几个疑惑

广外

安博士还不错吧。

红魔

回复 1# 淼水一雨 的帖子

杀软误报的原因我也不大明白。等待高手。坛子里也有些杀软的官方人员，楼主去问问吧。（虽然他们大多数时候只是在做广告，但也许懂点技术）

其实误报的原因我分析也就是那么几条，因为杀软查出毒的方法也就是特征码、基因码、启发式、主动防御。所以误报也是与此有关。要么就是把那个文件认成病毒入库了，要么就是文件恰好符合了特征码或基因码。要么就是被启发、主防，行为分析出类似病毒的行为了。

关于防胜于事后补救的杀这是毫无疑问的，是个人都知道。但是之所以总是吵这个问题就是因为杀软大体有2种类型，这2种杀软的fans天天吵。。。一种是侦测率高（查杀率高，应该是查毒好！都是查杀率这个词不好。。。让人以为是杀毒强了。所以应该争的不是杀与防，而是查与防。中毒之后的杀毒能力是另一回事，查得出未必杀得掉）。另一种杀软侦测率可能不高（比如铁壳、咖啡，做企业防毒的不能误杀，入库谨慎，所以侦测率不高）但更重视防御，全面防御。所以应该争的不是杀与防，而是查与防。
     但其实也没什么可吵的，杀软的防御主要靠2方面（也有些其他的）。1、监控，也就是依靠文件过滤驱动、ssdt hook等机制把文件拐走，让杀软对文件扫描，看看是不是毒。在这一方面，查与防是一体的，效果一样，查好防就好。但要求监控要做好，别漏了文件，好在现在杀软监控做得都不错。（查毒有病毒库、基因码、启发，楼主说的nod的启发查毒，就在这发挥作用）。但只靠扫描防不住查不出的毒，对吧？所以才会要第2方面，一些其他的不依赖扫描的防毒手段，主要是用HIPS模块或者像咖啡那样设规则（其实在某些方面原理和HIPS差不多，有点像HIPS的fd、rd）。当然杀软要带的是智能HIPS（他们叫主动防御），不然用户受不了。这是防毒的第2方面。防毒好的杀软主要就是第2方面比人强但侦测差。（也有些其他方面强）查毒好的可能第2方面欠佳。但也有查防都好的，比如卡巴。（另外，驳斥一个新手经常有的错误观点，防火墙不是防毒的。。。。是防网络攻击的。。。。）

     所以说2种杀软没什么可争的。查毒好的杀软防毒也不错，够用。另组合的HIPS的话，比如红豆，防御绝对一流。当然防毒好的杀软也很不错，而且可以组合嘛。（其实防毒好的那类杀软防御能力也不很强，智能HIPS而已，有防不住的。实时扫描的侦测率也只是一般，不太高。。。。不要迷信。当然咖啡的规则是很不错的，诺顿要是开交互HIPS模式也超强。）至于楼主说的nod32，他是第1种杀软，他的防毒不算很强的。到现在没有第2种防毒方法，主动防御模块。。。。不过他的启发式查毒的确是很棒。

关于源代码，有的话肯定是对做防护有利，但对查毒来说恐怕没用。windows不开源，给诺顿源代码的传闻很久了，没人知道真假，但我看微软未必那么好心。不过微软是会对外提供很多说明文档供人看的，对各杀软公司也会特别提供帮助吧。但其实对熟悉windows内核的高手来说，没帮助也能干好。

楼主其他的问题有人答了，我就不答了。不足之处等待高手补充。
   

（码字好累。。。。楼主不用一口气问这么多问题吧。。。。另外不少问题以前经常有人问，搜索一下以前的帖子或者在卡饭潜水看一段时间的帖子好多问题自然就明白了，不用老问吧？）

淼水一雨

回复 12# 红魔 的帖子
又两个问题清楚了

   

红魔

回复 13# 淼水一雨 的帖子

其实我很想知道楼主第5个问题是什么，你删的太快了

红魔

回复 1# 淼水一雨 的帖子

关于第1个问题，卡饭的测试其实并不很严谨的，看看便罢。测试都是每月个人申请当月测某杀软，并上报成绩。所以他是什么操作系统就是什么平台。不过成绩好像不会有差别吧？杀软支持n多种操作系统呢。扫描侦测率会不一样？不就是特征码、基因、启发吗？不会因操作系统不一样吧？资源占用、防御能力到可能不一样。

第三个问题楼上也有人解释了