本帖最后由 白羊座 于 2010-1-6 16:56 编辑
原帖地址:http://bbs.kafan.cn/thread-336267-1-1.html
反病毒软件原本采用特征码技术, 所以永远滞后于病毒. 后来的反病毒软件加入了启发式技术和主动防御等技术 (将会在系统安全部分涉及), 增强了安全性.
使用特征码防御病毒, 类似使用粘贴画像的办法捉拿犯人. 首先犯人可能易容, 而且粘贴画像一般都在犯人作案之后. 所以只能靠粘贴的速度 (截获病毒以及入库其特征的速度) 来减小威胁 (尽可能在犯人犯罪次数不大之前将其抓获).
启发式类似在街上巡逻的警察, 一旦发现行迹可疑的人员即作出反应, 但是问题在于这种办法不可能 100% 准确 (有时会抓错人). 而且仍有心理素质较好或易容后变化较大的犯罪分子 (某些病毒) 可能避过警察的眼睛.
鱼和熊掌不可兼得. 好的反病毒软件可以在查杀率和误报率之间寻求一个好的平衡点. 这种杀毒软件也是非常适合个人用户的.
反病毒软件在驱动程序的层结构中插入自己的驱动程序. 如此一来, 所有的读写操作以及相应的数据都会通过反病毒软件的驱动程序, 然后驱动程序会调用扫描功能. 如果有问题, 则驱动程序会拦截这些信息并调用反病毒软件在用户模式运行的组件向用户报警; 如果没有问题, 则简单的执行回传工作.
(1) 由于额外驱动程序和操作的存在, 所以安全软件都会导致系统性能下降. 但是好的安全软件可以把这种下降控制在合理的范围内.
基于相同的原理, 恶意软件也会导致系统性能下降, 厉害的恶意软件可以很好的隐藏自己的行为, 同样把这种下降控制在合理的范围内. 但可惜的是, 不是谁都可以写出这种恶意软件的.
由于运行在内核模式的恶意程序拥有高权限, 并且这类程序都会利用其权限进行自我保护, 所以很多中毒的机器上的病毒是很难杀灭的.
所以, 最好的办法就是在其运行前杀灭. 这就是很多人说的 "杀毒不如防毒".
(2) 自我保护是主动防御的一个子类. 其监控系统中用来终止程序的函数, 避免自己被终止. 很多恶意软件也实现了这个功能.
基础知识部分
1. 计算机病毒会感染人类么?
绝对不会.
2. 从压缩包中解压病毒会被感染么?
不会. 未运行的病毒就像未被引燃的炸药, 不会对计算机产生任何危害.
产品选择部分
1. HIPS, 杀毒软件和防火墙可以互相代替吗?
不行. 它们分管的是不同的安全领域.
2. 我是新手, 什么样的安全软件适合我?
各大厂商的安全组合装. 或者杀毒软件配合 Windows 自带的防火墙. 如果你不熟悉 HIPS 或者主动防御, 那么就关闭这个功能.
安全组合装, 一般可以试试卡巴斯基, 瑞星, 金山, ESET, Symantec, F-Secure 等公司的全功能安全软件.
如果你有英语基础, 可以试试 ZoneAlarm Security Suite 9
单独的杀毒软件的话, AntiVir 和以上厂商的反病毒软件是很好的选择.
除非有专人指导或者你有钻研的欲望, 否则请避免使用第三方防火墙产品.
3. 哪些因素决定一款安软的质量?
(1) 代码质量
代码质量决定了软件的稳定性, 兼容性, 以及软件本身的安全性.
稳定性和兼容性可以保证:
a. 安全软件本身可以长时间保持良好的运行状态. 由于安全软件普遍会有运行在系统内核模式的部分, 代码质量不高的安全软件可能会造成系统不稳定, 其它软件运行异常甚至死机.
b. 把系统效能损耗控制在合理范围内
安全软件如果本身存在安全漏洞, 那不但无法保护计算机的安全, 反而会成为恶意软件攻击的突破口
目前网络上能够找到的代码质量测试是 matousec 的 Proactive Security Challenge 中处于 Level 9 的 Driver Verifier 项目. 此项目验证安全软件驱动程序的稳定性.
(2) 应对主流威胁的能力
对于反病毒软件而言, 良好的已知及未知病毒查杀率是最主要的.
目前网络上针对反病毒软件查杀率的测试很多. 以下项目可以作为参考:
a. AVC 测试. (http://www.av-comparatives.org/comparativesreviews/main-tests), 获得 Advanced 以及 Advanced+ 级别的反病毒软件都是值得信赖的.
b. 多次获得 VB 100 认证的反病毒软件都是值得选用的
c. 卡饭评测区成绩稳定在 70% 以上的软件, 以及在卡饭论坛设有专区的软件也都是值得使用的.
(3) 安装前后对用户体验的影响
对于反病毒软件而言, 低误报率是十分重要的.
AVC 测试. (http://www.av-comparatives.org/comparativesreviews/main-tests) 中的 Retrospective/Proactive Test 包含误报测试, 卡饭论坛的评测区也有误报测试.
对于防火墙软件和主动防御而言, 学习模式以及预置的规则库是非常重要的. 它们可以减少交互操作数量.
产品应用部分
1. 如何搭配第三方安全软件?
首先, 对于新手, 使用安全套装或者反病毒软件 + Windows 防火墙是最好的策略. 如果你希望使用第三方防火墙的话, 以下是一些针对新手的建议.
(1) 绝对不要安装功能重复的安全软件
例: 安装多个防火墙, 安装多个具有实时监控的反病毒软件
(2) 不要在 "已经受限" 的计算机上安装安全软件
这里, "已经受限" 的计算机指:
a. 当前用户权限非管理员帐户的计算机
b. 已经安装了安全软件 (特别是带有主动防御的), 并且该软件状态为打开的计算机
对于该类计算机, 我们应该
a. 检查用户权限
b. 关闭或停止当前安软的所有功能, 如果可能的话, 让它们暂时不要随机启动
如果安装的组合里存在功能冲突的组件:
a. 尽量在安装过程中采用可选组件的方式避免这个冲突.
例: Avira AntiVir Personal 8 + Outpost Firewall Pro 2009, 由于 OFP 2009 存在可能跟前者发生冲突的 AntiSpyware 组件, 则我们可以在 OFP 的安装选项中取消 AntiSpyware 的安装
b. 如果不能通过上述方式避免冲突, 那么尽量在安软安装完毕后, 重启计算机之前排除冲突
例1: 在安装第三方防火墙之后, Windows 防火墙可能并不会被关闭. 那么我们可以在重新启动计算机前, 手动关闭 Windows 防火墙
例2: Avira AntiVir Premium 8 + ZoneAlarm 8 Pro, 我们可以在 ZoneAlarm 安装完毕后重启计算机之前, 在红伞的例外区中加上 ZoneAlarm 的安装目录, 如果你熟悉 ZoneAlarm, 你可以继续在红伞中排除 ZoneAlarm 的进程 vsmon.exe 和 zlclient.exe |
[复制链接]
发表于 2010-1-6 16:50:54
发表于 2010-1-6 16:55:51
楼主
近来为数不多的高质量贴