别让你的咖啡卫士变成金壳乌龟

ouran

首先申明：
1.咖啡确实有许多独到的优点，毕竟还是很有魅力的一款防护软件，如果没有任何优点，就没有人懒得讨论它。
2．在是否告别咖啡之前,没有勇气发此帖,但想来想去,还是豁出去了,此帖可能会引起fans们尤其是刚使用咖啡的网友的情绪，建议你冷静，可以斧正，尽量别漫骂。当然漫骂也是你的自由，有部分使用咖啡的老鸟都抛弃了咖啡。在此冒着被骂的危险，想提提忠告而已。
3．咖啡的上报政策已经表明，只有少数人的上报，往往可能被列入恶意上报的黑名单，相反，偶尔上报几个样本，回复和处理似乎要快一些，如果喜欢咖啡，建议偶尔上报两个，众人拾柴火焰高。
4．05年之咖啡，被人称为卫士，甚至有人把卡巴称为屠夫，06年情况变了，卡巴的主动防御加极快的反应速度，你不认为卡巴是真正的卫士吗？
所谓优秀的卫士，应该是即有铁甲盾牌，也手持利器，可主动查杀，可被动防御，可守可攻，可防可杀，尽管在军事上，关闭城门，拒不迎战或许是韬光养晦的理性选择，如果永远不伺机主动出击，这样的将军你喜欢吗？
  ０６年底到０７年初的咖啡，几乎是只守不杀，让人联想到的不是卫士，而是遇到紧急情况就必须把头缩进去的缩头乌龟，（其规则防御，其反应之慢，其默默无闻，倍儿像乌龟了，但是我也不喜欢用缩头乌龟，就叫它金壳乌龟吧，毕竟这个乌龟的壳还是比较牢固的）尽管仍然比较安全，如果真正遇到坦克，即使完全藏到壳里，也是壳破龟亡！

一、现在咖啡对国内区域性的蠕虫几乎没有优势
微软的xpsp2 限制了tcp ip连接数，这一招确实厉害，诸如冲击波震荡波这样闪电式传播的蠕虫得到了有效的遏制。而慢速蠕虫（low and slow）流行起来.表现之一就是疯狂依靠移动介质传播的区域性蠕虫，熊猫烧香就是一个典型的例子，尽管它还有其他的传播方式。到达日本经历了近一个月的时间，此时，国内的用户损失已经比较大了。在这些地区性病毒方面，作为美系的mcafee显然没有任何优势。一直纳闷的是，06年之前，咖啡吃虫子可是能手，样本区很少见到咖啡挂的蠕虫，咖啡第一个消灭魔鬼波（实际上本人从来没有见过这种蠕虫感染的机器，可能是由于tcp ip限制了传播速度的原因，当该蠕虫刚一扩散，就被安全厂商截获了，仅仅几个小时的反应差距，咖啡的优势只是引起赞扬而已），但现在，咖啡挂虫子如同它的名气一样不可小看，可以说挂得一塌糊涂！因为区域性蠕虫成了主要的威胁！

二、混合性攻击扩大，好多功能是摆设
06年以来，几乎没有感觉到mcafee反间谍模块的功效，除了能扫几个无关紧要的cookies之外，很少感觉它的存在，只是安装之后，内存占用扩大。点“关于”，看到Anti-Spyware Enterprise Module ，才让人有点疑惑得长出一口气。确实，它反不不了几个间谍，木马都难以加库，间谍软件就更不要说了。

三．咖啡的上报政策有歧视中国用户之嫌疑
大概是去年，咖啡修改了上报政策，对于样本的处理是按会员等级区别的。优先处理高等级会员上报的威胁。作为人家官方的决定，似乎无可非议。谁叫你是盗版呢？
但是，看看别的安全厂商，对样本收集的情况，不由让人疑惑？难道病毒一看到你举起一张授权协议书，就会对你产生敬畏之情？向你下跪？用户有正盗版之分，难道病毒也有授权和非授权之分？
假定你义务地搞个蜜罐，给咖啡上报样本，没几天，你的邮箱会被列入恶意上报的黑名单！
从此，你的上报几乎没有任何回复，样本也得不到处理！这态度，和卡巴斯基相去甚远了！
可以找找前几天的黑炸弹，或者killdisk，还有2月份流行的硬盘欺诈者，现在没有报的恐怕只有咖啡一家了。
根据本人收藏的样本，咖啡对中国威胁的检测率连30%都达不到，不相信的网友可以在样本区，把近3个月的样本全部下载下来，自己得出结论。

