杀软自保真那么重要？

njh001

回复
呵呵 跟我的想法差不多呢xD
支持一个xD
a45601236qq 发表于 2010.7.17 12:48

恩，偶觉得本来就是这样子

回复
Lz有空看看新手使用电脑你就知道了..
他不会在意他的电脑右下角 伞是否撑开 杀软图标是否不见了..
...
a45601236qq 发表于 2010.7.17 12:50

所以也说了使用电脑的经验和技巧才是关键所在，杀软还真不是万能，所以才出现很多小白装了各种杀软一样被盗号的情况

zyh6036

楼主的说的自保只是小儿科级的自保
360的自保会检测所有试图破坏360的行为并将之作为行为特征报出
所以木马如果要破坏360，哪怕云查杀查不出，自我保护就能将它反杀
不过话说回来，这种反杀式的自保，又有几家能做得到的[:26:]

njh001

而且真正可怕的就是你说的这种情况，靠自保没被干掉，在没升级能识别新木马的情况下和木马共存，你靠什么去识别你机器中马了？
sqcs 发表于 2010.7.17 12:48

所以，现在许多厂家纷纷加入了hips模块，有智能的，也有手动的。其实不论什么方法，用户才是最重要的一环，如果用户想中毒，那谁也救不了他，如果用户不想中毒，就会学习很多相关知识，这样中毒就很难了。

楼主的说的自保只是小儿科级的自保
360的自保会检测所有试图破坏360的行为并将之作为行为特征报出
所以木 ...
zyh6036 发表于 2010.7.17 12:53

如果自保能做到这种阶段的话，那确实不错，就是不知道能做到的有几个

a45601236qq

回复 32楼 sqcs  的帖子
Lz上个鬼影、AV终结者然后自己手杀练技巧吧..(拖走...
这是个技巧的实践的最高境界 (来乱的...


   

WEI.ER

自保还是有点用途的，毕竟不是针对病毒木马，没自保，连稳定都快谈不上了，随便都能结束掉，要杀软有毛用，真不如2L说的裸奔了。

mj0011sec

我简单说两句，自保不仅是安全软件安身立命的根本，更是安全软件之所以可以做下去的根本，是衡量安全软件各方面的准绳，而自保护也是绝对的木桶理论中的木板，如果自保护做得不强，无论是扫描还是防护，做的再强都是白搭。

以纯扫描+实时型的安全软件为例，如果不能做到100%在病毒得到控制权前就杀掉病毒，那么没有自保，就等于没有保护，首先，扫描性安软一定会被免杀，这已经是基本常识了，因此做到100%在病毒运行前杀掉病毒是不可能的，所以一旦病毒运行，安软自保不强，就必然被干掉，就必然失效。

更何况，就算能达成100%识别病毒这个不可能的任务，病毒一样是防不住的，例如在目前漏洞泛滥的情况下，病毒的执行代码可以在浏览器等空间中溢出执行，这时根本没有文件存在，所谓的实时监控也无法扫描出病毒，如果此时安全软件没有自保，恶意程序就可以轻易地结束安全软件，使之无效，没有自保的扫描杀软，就和没有一样

反观存在自保护的安全软件，尤其是更新速度快的安全软件（例如云端的扫描软件），即使没有扫描到免杀后的病毒，也可以很快通过收集（云）、学习（启发式）或入库（传统特征码）等方式，杀掉已存在的木马，比出现免杀（几乎每天都发生）就被干掉，很明显是天上地下的区别。

对于防御型的安全软件（沙箱、主动防御、防火墙（主要指内对外）等等）来说，自我保护更是绝对不可或缺的元素，是整个防御大厦地下的基石。

因为防御型软件的驱动程序都需要和其应用程序端做通讯，进行相关的策略判断，例如拦截到写注册表如何处理，篡改系统文件如何处理，等等,这些的指令都是来自应用端的，那么谁都可以给驱动程序发这样的指令吗？当然是只有安全软件自己的客户端程序，如何识别这个客户端程序呢？  理论告诉我们，因为注入、DLL劫持等手段的存在，驱动程序是无法正确识别自己的客户端的，只有在驱动中将自己的进程保护起来，识别受保护的进程，才是最终的解决方案。

同时，防御型的安全软件通常还会对自己的客户端程序做 全部放行 处理，以避免 重入 锁死等问题，此时，如果客户端程序没有自保，那么就可以随时被恶意软件利用，绕过防御软件的所有保护。

因此这里说，自保是防御软件的基础，没有自保，防御型软件只是个笑话。

正如开头说的，自保是安软的基石，自保做得好，安软才能长足发展，现在360发展出国际一流的云扫描引擎、主动防御、沙箱等等，远超老牌安全软件，正是建立在其宇宙第一的自保的前提上的，试想如果没有自保，就360这样超过3亿的客户端，木马作者眼中的最大的钉，早就被各种手段杀光了，再何谈主动防御和云扫描呢？

至于检测到木马的自保破坏行为然后反杀，那倒已经是锦上添花的事了，虽然360也做了类似的功能，但不过是追求更高的木马检测拦截率，或者在木马发生恶意动作前就对其进行拦截而已（木马通常先发生破坏安全软件动作，然后才发生其真正的恶意动作）

era2011

对付爆发性病毒，自保把杀软保护了，在升级病毒库后直接杀。
sd274994 发表于 2010.7.17 00:38

这种说法很天真，系统都歌屁了，那还来升级，所以说所谓自我我保护都是笑话

loぴё冥シ楓

自保也要有  不能隨便搞掉進程就算差不多  著重還是查殺