好吧，语无伦次的说说查杀率，监控。还有。。。

英姿飒爽

写的很好哇

djwangfeng

版主好酒量[:26:]

chenpg

回复 14# 不一定 的帖子
呃。。。我还是耿耿于怀于这个杀软是啥。。。
   

hz88jbnzc

不管你说谁多牛X我感觉我想用AVG了，但AVG实在是卡，我这样说不是唯一，如果不解决卡的问题那么就会出现用的人越多失望的人就越多。

iippuiui

回复 36# 不一定 的帖子


   噢~我还是菜鸟,知的还比较少

rainwax

回复 1# 不一定 的帖子
白酒二三斤？还能写出这样的文章来，好酒量啊！
要是我喝这么多，话都不会说了。


   

72380656

写的很好，起到抛砖引玉的作用
查杀率不是杀软的全部，只是一部分，的确不是人人下毒来玩的

红魔

回复 1# 不一定 的帖子

说下自己的观点吧。刚好以前写了一些关于查、杀、防的东西。也请给我挑挑错。

关于防胜于事后补救的杀这是毫无疑问的，是个人都知道,杀软公司也在努力做防御的。但是之所以总是吵这个问题就是因为杀软大体有2种类型，这2种杀软的fans天天吵。。。一种是静态扫描侦测率高（查杀率高，应该是查毒好！都是查杀率这个词不好。。。让人以为是杀毒强了。所以应该争的不是杀与防，而是查与防。中毒之后的杀毒能力是另一回事，查得出未必杀得掉）。另一种杀软侦测率可能不高（比如铁壳、咖啡，做企业防毒的不能误杀，入库谨慎，所以侦测率不高）但更重视防御，全面防御。所以应该争的不是杀与防，而是查与防。
     但其实也没什么可吵的，我们来看一下杀软的防御原理，就明白查与防没什么可争的。杀软的防御主要靠2方面（也有些其他的）。1、监控，也就是依靠文件过滤驱动、ssdt hook等机制把文件拐走，让杀软对文件扫描，看看是不是毒。在这一方面，查与防是一体的，效果一样，查好防就好。但要求监控要做好，别漏了文件，好在现在杀软监控做得都不错。（查毒有依靠病毒库、基因码、启发）。但只靠扫描防不住查不出的毒，对吧？所以才会要第2方面，一些其他的不依赖杀毒引擎扫描的防毒手段，比如如果对系统的很多事件做监控，让他们经过你的同意在执行，就能更好地防毒了。也就是用HIPS模块，也可以像咖啡那样设规则（其实在某些方面原理和HIPS差不多，有点像HIPS的fd、rd）。当然杀软要带的是智能HIPS（他们叫主动防御），不然用户受不了。这是防毒的第2方面。同时，防毒还有些不依赖杀毒引擎扫描的防毒手段。比如针对一些病毒入口的特别防护。比如帮你禁用掉u盘autorun，禁止u盘中启动程序。网页的防护等。防毒好的杀软主要就是第2方面比人强但侦测差。查毒好的可能第2方面欠佳。但也有查防都好的，比如卡巴（特别是开交互式hips时）。

     所以说2种杀软没什么可争的。查毒好的杀软防毒也不错，够用。另组合的HIPS的话，比如红豆，防御绝对一流。当然防毒好的杀软也很不错，而且可以组合嘛。（其实防毒好的那类杀软防御能力也未必很强，因为智能HIPS有防不住的。实时扫描的侦测率也只是一般，不太高。。。。不要迷信。当然咖啡的规则是很不错的，诺顿要是开交互HIPS模式也超强。）

不过有一点是最重要的，不论杀软用哪种类型，防毒最重要是肯定的

   

oyd2008

深刻，反思

wty

写的不错