四、据crsky的网友所说，咖啡得到微软源代码的支持纯属谣传，真正得到源代码支持的是赛门铁克，而不是mcafee，曾经遇到的控制台图标无故消失，McAfee Task Manager服务好端端无法启动，按访问扫描自行关闭，提示升级成功但是库没有变化，和一些防火墙严重冲突等一系列问题，总算有了一个可以解释的答案。

五、mcafee规则实质是个“信任”问题，对内核级威胁基本无效
首先，恶意程序的行为多样化了，感染的文件类型也是多样的。
假定一个恶意程序要删除.xls文件，感染htm文件（例如熊猫），在windows创建txt病毒文件，（例如灰鸽子），在temp创建js恶意脚本文件。有谁不想正常使用计算机的人用规则阻止所有这些文件的写入，创建和删除？即使不能全部运行,但养着毒的感觉恐怕并不舒服
至于内核级威胁，之前的一个帖子已经讨论过了，咖啡的监控有被饶过的危险和事实

  至于诸如禁止explorer.exe读取＼执行＼１２３.exe（１２３.exe是病毒）　的规则，一个不引起图标变化的文件型病毒，或者伪装到位的恶意程序，不照样骗取运行了，实质还是个信任问题．完全取决于个人判断，已知其是病毒，自然阻止了它，如果信任了，肯定会放行，是否信任它，需要用户判断其大小，甚至是md5值，总之，这时候起作用的是你自己，功劳不在咖啡的规则上。
    为了安全，还不得不对移动介质的特定文件比较大小，甚至做md5校验，以防文件性病毒感染别人的机器．
六，mcafee是首先提出实时监控理念的，而且对实时监控有很透彻的研究，06年之前，谈防病毒的监控能力，几乎没有人不提到咖啡的，现在，论坛上有人讨论这个问题，你都不好意思谈咖啡，没有库和启发式的支持，有什么资格谈监控能力？
七．如果到样本区转悠，有你失望的
难道，当年被美誉的咖啡卫士真要变为金壳乌龟了？

aribeth199

基本同意，咖啡的扫描实在是不怎么样，既然是杀毒软件，总该多注重一下杀毒成功率。而目前看来，咖啡更多的成功之处在于其防护功能，而所谓防护功能靠其它FD软件也能实现，如此看来，作为一款杀软，检测率不行，而作为招牌的FD防护，也正被其它软件迎头赶上，优势已经不明显了。这只针对个人用户。
---------------------------------------------------------------------------------------------
而咖啡最大的优势目前在于企业的协同管理，这好像其它杀毒软件还有一定差距，也可以说这才是咖啡的真正优势所在。
本来来讲，企业版的杀软应用于普通用户，就有可能有不适用的地方。卡巴对于个人用户而言，还是比较方便的。然而对于企业用户来讲，却又有其不便之处，这也是很多企业用户很少采用卡巴的原因。

[ 本帖最后由 aribeth199 于 2007-4-27 12:35 编辑 ]

燕子窝

惊诧于咖啡对于上报的态度！
至于安全防护方面，相信每个人会有不同的看法，个人觉得给我用足够了。

小邪邪

综合监控能力是可以了，够用
目前希望：提高查杀能力，或者提高对上报样本的升级速度（入标准库）

wooyard

向楼主学习了，谢谢！

wudi0607

楼主很有想法呀~~
学习了

bluesmask

希望多看到这样的贴

佩服版主，挺牛的！公开砸场子也加分。

bb624

咖啡应该扩展它的病毒库，很关键啊！

wok188

看了楼主的贴,的确比以前清醒了点,以前总是感觉咖啡是神,规则定好天下无敌,现在想想也不完全是这样,不过,虽然楼主说的有道理,但是不管怎么说,偶们用的企业版咖啡,不象用其他的软件那样,还要自己去搜索什么注册码之类的,楼主说赛门铁克得到微软源代码支持,偶倒是很想试一下,不过听说赛门铁克占资源不是一般的多啊,觉得很奇怪,如果一个软件得到操作系统支持的话,应该和系统融合的相当好,一般不会出什么问题,占用资源也应该很少才对啊,我以前好象也是在某个论坛上看别人说NOD32才是得到微软源代码支持的,所以资源占用少,杀毒效果也很好,听说NOD32是微软的御用杀软,不知是不是真的

starfish

不知楼主有没有注意到，你发这了这么一篇貌似冒犯咖啡的文章，可是你看看大家反应如何？大家有对你如何如何吗？大凡坚持用咖啡的人，都是一些比较理性的人，经过多次比较后对咖啡情有独钟的，就算是杀毒弱点，我有规则来挡，就算是规则无用，我也有良好的使用习惯__我本来就不认为咖啡的规则可以无坚不摧，强如卡巴者，所谓的卫士真的站在病毒的坦克前，也随时可能最多只是肉饼一个……