独家专访COMODO的CEO——Melih Abdulhayoglu【已添加翻译】

Nicolo

刚才忘说了句，感觉Melih有点像我偶像——憨豆

naterrykim

原帖由 月光下的忍者 于 2009-10-27 14:31 发表
没错，但实际上的顺序是，下载一个新程序后，AV的监控会作出第一反应，AV是实际过程中的第一防线。

试想一下，该程序已经运行了，HIPS已经测完该程序了，你已经知道该程序是不是病毒了，还要AV干什么？

AV报毒 ...

偶是这么认为的：

在hips下下载一个新的程序 ，在设置好规则后，该新程序基本不能动弹，即使是有毒，那也只能先做个“乖乖孩”。退一步讲，即使是在运行该类程序时，hips也能着重为系统的重要部分提供防护，防止恶意程序的渗透所造成的对系统的侵害。

听闻一句话，蛮有意思的：细胞与细菌共存。（细胞——系统正常文件和程序，细菌——恶意程序）


在hips下，“细菌”相当于被隔离室难以对“细胞”进行侵害的。但另一个方面，hisp并没有提高相应的清除能力，以至于不能清除这些细菌。“细菌”虽无法进行破坏活动，在它的存在对于系统而言始终是个隐患。（想必没有人喜欢芒刺在背的感觉吧）。所以V4加强了清除模块的开发，我想有很大一部分也是基于这个原因考虑的。当然了，AV也是属于清除的一部分。

所以，个人感觉hips还是占主导地位的，而其他诸如av、akt应该是辅助性。

[ 本帖最后由 naterrykim 于 2009-10-27 15:55 编辑 ]

月光下的忍者

我不知道他会设计成一个什么样，就目前来AV来举个例子：

在下载后，还没等运行就报毒。

那么，你是运行还是不运行？换句话说，你是相信还是不相信这个AV？

如果相信，直接删除，一切结束了。

如果不相信，你就要选择排除。

那么既然排除了，即使你运行了，看了拦截日志了，确定他是个毒了，那么AV还会再跳出来询问你是否清除吗？答案是明显的：不会

矛盾就产生在这里，AV无论怎么去定位，在实际中都是第一道防线。过了就不会再重现了~

naterrykim

呵呵，我目前是在单奔comodo

单奔的人或许可以分为两种：

1，下载文件后先用右击扫描软件来断定是否有感染病毒，若有则可能清除
2，下载文件后运行该文件，由于在hips的全局防御中已经对系统的关键部位进行看有效保护，即使运行的是病毒，其产生的破坏性将大大降低。之后，定期用杀软对系统进行扫描、清除。

（上述只是针对只单奔classic hips的同仁，若是classic hips搭配沙盘类hips，虽在设置和系统占用有所增加，但是其安全性亦将增加。有经验的用户可根据沙盘的运行效果判断该程序是否有害。）

在上面天道的两种情况中，坦诚我使用的是第一种方案。但不意味着av就是主要防御。举例下：
1，对于加了壳的恶意程序或玩笑程序，扫描软件没有扫到，但运行后使系统受损。但因为有hips的内核防护在，我并不担心。即使hips的进程被结束，但是其防御的效果还在，对系统造成饿损害也是在可接受范围内。但若没有hips的话，恐怕造成的损失就要有所增加了。

2，对于被右击扫描到病毒的文件（如一些测试hips防护性的工具），通过看其病毒的名称一般就会对该程序的行为有一个初步的判断以及它可能产生的危害性。但是在运行中，利用hips注意下其有危害的行径加上全局保护，基本可以免除危害。


鉴于此，对于孰是第一防线孰是第二防线，不敢断定，因为这主要看个人的使用方式和安全软件的组合搭配。如classic hips+沙盘hips搭配的，一般都先用沙盘去试运行。

但是，提供主体防御的是hips，如论是针对于被杀软扫到的程序或是加壳过了杀软的恶意程序。

对我而言，右击扫描软件所提供的结果是个参考建议。嘿嘿

所以，暂不提第一防御还是第二防御，对偶而言，主体防御肯定是hips，av则是提供参考和清除的功能。忽忽

个人观点：hips作为主体防御应该是趋势，毕竟av存在滞后性。——各位轻轻的拍哈

ps：右击扫描软件为  nod   

[ 本帖最后由 naterrykim 于 2009-10-27 17:36 编辑 ]

mygames10

别加沙盘进去，一是累赘，二是被捆绑了。再用其他沙盘不方便。

joesqall

看了以后让我更加期待v4版.... ...感谢楼主分享

南丁

很期待V4    内部beta版已经到三版了，很期待

零天幻星

C4的沙盘还真是令人期待啊

自然.

HIPS应该放在第一位！

opepo

蛮帅的，不错。呵呵。