微点杀毒软件4月上市之我见

angir

缘起：

http://mpfans.org/thread-45493-1-1.html
http://mpfans.org/thread-46010-1-1.html

版权声明：
1）本文发布于 卡饭论坛 微点官方论坛 点饭技术论坛
2）允许 点饭的百度空间 转载本文
3）谢绝其它转载，请尊重版权和作者心血

微点杀毒软件要上市了。
是的，这一款，由微点公司独立研发引擎的传统反病毒软件，经历了接近1年的测试以后，准备于2010年4月25号之前上市。

我以为，我是第一批接近微点杀毒软件（MPAV）的用户，看着MPAV的BETA测试版本完善与发展，所以，我觉得在MPAV上市这件事上，我多多少少都拥有一些发言权。
So，这个也是促使我写出这篇文章的原因
本文中，对于一些销售的概念理解的不好，请各位多多指教，不胜感激！

愚以为，MPAV的上市，存在着好处和坏处。但是，好坏是二八分。

好处：
1）有助于扩大微点的用户群
微点公司目前针对个人版的用户只有 主动防御软件 一个产品，这个很大程度上限制了用户的选择
因为，并不是所有的用户都适合这个软件
很多的用户，可能已经安装了一个 监控类型的防御软件
所以，再安装 主动防御软件 ，是不可行的，除非广告打得好

这样，无形中，微点的潜在用户群被削减了很多

但是，如果如果MPAV上市了呢？
情况又不一样了

因为MPAV设计之初，就是为了辅助 主防
所以，MPAV不存在任何 Proactive（主动的，前涉的）功能存在
无防火墙，无行为分析功能
所以，不会和大多数的 其它安全软件 起冲突

所以，那些微点潜在的用户，就可以通过MPAV这个优势，了解到了微点
在了解到了微点的软件以后，虽然暂时不可能安装 主动防御软件
但是却可以安装MPAV这个软件。在通过感受以后，他们可能会购买。可能会放弃
但是，不论怎么样，微点的用户群都会有扩大，起码比起只提供一个软件来说，有更大的提高


2）有助于辅助主动防御软件的功能和销售
毫无疑问，这个可能是MPAV研发的一个主要因素

微点主动防御软件，由于其设计的时限性，对于很多脚本病毒（vbs,js,bat）都拦截不了，也没有全盘扫描功能
这个缺陷，特别是无法扫描
往往使很多新用户望而却步，从而放弃微点的软件
或者，安装其他扫描功能的软件，但是这样一来，往往使主次颠倒。。。

可是，MPAV上市以后，这个情况可以得到有效的改观
首先，由于微点主防和MPAV的兼容性存在，一台电脑可以同时安装两个微点的软件
所以，用户可以在不放弃微点主防的情况下，又有了一个完全兼容的微点软件进行扫描，从而减少后顾之忧

还有，通过MPAV的虚拟机和启发式引擎以及更庞大的特征库，可以拦截很多已知的，未知的恶意脚本病毒
这些功能是微点主防没有的，或者及其有限的
所以，两者配合，不但提高了电脑的安全系数，也弥补了微点主防的一些缺憾



那么，MPAV上市的不利之处呢？
个人认为有以下几点：
1：虚拟机的不成熟所引发的资源占用过大的问题。

虚拟机组件的特殊性：

编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难，即使有雄厚的研发实力，也未必能在短时间内达到实用的程度。

所以，一旦开启了虚拟机这个组件，任何的安全软件的资源占用都会变得庞大起来（如卡巴斯基，脱壳和启发都是用了虚拟机）

但是，在基于提高电脑安全系数这个目标下，MPAV的虚拟机还是不得不被打开
但是打开了虚拟机组件，对于系统资源的负担就不得不增加，甚至翻倍（在设置出了问题的情况下）

用户面对这个资源庞大的“Freak”，会做何感想？

2：对于未知病毒的查杀能力不足

这个就牵涉到了启发式引擎的检测能力了
众所周知，一个传统的反病毒软件，针对未知病毒的检测手段只有启发
所以，启发的优劣直接决定了这类型的软件的效果

由于微点的特征码分析的特殊性（见此文：http://bbs.kafan.cn/thread-638832-1-1.html)
所以，决定了MPAV的特征码不可能非常及时的得到补充
这就要求，对于很多新鲜的流行病毒需要MPAV利用启发式检测查杀

可是，大家可以去卡饭的病毒样本区看看
对于很大一部分的病毒样本来说
除了报特征，就是Miss

虽然，区区一点小样本无法完全体现一款安全软件的全部实力
但是，就从这一小部分的样本来看（不排除有高质量的）
MPAV的启发式检测水平还亟待提升

在这里我也希望各位微点的fans，一旦遇到一些过MPAV的样本，不但要给virus邮箱发邮件，更要给mpav邮箱发邮件。这样可以更直接的提供给MPAV的开发组一些改进的样本


3：特征码和白名单的问题（未验证）
微点主动防御软件和MPAV的特征库+白名单，都在MP3文件夹下
根据查看，二者有74MB的内容相似

我们知道，微点主动防御软件为了解决误报，添加了大量的白名单
这些白名单就和特征库一起存放在MP3文件夹下
但是，MPAV的MP3文件夹，拥有和微点主防一样的内容。
这样就是一个非常大的不利之处了

这就是说，MPAV携带了非常庞大的白名单清单，而其中很大一部分不是必须的
只要特征码的误报测试过关了，MPAV需要添加的白名单只有启发的误报
可是现在MPAV的白名单，却拥有了更多的拓展

主防只需更新小部分的白名单和特征码
MPAV却要更新全部的特征码更新，启发混合库的更新，自己的白名单更新和主防的白名单更新
这样，MP3文件夹的硬盘占用不大才奇怪呢！（目前107MB）

（这部分内容没有经过证实，为个人主观臆断）


总之，该说的我已经说了。MPAV的上市是不可能为我一己之言而被阻止。我只是希望，MPAV可以在上市前，解决了资源占用的问题。这样就好了。

uiw5r

嘻嘻，占个沙发再慢慢看

粉嫩小弟

上市了查杀感觉也不会高！ 因为微点对样本的收集太慢！ 一天才一次更新！ 和红伞差距较大

尔等如此无情丶

支持~微点上市是不能阻止了~

uiw5r

一般用户都不喜欢太麻烦，单奔微点杀毒不太安全，单奔微点主防又不习惯（没扫描），希望微点在杀毒上市之后，能综合一下，出个全功能（MIS）主防基础上加个扫描，扫描不需要太强，作为主防补充即可。

刚仔

一般用户都不喜欢太麻烦，单奔微点杀毒不太安全，单奔微点主防又不习惯（没扫描），希望微点在杀毒上市之后 ...
uiw5r 发表于 2010-4-11 13:01

      同意LS的意见 整个MIS 哈哈~

我们曾经是战士

说的还真有道理
那就暂缓上市把

aimt

qian pai  weiguan

p281841641

最关心的还是免不免费

vocation1985

分析得很深刻
待时间来验证