防与杀，对立的两极？？

jpzy

这两天看到版区里面有人在争执防御和查杀的问题，忍不住想说两句。

就安软而言，防御和查杀，真的就是水火不容的两极么？我觉得不是。抛开目前的HIPS不谈，单说杀软。目前的杀软仍然是以特征码为主要的防御手段。在特征码这里，防御和查杀取得了高度的统一。只要是可以被特征码比对，或者启发，或者基因，或者其它依赖特征码的查杀手段发现的病毒，毫无疑问，都可以被监控拦截，也可以在扫描中被发现。那么，在这样的条件下，防和杀有什么区别呢？

有人觉得查杀就意味着，你已经中招了，然后才轮到杀软杀。其实不见得。现在的查杀率更多的体现在监控的拦截上。何况，有哪个杀软可以保证自己100%不漏毒的，无论几率大小，都是存在先漏过，更新以后再杀的可能。

我个人觉得，防御和查杀这两个概念的对立，应该跟一篇流传甚广的帖子有关。就是将诺顿比喻成南帝，卡巴比喻成西毒的那篇。这篇帖子给很多人造成了这样的印象，有些杀软防御好，有些杀软查杀厉害，查杀厉害的杀软误杀就高。殊不知，这是大谬误。公认的防御好的诺顿，咖啡，对待他们认为是病毒的软件，一样毫不容情。我有个优化大师的绿色破解版，破解者应该是加了壳，咖啡和诺顿见了就杀。这俩杀软都是自动处理的。每次解压缩就看到一个提示框，然后主程序就没了！任何杀软，对待自己库中能够比对成功的样本，都不会手下留情的。何来的仁慈一说？而误报则是任何杀软都存在的。有人说诺顿误报低，卡巴误报高，但是我卸载了卡巴装了诺顿以后，诺顿将我某个磁盘下面的破解版AutoCAD杀了一干二净。而卡巴从没有报过。理论上讲，对于无害的软件，只要报了，就是误报。（报注册机是否得当的问题另行讨论，本文只是举例说明问题）

回到防御的问题上来，有人说，我用的安软就是防御好，用了不中毒。的确，有些安软不仅仅是特征码防护，还有入侵检测，行为分析等等来弥补特征码的不足。不过，即使有些方式能够将病毒拒之门外（比如网页防挂马工具），但是，总有用户要求进入本地的文件。这种文件的安全性依然要依靠特征码。行为分析，就目前来看，还不够成熟，会漏，也会存在误报的问题。而且，既然存在误报，就必然要求用户判断。目前主流的行为分析工具，很少有自动处理的，都是弹窗要求用户选择。这种情况下的安全性，就不仅仅取决于安软的能力了。

再来谈谈咖啡企业版和HIPS。这两者的确是纯粹的防御。不过就目前来看，这两个对使用者的要求很高。咖啡8.0时期，我给一个朋友装了，然后选择了内置的禁止写入系统路径的规则，结果后来他跑来找我，说是好多软件装不上。而HIPS更是，所有的行为都是中性的，用户需要依靠自己的经验来进行判断。这样的要求，对个人用户来说，未免太高了。企业版之所以敢如此，是因为企业有专门的网管来解决这些问题。我有朋友在外企，部署的是咖啡企业版，他的笔记本拿到外面来就上不了网，咖啡的HIP客户端指定了内网的参数，并且自己想装软件根本办不到。这样的使用环境，对个人用户来说，太不现实了。

说一千道一万，对于目前以特征码为主要防护手段的安软来说，查杀和防御根本就是个统一体。并且，高查杀并不一定意味着高误报。片面的强调防御和片面的强调查杀都没有意义。用好自己所选择的安软，发挥它最大的作用，才是硬道理！

个人观点，欢迎讨论！

moreo

严重同意，不知哪个xx写的那个啥南帝北丐，诺顿卡巴的， YY能力这么强，

[ 本帖最后由 moreo 于 2009-5-25 10:51 编辑 ]

jackyid

到处看见引起口水的东西，就是个杀软而已嘛

heroboy0923

所谓的防与杀，可能很多人觉得依靠特征码的就是杀，加了主防或者行为分析的就是防，这个划分本身并没有什么意义，也不一定科学，红伞的监控依靠的也是特征码，那是属于防还是杀呢？
有意义的是，究竟是什么样的杀毒软件才能更大程度上的保护我们的电脑
我觉还是一个立体防御的问题，单纯依靠特征码的杀毒软件在当前病毒木马不断更新换代的大环境下，已经显得有些力不从心了，于是有了启发、主防还有包括hips等多种防护手段

Atlantis祭司

自带小板凳占座学习JP的JP文章。

jackyid

有时间，该干嘛干嘛

heroa

哪个主流杀毒软件没有杀毒功能，哪个主流杀毒软件没有防御功能

zzrhb

防与杀都重要,每个杀软有自己的特点,只要能把病毒制住,用户用得习惯这就行了

Thummer

学习ing

ysice

学习了.