也来谈谈组合

jpzy

传送门：http://bbs.kafan.cn/thread-686003-1-1.html

昨天看到这个帖子，LZ描述了自己的惨痛遭遇，而热心的卡饭网友们提出了很多建议。我看了以后忽然萌生了写这个帖子的念头。


首先，如果是论坛的老人，应该知道JP曾经是很反对组合的，到了现在，也不支持装两款或两款以上的反病毒。JP自己两台电脑，一台win7，单奔MSE，一台XP，单奔avast! free。JP的观点一向是：电脑资源应该用来做更多的事，而不是被多个安全软件白白占用。


不过，事易时移，现在的安全形势越来越恶劣了。单一的反病毒应对目前的安全形势也显得越来越无力。于是，组合就变得重要了。不过JP观念里的组合，仍然跟很多卡饭网友不同。


先举个例子：
我的win7下单奔MSE，从某种意义上来说，这也是个组合。Microsoft Internet Security——包含了MSE（反病毒，反间谍）+UAC（权限控制）+Win7防火墙（防内防外）。在这个组合里面，最重要的，其实是UAC。UAC的概念和作用，这里不再赘述了。有兴趣的可以另外开帖讨论。


那么，这个组合的短板在哪呢？应该是MSE。无论MSE的引擎和基因码做的多好，也仍然无法避免传统特征码杀毒的弊端——滞后性。虽然win7的入口防御比XP有了质的提升，但是UAC也并不是完美无瑕的。OK，可能有朋友会说，那就另外装一个安软吧，红伞，avast!，DrWeb……双监控，漏毒的可能性大大降低了。


NO，NO，NO……君不见，虽然少，但是样本区也不乏新鲜样本VT全过的例子。遇到这样的病毒，即使把VT搬进来，恐怕一样于事无补。


OK，回到主题上来。说说我对组合的理解吧。分几种不同的情况来说明一下。


第一种，对安全要求不高的。不用网银，不网购，不玩网游，QQ号也不值钱，只用电脑上上网，看看电影。这样的用户，对安全的要求可以放低一点。就像上网本一样，在可接受的范围内尽量缩水。对于这样的情况，组合应该包括：反病毒+反间谍+防火墙。一般来说，一个反病毒（现在大部分安软已经将反间谍和反病毒整合了）+系统自带墙或者一个套装足矣。既然没什么可丢的，自然没什么可防备的，不中毒的目的不过是让机器运行的更顺畅罢了。


第二种，对安全性要求较高的。网银，网游都涉猎。这样的用户，安全性要求比较高了。组合的话，应该是反病毒+反间谍+行为分析（TF，微点，mamutu等）+入口防御+防火墙，必要的情况下还要加上Anti-keylogger工具。反病毒有很多了，不说了。行为分析可加可不加，因为很多套装都有主防功能，如果使用的套装有类似的功能，那么行为分析可以省略。入口防御包含U盘防护，网页防护等，主要针对病毒可能的入口，这里面，浏览器的选择和网页防护同样重要。win7下可以开启UAC后，使用IE8，设置使用IE8的inprivate浏览模式。XP下可以换用Chrome，Opera等非IE核心的浏览器。防火墙是拦截本地数据外联的有效手段，对安全性要求高的，这个必须要加上。Matousec测试排名靠前的防火墙都可以考虑，如OP，OA，ZA，PCT等。最后，Anti-Keylogger工具。可以使用国内的一些保险箱针对特殊的程序给予保护，也可以选择通用型的，如Prevx safeonline，Zemana Antikeylooger等。这个对于网银，网游用户非常重要。为什么有的朋友装了N个安软，最终还是会被盗号呢？因为大部分的安软并没有针对Keylogger做专门的防护，大家应该还记得嘁~不稀罕版主在国外区对几个知名安软做的Zemana Keylogger的测试，测试的结果只能用惨不忍睹来形容。而木马盗号的主要手段就是截屏，监控键盘输入等方式。一旦获取用户隐私失败，自然也就无法成功盗号了。


