金山要是像某些人说的花大力气开发“本地主防”，那就彻底废掉了【更新续集】

皇柝

我真搞不懂怎么有那么多人在声讨毒霸没有本地主动防御。那好，我们来分析一下本地主动防御到底有没有用

PS：主动防御我个人理解是基于行为分析或者内置规则的一种启发式查杀模式，别和手动HIPS混起来

先举个例子：
卡巴的主防还算可以了吧？总不能说很差吧
2009版的时候，我记得木马加载一个腾讯的数字证书就能过
2010版，你们再随便百度一下“过2010版卡巴主动”，再看看有多少结果

我不否认主防确实可以带来一定的好处，但是有3个致命缺点：
1、主流杀软暴露在光天化日之下，可以有充分的时间研究
2、主动防御不可能做的完美无缺，因为如果强度太高不仅兼容性会有问题，而且易用性上肯定下降
3、一旦被过，由于主防涉及程序设计，变动远不如加一条特征码那么灵活

还在迷信主防、排斥云吗？连卡巴2011都要云了，除非像TF、Mamutu这种没什么人关注的东西，才会有一定的防御能力

金山已经有云了，而且那么强大的云，分析能力又强
云的好处大家都知道，在服务器端分析，由于在暗处，不容易被研究
如果金山的云已经足够可以把恶意程序查出并且杀死，那主动防御还有个什么用？
所以我的观点一直都是“看整体的防御效果，不要抓个别的细节”

月光宝盒的推出更多的是心里安慰，金山要做的就是2件事：
1、加强自保(比如恶意软件切断云连接)，当然我从来不相信主流杀软可以自己保护自己，非主流杀软根本不需要自保
2、继续提高云的响应速度和准确度，现在还是有一定的问题

欢迎拍砖
===========================
续：我没想到这帖会这么火，比我昨天折腾了一下午的五类安软搭配思路，九大强力组合推荐
还要引来更多的回复。好，回了那么多，再来总结一下

大家提到说我卡巴的例子举的不好，好，那我们用微点的。

现在的这些智能主防和特征码有着几乎一致的特点，无非就是把对特征的定位变成了对行为的定位，
它们只是传统查杀的一种升级，但是很多本质上的问题是一样的。
我请问大家一个问题：如果微点不告诉你它用的是“主动防御”，而只是将这个产品推给你，
于是在你安装好以后遇到病毒给你提示，实际的使用体验和完全没有主防概念的红伞V9又有什么的区别呢？
又有人要说了，主动防御对“未知”的东西好，那请问，NOD32的高级虚拟机启发，不是一样针对未知的吗？
从用户体验的角度来说，它们只不过是判断的手段不同罢了。

在我眼里没有足够的用户交互的东西其实根本不算“防御”，只能是称其为“基于行为的查杀”，
而且行为分析并不见得有多么优于特征定位的方面，首先技术难度高，研发需要大量的精力，而且需要大量的黑白名单，
稍有不甚就容易产生严重的误杀和兼容问题（假设普通用户是没有足够的判断能力的）
最重要的问题是如果有针对性的免杀，根本连样本都很难拿到，这些和传统杀软几乎一致。

不像主防依然暴露在黑手之下，云克服了一个根本性的问题：它难以被针对。
并且不用考虑对客户机的影响，只要服务器够好可以任意进行深度的分析。
云如果真的自动分析、响应速度做的够好的话，确实相对于那些所谓主动防御，查杀会整整高了一个安全级别。

继续欢迎砖头

暮雨

等2011最终版出来看疗效吧。

heaven888

走极端都不好

hzqedison

还是那句话 防御是一个整体 没有单点技术就可以天下太平，没有单独一个版本就可以把市场上所有产品踩在脚下

皇柝

回复 4# hzqedison


    有些人看到个主动防御的名词就觉得天下第一非要不可，实在让人反感

爱卡会员

比较赞同lz的观点,到是希望看看金山月光宝盒出来后,其基于病毒的行为分析及防御究竟怎么样!

a369258147

期待月光宝盒

wywja

主防说实话，就是微点做的好！

iuan

回复  hzqedison


    有些人看到个主动防御的名词就觉得天下第一非要不可，实在让人反感
皇柝 发表于 2010-5-4 11:34

    没人说主防天下第一，有总比没强，同时也是厂家技术能力的展现，大家都有你没有那是你的问题，再口水也没用，早日把那个月光宝盒搞出来才是实在，主防是防御整体的一部分而已，各厂家的能力有高低，有形同虚设的，也有像诺顿一样表现不错,本地结合网络，把各条线串在一齐的，先拒敌于门外

白羊座

楼主自相矛盾，没有完整的系统防护，还谈什么自我保护（程序防护），前面加防盗门，后面天生少一堵墙有意义么？