对卡巴和NOD32个人看法

linyaoguang

1 .表面即扫描杀毒和不运行病毒效果来看，两者差距不大，卡巴斯基病毒库大入库快但面临的新免杀全杀软最多，NOD32在启发引擎没改观前对于木马（免杀鸽子、盗号木马等）是软肋。

2.主动防御对比启发式的优势来说，主动防御肯定是目前占上风的，但是可以选的有很多类的主动防御。一般的说，卡巴用的那类规则主动防御是运行病毒时触发的，通过对SSDT表上重要函数的挂钩，监控程序的高危行为，很好很强大，但也比杀软和其他类HIPS的使用难度大。BUT，兼容性考虑也不推荐再另装任何杀软和独立HIPS等安软——AVP兼容本来就头大了,当然原因很复杂，再来主动。。。。不过，自定义规则设置好了卡巴09，真没太多必要装其他安装版杀软，墙和HIPS。

PS:用卡巴的朋友注意检查启动挂钩DLL和SSDT表，不要听信金山清理和win清理助手等报告机器狗或威胁去强行修复，如果没有那些，卡巴就可以洗洗睡了。另外，由于采用主动防御的软体较多，如果同时安装，就会出现抢夺控制权的问题，轻则蓝屏崩溃还好，重则一点也没有征兆BUT防护组件悄悄的失效，老点的病毒用普遍的加载驱动恢复SSDT的办法就可以直接歇菜了。另外，某些“正常”软件的安装也会影响SSDT HOOK的正常。卡巴8默认规则不太完善，建议有能力的还是自己定义规则，很好的定制性，尤其对于系统内部的ms程式给予限制，以防万一也要充分利用墙的出站拦截规则定义。

3.从启发式对比主动防御的优势来说，主要是易用，兼容，可加组件为主，个别特征码定位在PE头的启发式杀软，免杀方法还不是很大众普及，但是对付代码Rootkit级多变的攻击，也只是时间问题，特征码免杀毕竟是hacker的入门级别。绝对化的说，目前启发式肯定已经不算是很好的全面反病毒解决办法——也没有太全面的，相对主动防御一样都不是神。相对卡巴类的主动防御，这一类的兼容和可定制性较好，主张NOD32+智能主动防御（或沙盘），这种组合比卡巴更易用更简单，但防御程度也和卡巴自定义规则后差不多。

PS:杀毒软件杀毒即定义一组或几组特征码对病毒进行判断，启发式杀毒有基因、静态，动态之分，对付事业兴旺的免杀，这比单纯病毒库的杀软（卡巴没有主动防御前的版本就是）好些，但pass是一点点的时间的问题而早不是技术问题，对于没有主动防御的杀软，单独使用注意更新病毒库。对于ESET的主要质疑，就是入库问题和对国内某些类木马的反应，貌似听到官方准备加强，等疗效。主动防御是不提倡大家杀软都一起玩的，留给新手点入门选项。毕竟杀软的主动防御和杀软的墙一样，最多也是主动第二第三梯队水平，而且一个固定整体被绕过的可能更大。今后这类的杀软做好检出率即可，其他事情，由自己选择组合，强大的智能HIPS，沙盘，其他反入侵类，都是很简单而有效的选择。

4.杀软与其他元素融合是趋势，但是不会完全这么走下去，规则HIPS+杀软的组合强烈推荐进阶高手玩，确实安全多了—现在反而倒过来了，小白看到卡巴毛豆就扑上去，谁知他只会点一路确认或者关闭主动——HIPS的规则个人不等，就不能保证不中毒。总之，1主动防御+1专门杀软，普遍来说比多杀软多HIPS覆盖面强很多，也更流畅，兼容合理。水一下，等待杀软融合沙盘ing

c5132902

也是转的吧···我已经看到你地第四片了

sozeal

无差别转载么…

这个至少是去年的

曼珠沙华

太复杂了-。-看到杀软我就想换……尤其是界面好看的-，-

SONGLEI

---------毕竟杀软的主动防御和杀软的墙一样，最多也是主动第二第三梯队水平，而且一个固定整体被绕过的可能更大。今后这类的杀软做好检出率即可，其他事情，由自己选择组合，强大的智能HIPS，沙盘，其他反入侵类，都是很简单而有效的选择。-------------

这话比较认同

alps56

看一看。。。。

吾与谁归

这么多，而且还是转的，最讨厌比较来比较去的了

couth

原帖由 曼珠沙华 于 2009-10-3 03:20 发表
太复杂了-。-看到杀软我就想换……尤其是界面好看的-，-

我也是这样。呵呵。来卡饭以前，电脑一直是裸奔。

wangyunxi80

我觉得带扫描的智能hips是趋势。

ZHAOYI321

路过