我们对安全软件的需要和选择，安全软件的一些泡沫

我们用杀毒软件的意义是什么？一直以来我们被安全厂商忽悠的不知道自己的需求是什么...

         首先，要知道安全是一种策略，甚至说是辅助。我们日常需要的是机器正常运行，平时一般也会半年重装一次系统。对于anti-virus来说，在前摄方面，这应该靠硬件去解决，其实国外的网络供应商都有硬件防火墙，这才是防毒的大头，对于个人客户端的杀软，是要一定的扫描和清理能力，对，对于已感染系统的清理，这是最重要的。

        需要我重复的是，我们没有把硬件防火墙过滤这一点做好。前几年表姐在法国留学，问她用什么杀毒软件，她说没有，网络接入商有硬件防火墙，这是基本的服务。在这个前提下，我想我说的杀毒软件的作用就好理解了。

        除去硬件的前摄，杀毒软件的查杀也很难达到100%,而且差得很远（特别是木马，也可以认为是自己本身不甚和硬件解决的问题），就需要对感染文件的清理能力，甚至是暂时不能查杀上报后的处理能力。作为客户端最后的屏障，杀毒软件只是个辅助，所以对计算机和用户的影响要小，我们是使用电脑，不是使用杀毒软件。

       说到清理，mcafee的规则和系统的组策略也是一种防护，与hips不同，即使中毒，较好地规则也可以对病毒的行为进行限制，把病毒锁定在一定的区域内。

        至于其他的防护，只是运用针对软件的漏洞和封闭端口入侵防护等的防火墙应用，还有一些智能行为分析（纯粹的hips是不推荐的，很多智能行为分析是存在于杀毒引擎中，这才是无干扰的行为分析）。对于防火墙的防护，我只在mcafee个人版的日志里看到过详细的禁止外部对计算机木马端的扫描的纪录。norton和瑞星里有对软件漏洞的针对性防御。基本上也就是这些防御，其他只是实时扫描而已。这些防御还有备份等策略加上杀毒功能就成为一个安全软件了，好的全面的软件是一套整体的安全策略（当然只有扫描和病毒的软件也无可厚非，毕竟这是根本）。这就是所谓的防御，有利用漏洞的病毒进来无法利用漏洞，有木马的无法和外界联络，有恶意行为的限制它的活动，这样查杀不了的控制住后也可以再升级病毒库进行清理。

       说了这么多只是想让大家对安全有个清醒的认识，我们真实使用计算机需要什么，根据需要我们才有根据的选择安全软件。

       要问我选择什么，我想有这些能力的都是好软件，用某人的话说能查杀一个病毒的软件就值得一用，毕竟只是辅助的。如果要推荐下，首选的还是dr.web symantec mcafee panda.其他软件也不错，只是很多本末倒置了，不知道什么是最重要的，还有些许商业原因。

       就说到这吧，相信一切泡沫终会消失

[ 本帖最后由 sololp 于 2009-6-28 01:05 编辑 ]

nbhl

凌晨的沙发特别软～～～

gaoyuande

哎呀，我迟来了。   看看先。

我想这就是mcafee和symantec,kaspersky和dr.web的分歧，还好mcafee没走向歧途

黑衣~魂

LZ的观点我认同,

以下是我先前发表过的

预防胜过治疗说的没错,但所谓预防这是建立于基础防御上,因此有BUT,如同我们的社会可以预防感冒,但SARS与H1N1都很难做到预防但事后的治疗就是重点了,何况AV呢!

一个高超骇客写virus一定经过骇客的测试,然而手法如果翻新现有的特征与启发不见得可以防范,所以绝对逃过大多av查杀,重点在于一但未知VIRUS爆发后,用户能不能即时得到厂商与av妥善的处理(治疗cure)

高的查杀率有些代表新旧样本收集与累积样本,基本上很多不见得在你的网域会遇见,因为被命名为的trojan/spy/ad活动范围是有限的!

查杀率达到标准程度后,要讨论的安全议题就不是查杀率了!没有一个使用者,使用任何单一av或两个以上av可以达到90%~95%以上的查杀率保护!

从来没人去讨论在测试机构与av厂商收集样本交叉比对没有收集的样本问题!测试机构与av厂商一样,收集样本的能力有限,不是全面的!只是把查杀率作为一个要求的进步的指标而已!

一套av整合越多功能进去意谓着越多漏洞(bug)等着被发现与攻击,这一点无庸置疑的!否则厂商也不需要定期去做更新了!

by-黑衣~魂

阁下讲到泡沫与hips佩服,即使加上hips,防御率也没办法达到95%!

唯一不同
我推荐选择anti-virus+另外专业firewall(comodo..等,AV已有内建不需)
但唯一我所推荐的是dr.web+panda+kaspersky以解毒能力拿说就这三家了,但三款中kav还是有改善空间的!
norton macfee先前测试解毒能力已经让我觉得不如往前,有很大的改进空间!!
(至于安装av定期更新,该av用户也会有23%用户的电脑被感染,这是panda官方说的!)

至于有没有可能像Igor Daniloff说的一样是个泡沫,我想可能机会不高....
因为大部分的人是盲目的,盲目的追求自己认为的安全手段,也因为现在malware要过av其实不难,当pc与网路越来越普及+人口越来越多使用后,对于资安厂商的市场需求越大,资安厂商林立越多~

有可能泡沫吗?!我认为机会小~毕竟人都是盲目的追求!

我知道kafan有很多样本测试玩家!因为身分不同自然有些理论也不适合套上,就讲一般家庭大众了!

[ 本帖最后由 黑衣~魂 于 2009-6-28 02:29 编辑 ]

saga3721

真是以其昏昏，使人昭昭，真正的本末倒置

heroa

只用对系统影响极小的杀毒软件，普通民用的杀毒软件一般不用

[ 本帖最后由 heroa 于 2009-6-29 07:02 编辑 ]

关9军

走自己的路，继续小a

只是目前在国内，至少在卡饭一种状况，至少在世界范围内，mcafee和syamantec在个人市场还是占据绝大多数市场的。这种泡沫就是对我们所谓的舆论而言，是对一种趋势而言，对自以为用上高查杀去莫名藐视瑞星的人而言。

其实对于中毒系统清理，drweb现在已经不如symantec,可能drweb只是对感染文件的解毒比较强，它的体积决定了它不可能那么全面。symantec是我唯一看到过的可以同时清理文件和注册表，甚至恢复服务和文件隐藏选项的 。panda和symantec相对全面的防护和高超的智能性是最让人望尘莫及，而mcafee俄罗斯式的查杀（智能特征码和高度的虚拟机运用）和繁琐的规则是symantec所不齿的，幸好mcafee专注的客户端和管理端的管理以及入侵防御，可以说和sym殊途同归，sym也不得不奉承两句mcafee的专业性。至于kaspersky，一味的追求所谓的目前的趋势，蹩脚的启发，烦人的hips还有一些程序分组，大量干扰用户，其实卡巴斯基依然卡。

对于你说的那三家，解毒不是全部，推荐drweb是因为它完成了最基本的任务，symantec和mcafee的防御与控制一定程度上帮助了进一步解毒，而且symantec的解毒能力上面也说了，目前最强的。如果真说单纯是为了防御和查杀的目的而去做防御和查杀，symantec就没有必要在系统清理上如此深入了

[ 本帖最后由 sololp 于 2009-6-28 08:15 编辑 ]

g_j_love

顶上去