第三种，对安全性要求极高的。除了联网所涉及的安全领域外，本地磁盘还有隐私数据需要保管（个人用户一般可能达不到这个程度，电脑内有重要的商务，科研资料的朋友，请你关注这里所说的）。这样的用户，组合至少要包括：反病毒+反间谍+入口防御+防火墙+文件加密+文件备份，行为分析和Anti-Keylogger在可选之列。除了第二种组合的所有内容外，文件加密和文件备份也被列入到安全组合范围内。那是因为，在联网的情况下，本地数据可能会以各种途径和方式泄露出去。因为用户既然联网，必然会使用网络工具如浏览器，QQ等，很多的安全工具也在联网之列。很多工具可能会检索本地文件，并且上传（比如最近热炒的云查杀）。如果本地数据含有隐私内容，那么，如何保护他们就成了重中之重。文件加密是这种情况下的必然选择。将所需要保护的文件以加密的方式保存，则对文件的非法访问都可以被拒绝，即使文件被上传，也不用担心隐私泄露。文件备份是另一个重要的安全措施。现在很多病毒都有感染功能，而重要的文件一旦被感染，能否修复就不得而知了，而用户则恐怕很难承受失去文件的损失。定期的对重要的文件进行备份是应对此种情况的最佳选择（Norton360等很多安软都带有文件备份功能，可见其重要性）。


最后，系统本身的安全功能，也可以算在组合当中。比如使用user权限的用户，Vista/win7的UAC的开启，恰当的配置组策略等。


综上，一个完整的组合应该包含：反病毒+反间谍+防火墙+入口防御（浏览器，网页防护等）+行为防御（行为类主防）+隐私防御（Antikeylogger等）+文件加密+文件备份+系统权限控制。这其中，后面四项是目前大家忽视的，同时也是非常重要的安全手段。

HIPS和影子系统，JP没有加入到组合中来。HIPS主要是因为它普及性和可用性比较低，而且HIPS的很多功能可以归结在行为防御，隐私防御甚至文件加密中，所以没有加入。而影子系统这类还原性质的工具，并不能保证用户不中毒，只是重启后清除病毒而已，用户的隐私数据并不能为影子所防护，因此没有加入到组合中来，有兴趣的可以自己加入影子系统。

其实上面说了那么多，可能会有人感到很恐怖。怎么要做到安全要装那么多东西啊？！其实不然，反病毒，反间谍，防火墙，行为防御这些组件，基本所有的安软的互联网套装版本都具备。入口防御现在也越来越多的加入到套装当中了。所以其实真正缺乏的，一是Antikeylogger，二是文件加密备份（Norton360，BD，Panda等全功能套装也具备文件备份功能），三是系统权限部分。后两者并不占用平时的资源，有心的可以使用一些相关工具或者学习系统知识来达到目的。其实这个帖子也是给Antikeylogger类的工具吹吹风，让大家能够重视这部分防御功能。

qiuqi1115

支持啊，不折腾最好

Napelon

谢谢LZ，学习了。另外，弱弱的问一下，VT  是什么东东

皇柝

各种支持了

65222960

看的太累了，单飘随便哪个套装都行啦

皇柝

不过个人认为，LZ的“第二类用户”，是最应该加个云的。第三类用户反而最不能配云，还是应该以HIPS为主导。

另外LZ还忽略了一个问题，就是使用者的计算机水平，这个也会非常影响组合的选择。

bbs2811125

回复 3# Napelon


    virus total在线病毒扫描，基本集结了国际上流行的杀软引擎
用于判断参考

特种部队

杀软小红伞，入口防御沙盘，Windows7系统防火墙，行为分析 360安全卫士最新内测版

Thummer

重要东西统统移出去，轻松多了

Napelon

回复 7# bbs2811125 呵呵，谢谢解答了，我猜也是这个，但不确定