杀软的也是这种情况），hips成为非常重要的防线。它根据程序的行为，做出是否截断当前进程的动作。原理就是这么简单，效果嘛，至少能全过hips的真毒，没见过……
        hips的选择：高手随便，新手可以从自动型玩起，逐渐转到手动。
        hips的必要性：目前还不足以体现，但随着传统的特征码+启发的杀毒方式越来越力不从心，hips的重要性逐渐被人认识。
        HIPS        推荐指数★★★★        易用指数★★★★（自动型）★★★（手动型）    安全系数★★★★☆
        sandbox，直观的翻译为沙盘，事实也叫沙盘。
        沙盘的本意是战争中用于演示的模型，有模拟实战的作用。沙盘的作用也就是模拟。当然，不是真的模拟，而是实机的重定向。所有被设置在沙盘内运行的程序，其文件操作和注册表操作都被重新定向，比如修改explorer.exe，在沙盘下只是修改了explorer.exe的一个副本，修改注册表也是类似。至于进程间的行为，会安照安全级别允许、阻止或者仅返回一个结果。
        沙盘的使用：使用比较简单，防御效果也很好，如果没被穿掉，倒沙后就能一切ok（不倒也没事）。
        沙盘的选择：很难说，主要是易用和兼容性问题，沙盘区介绍较多，这里不赘述。
        沙盘的必要性：十足的懒人和喜欢试毒的人常用，但再好的沙盘安全性不如虚拟机。如果害怕之前的第一装备被干掉，可以加上沙盘做最后防线。但是沙盘不能很好防信息泄露，是一个不小的遗憾。
        sandbox        推荐指数★★★       易用指数★★★★        安全系数★★★★
-----------------------------------------------------邪恶的分割线-------------------------------------------
        最后是滞后防御部分
        已经中了毒，杀软也玩完了，hips漏过了，沙盘没装，防火墙放行了……
        泄露的信息不能回来了，删除的文件很难复原了，系统很难正常工作了……
        ARK，帮助你找出恶意程序，然后靠你手动结束它，解决它
        著名工具很多，辅助工具区有介绍，而且基本是一个，只要能用，都是极其强大的
        专杀，一般杀软公司会推出，但是亡羊补牢，同时自己承认自己失败……确诊为某毒后，是个人都会用
        修复工具，完整的修复当然可能要重做系统，但是简单的修复还是可以的。工具不能瞎推荐，一般在软件站都不少
        实在没辙了，恢复镜像吧，或者格了重来……
        落后是要挨打的，滞后防御是谁也不愿用到的……所以不推荐了

        本来还要谢谢各种组合的，但已经写3小时了，很累了，下次再写吧……
        （以上纯属个人观点，不代表任何问题）

[ 本帖最后由 zyh6036 于 2009-4-25 22:22 编辑 ]

zhuqting

SFSF

nibbler

zyh 强烈顶你
看的有点晕 字体大小颜色设置下

zzh2148

不行啊
看的太吃力了

germany05400

强烈支持！ 好帖啊~

solag

说的不错 选择杀软就像找老婆 难啊

yhcpx

大家说好才是真的好