浅谈F-Secure Internet Security Technology Preview (ISTP)，与卡巴KIS简单比较

solcroft

原帖由 百地三太夫 于 2007-4-11 16:07 发表
我也是卡巴FANS，我想对于我们用KIS的同胞来说，1434端口攻击者Intrusion.Win.MSSQL.worm.Helkern!这个蠕虫王不陌生吧？
这个蠕虫病毒老喜欢到处窜，通过在网络上的随机搜索，从一台电脑感染到另一台电脑。
我的KIS就是用了隐身模式，可还是常常被这个家伙攻击，当然，卡巴也很负责任的都拦截下来了。
但是，这侧面反映了一个问题，就是卡巴的隐身模式并不能完完全全让你在网络上面隐藏起来，不然的话，你也不会被这个蠕虫搜索到你的电脑了。

Helkern，名字好生疏，Google一下才发现原来是Slammer蠕虫的别名
在下没用过F-Secure，只是想纠正一下关于防火墙的错误观念，受到攻击并不代表是被蠕虫“搜”到了

首先来了解一下防火墙的操作原理，一般来说电脑的网络端口有三个状态：打开（open），关闭（closed）和隐藏（stealth）。未被进程使用的端口一般都是关闭状态，别的用户或服务器从互联网访问该端口的话，端口会做出回应，显示自己的状态为关闭而不接受连接。这样一来，访问者能探测到该端口的存在，但不能连接到该端口。

如果有进程在使用端口的话，端口的状态会改成“打开”，访问者只要传送正确的packet便可以和端口连接。BitTorrent便是例子，使用BT时必须先设定一个端口，让它聆听并且准备接受连接。所谓的黑客攻击，便是对打开端口的攻击，如果聆听着端口的服务带有安全漏洞，黑客便可以连接到端口后利用安全漏洞展开攻击，Slammer蠕虫便是对的SQL Server服务的安全漏洞进行攻击。

在这里可以领悟到一些道理，就是如果在使用端口的服务没有安全漏洞，就算端口打开了，黑客也无从下手，这就是为什么这么多BT用户把端口打开了也没受到攻击的原因，因为BT本身没有让黑客乘机的安全漏洞，这就是打全安全补丁的重要性。同样的，如果端口状态是“关闭”，虽然别人能探测到你的电脑的存在，也一样无法进行攻击，因为他们不能连接到你的电脑。

要把端口显示为隐藏状态，需要安装防火墙才能做到。防火墙的操作原则很简单：关闭状态的端口会对访问者做出回应，安装防火墙后端口便会对访问完全没有回应，使访问者没法探测到你电脑的存在。

Slammer蠕虫发难后，会随即产生数万个IP地址后对那些IP进行攻击。防火墙把攻击都拦了，并不是代表电脑被搜到了，而是你的电脑被蠕虫访问，可是因为防火墙不让端口对访问做出回应而使到访问失败，仅此而已。

汉语说得不好，请见谅，这些东西我学习时都是用英文的，翻译成华文有点不顺口...

tonylu000

LZ啊，fs没你想想的这么差
第一 网页过滤这不是传统上杀软所应该包括的功能，用它评判有失公正，而且我用maxthon的，广告可以过滤的很彻底，还不用一条一条输入规则。
第二 FS的墙在欧洲可是顶尖的东西，交互式防火墙，绝对比卡巴的墙要好。
第三 你说卡巴的主动防御好，那我问你hips和主动防御你喜欢哪个？你要是把卡巴主动防御全开就知道它会占用多少资源了，而我喜欢HIPS，FS的就是HIPS，你用过SSM、犀牛之类的就会知道了，HIPS一般都这样，而且它连危险程度都告诉你了很直观。
第四 fs的版本很早以前就能在线升级，只是我们的网络比较慢而且经常连接失败，但是它升级采用的是断点续传，只要连上了它自己还会继续下载的。
第五 FS毕竟是4引擎，扫描的时候多占了点CPU也是没办法的事，而且4引擎被免杀的几率的确比单个卡巴引擎低的多！至于你说FS用卡巴病毒库的却有这么一说，不过也无所谓，反正只要能杀就好。
我只能说如果比整体效果的话卡巴不是FS对手

7sumetai

原帖由 tonylu000 于 2007-4-11 22:20 发表
LZ啊，fs没你想想的这么差
第一 网页过滤这不是传统上杀软所应该包括的功能，用它评判有失公正，而且我用maxthon的，广告可以过滤的很彻底，还不用一条一条输入规则。
第二 FS的墙在欧洲可是顶尖的东西，交互 ...

个人认为，您的观点与我大相径庭
我恰恰认为，总体来看，FS远不是KIS的对手
二者其他方面的表现基本一直，但是防火墙上和KIS的巨大差距完全左右了它们的实力差距啊，哦，对了，当初PC Pro做测试的时候还是307版本的主动防御就已经和FS一个水平了，更不用说现在的MP2了。

lzlzh

我觉得FS和KIS是同一级别的,如何使用完全凭个人喜好,没必要争个输赢,而且也争不出个输赢来.

daps

这是卡饭论坛,你不让卡巴赢很多人会跟你急的~

7sumetai

原帖由 daps 于 2007-4-11 22:43 发表
这是卡饭论坛,你不让卡巴赢很多人会跟你急的~

话不能这么说吧？凡事都要讲个理不是？
我前面说的又不是信口开河的，都是有根据的啊？如果觉得FS优秀的话，大可以举例子啊……
你这样一说倒是显得卡饭没有言论自由了不是？

jlj383940

样本区长期的实验，F-S7.0好与KIS

tonylu000

原帖由 7sumetai 于 2007-4-11 22:48 发表

话不能这么说吧？凡事都要讲个理不是？
我前面说的又不是信口开河的，都是有根据的啊？如果觉得FS优秀的话，大可以举例子啊……
你这样一说倒是显得卡饭没有言论自由了不是？

要例子啊，请问LS，你认为主动防御（凭借病毒库）和HIPS（凭借行为判断）哪个对未知病毒的支持更好些？碰到针对卡巴的免杀的话是卡巴比较安全还是有4引擎的FS比较安全？还有各问题就是我们用同样的带宽然后同样上浩方玩CS你觉得会是谁的PING比较低些？FS墙的防御能力可以在网上查，欧洲顶尖防火墙并没你想想的这么脆弱。

solcroft

原帖由 tonylu000 于 2007-4-12 00:53 发表

要例子啊，请问LS，你认为主动防御（凭借病毒库）和HIPS（凭借行为判断）哪个对未知病毒的支持更好些？碰到针对卡巴的免杀的话是卡巴比较安全还是有4引擎的FS比较安全？还有各问题就是我们用同样的带宽 ...

主动防御凭借病毒库？
第一次听到如此的高论，佩服

7sumetai

原帖由 tonylu000 于 2007-4-11 23:23 发表

要例子啊，请问LS，你认为主动防御（凭借病毒库）和HIPS（凭借行为判断）哪个对未知病毒的支持更好些？碰到针对卡巴的免杀的话是卡巴比较安全还是有4引擎的FS比较安全？还有各问题就是我们用同样的带宽 ...

PDM和HIPS的可笑定义我就不说了，S说过了
4引擎……汗，KIS+Antivir的资源占用都没有你那个四引擎大呢更何况10个漏3个和漏2个归根到底都是漏，到头来还是要靠防火墙来挡咯
说到防火墙，看来你始终不敢正视matousec的测试结果啊……空口的顶尖谁都敢说，更何况KIS还是matousec唯一推荐的个人防护墙呢？
你说延迟，嗯，裸奔的时候延迟最低，不是么？