不要單純的看查殺

143152

LZ不适合用杀软    去用HIPS   微点主防   墙之类的东西吧        别在这误导其他人

143152

有杀有防才重要，单一任意一样都单薄。
WEI.ER 发表于 2010-6-6 09:25

正解

694906921

回复  694906921 的帖子
這牛很牛，可惜難搞
Qoome 发表于 2010-6-6 21:45

不难啊 很好搞的 就是防火墙的弹很多窗口 要点

红魔

回复 1# Qoome 的帖子

说下自己的观点吧。刚好写了一些关于查、杀、防的东西，刚给一个人解释完。

关于防胜于事后补救的杀这是毫无疑问的，是个人都知道。但是之所以总是吵这个问题就是因为杀软大体有2种类型，这2种杀软的fans天天吵。。。一种是侦测率高（查杀率高，应该是查毒好！都是查杀率这个词不好。。。让人以为是杀毒强了。所以应该争的不是杀与防，而是查与防。中毒之后的杀毒能力是另一回事，查得出未必杀得掉）。另一种杀软侦测率可能不高（比如铁壳、咖啡，做企业防毒的不能误杀，入库谨慎，所以侦测率不高）但更重视防御，全面防御。所以应该争的不是杀与防，而是查与防。
     但其实也没什么可吵的，我们来看一下杀软的防御原理，就明白查与防没什么可争的。杀软的防御主要靠2方面（也有些其他的）。1、监控，也就是依靠文件过滤驱动、ssdt hook等机制把文件拐走，让杀软对文件扫描，看看是不是毒。在这一方面，查与防是一体的，效果一样，查好防就好。但要求监控要做好，别漏了文件，好在现在杀软监控做得都不错。（查毒有依靠病毒库、基因码、启发）。但只靠扫描防不住查不出的毒，对吧？所以才会要第2方面，一些其他的不依赖杀毒引擎扫描的防毒手段，比如如果对系统的很多事件做监控，让他们经过你的同意在执行，就能更好地防毒了。也就是用HIPS模块，也可以像咖啡那样设规则（其实在某些方面原理和HIPS差不多，有点像HIPS的fd、rd）。当然杀软要带的是智能HIPS（他们叫主动防御），不然用户受不了。这是防毒的第2方面。防毒好的杀软主要就是第2方面比人强但侦测差。（也有些其他方面强）查毒好的可能第2方面欠佳。但也有查防都好的，比如卡巴。（另外，驳斥一个新手经常有的错误观点，防火墙不是防毒的。。。。是防网络攻击的。。。。）

     所以说2种杀软没什么可争的。查毒好的杀软防毒也不错，够用。另组合的HIPS的话，比如红豆，防御绝对一流。当然防毒好的杀软也很不错，而且可以组合嘛。（其实防毒好的那类杀软防御能力也不很强，智能HIPS而已，有防不住的。实时扫描的侦测率也只是一般，不太高。。。。不要迷信。当然咖啡的规则是很不错的，诺顿要是开交互HIPS模式也超强。）
   

jefffire

最近看了很多帖子，很多人吹噓Nod的神起
也有很多人為紅傘、ik扼腕

其實我想說的是，你們弄清楚當初安裝 ...
Qoome 发表于 2010-6-5 20:52

保证隐私安全，信息安全，只有提高个人素质才是唯一正道，其他都是皇帝的新装罢了

3533534

扫描还是有不少乐趣的  不过本人觉得以后智能HIPS 行为技术之类的会成为王道....毕竟现在很多人都用TB的盘了 不晓得用蜘蛛扫TB的盘是什么感觉？

tiantiangun

有道理

y0305y

回复 1# Qoome 的帖子


    小A + ESS 路过·
  楼主说得很不错·  可惜没人气了

lonyu

回复 60# Qoome 的帖子
有哪款殺軟不用特徵碼的...?
而nod靠的是建立在特徵碼之上的啟發
所謂啟發
就是通過虛擬代碼仿真技術對你的文件在一個虛擬環境中模擬運行
這樣就可以分析出病毒的行為
發現未知病毒和木馬
而對於未知病毒
單純的特徵碼是束手無策的
而啟發對比於純特徵碼更高效 不需要頻繁更新
nod不僅將啟發應用於掃描
實時防禦也不例外
並不就像你所說的單靠掃描來防禦
ps：lz不要人身攻擊....你不比我好多少

   

lvjianwei

管闲事
我就喜欢查出病毒的感觉  我不喜欢防御强的一个病毒都进不来  明白？