查看: 7889|回复: 36
收起左侧

别让你的咖啡卫士变成金壳乌龟

[复制链接]
ouran
发表于 2007-4-27 12:12:18 | 显示全部楼层 |阅读模式
首先申明:
1.咖啡确实有许多独到的优点,毕竟还是很有魅力的一款防护软件,如果没有任何优点,就没有人懒得讨论它。
2.在是否告别咖啡之前,没有勇气发此帖,但想来想去,还是豁出去了,此帖可能会引起fans们尤其是刚使用咖啡的网友的情绪,建议你冷静,可以斧正,尽量别漫骂。当然漫骂也是你的自由,有部分使用咖啡的老鸟都抛弃了咖啡。在此冒着被骂的危险,想提提忠告而已。
3.咖啡的上报政策已经表明,只有少数人的上报,往往可能被列入恶意上报的黑名单,相反,偶尔上报几个样本,回复和处理似乎要快一些,如果喜欢咖啡,建议偶尔上报两个,众人拾柴火焰高。
4.05年之咖啡,被人称为卫士,甚至有人把卡巴称为屠夫,06年情况变了,卡巴的主动防御加极快的反应速度,你不认为卡巴是真正的卫士吗?
所谓优秀的卫士,应该是即有铁甲盾牌,也手持利器,可主动查杀,可被动防御,可守可攻,可防可杀,尽管在军事上,关闭城门,拒不迎战或许是韬光养晦的理性选择,如果永远不伺机主动出击,这样的将军你喜欢吗?
  06年底到07年初的咖啡,几乎是只守不杀,让人联想到的不是卫士,而是遇到紧急情况就必须把头缩进去的缩头乌龟,(其规则防御,其反应之慢,其默默无闻,倍儿像乌龟了,但是我也不喜欢用缩头乌龟,就叫它金壳乌龟吧,毕竟这个乌龟的壳还是比较牢固的)尽管仍然比较安全,如果真正遇到坦克,即使完全藏到壳里,也是壳破龟亡!

一、现在咖啡对国内区域性的蠕虫几乎没有优势
微软的xpsp2 限制了tcp ip连接数,这一招确实厉害,诸如冲击波震荡波这样闪电式传播的蠕虫得到了有效的遏制。而慢速蠕虫(low and slow)流行起来.表现之一就是疯狂依靠移动介质传播的区域性蠕虫,熊猫烧香就是一个典型的例子,尽管它还有其他的传播方式。到达日本经历了近一个月的时间,此时,国内的用户损失已经比较大了。在这些地区性病毒方面,作为美系的mcafee显然没有任何优势。一直纳闷的是,06年之前,咖啡吃虫子可是能手,样本区很少见到咖啡挂的蠕虫,咖啡第一个消灭魔鬼波(实际上本人从来没有见过这种蠕虫感染的机器,可能是由于tcp ip限制了传播速度的原因,当该蠕虫刚一扩散,就被安全厂商截获了,仅仅几个小时的反应差距,咖啡的优势只是引起赞扬而已),但现在,咖啡挂虫子如同它的名气一样不可小看,可以说挂得一塌糊涂!因为区域性蠕虫成了主要的威胁!

二、混合性攻击扩大,好多功能是摆设
06年以来,几乎没有感觉到mcafee反间谍模块的功效,除了能扫几个无关紧要的cookies之外,很少感觉它的存在,只是安装之后,内存占用扩大。点“关于”,看到Anti-Spyware Enterprise Module ,才让人有点疑惑得长出一口气。确实,它反不不了几个间谍,木马都难以加库,间谍软件就更不要说了。

三.咖啡的上报政策有歧视中国用户之嫌疑
大概是去年,咖啡修改了上报政策,对于样本的处理是按会员等级区别的。优先处理高等级会员上报的威胁。作为人家官方的决定,似乎无可非议。谁叫你是盗版呢?
但是,看看别的安全厂商,对样本收集的情况,不由让人疑惑?难道病毒一看到你举起一张授权协议书,就会对你产生敬畏之情?向你下跪?用户有正盗版之分,难道病毒也有授权和非授权之分?
假定你义务地搞个蜜罐,给咖啡上报样本,没几天,你的邮箱会被列入恶意上报的黑名单!
从此,你的上报几乎没有任何回复,样本也得不到处理!这态度,和卡巴斯基相去甚远了!
可以找找前几天的黑炸弹,或者killdisk,还有2月份流行的硬盘欺诈者,现在没有报的恐怕只有咖啡一家了。
根据本人收藏的样本,咖啡对中国威胁的检测率连30%都达不到,不相信的网友可以在样本区,把近3个月的样本全部下载下来,自己得出结论。

四、据crsky的网友所说,咖啡得到微软源代码的支持纯属谣传,真正得到源代码支持的是赛门铁克,而不是mcafee,曾经遇到的控制台图标无故消失,McAfee Task Manager服务好端端无法启动,按访问扫描自行关闭,提示升级成功但是库没有变化,和一些防火墙严重冲突等一系列问题,总算有了一个可以解释的答案。

五、mcafee规则实质是个“信任”问题,对内核级威胁基本无效
首先,恶意程序的行为多样化了,感染的文件类型也是多样的。
假定一个恶意程序要删除.xls文件,感染htm文件(例如熊猫),在windows创建txt病毒文件,(例如灰鸽子),在temp创建js恶意脚本文件。有谁不想正常使用计算机的人用规则阻止所有这些文件的写入,创建和删除?即使不能全部运行,但养着毒的感觉恐怕并不舒服
至于内核级威胁,之前的一个帖子已经讨论过了,咖啡的监控有被饶过的危险和事实

  至于诸如禁止explorer.exe读取\执行\123.exe(123.exe是病毒) 的规则,一个不引起图标变化的文件型病毒,或者伪装到位的恶意程序,不照样骗取运行了,实质还是个信任问题.完全取决于个人判断,已知其是病毒,自然阻止了它,如果信任了,肯定会放行,是否信任它,需要用户判断其大小,甚至是md5值,总之,这时候起作用的是你自己,功劳不在咖啡的规则上。
    为了安全,还不得不对移动介质的特定文件比较大小,甚至做md5校验,以防文件性病毒感染别人的机器.
六,mcafee是首先提出实时监控理念的,而且对实时监控有很透彻的研究,06年之前,谈防病毒的监控能力,几乎没有人不提到咖啡的,现在,论坛上有人讨论这个问题,你都不好意思谈咖啡,没有库和启发式的支持,有什么资格谈监控能力?
七.如果到样本区转悠,有你失望的
难道,当年被美誉的咖啡卫士真要变为金壳乌龟了?

评分

参与人数 1经验 +8 收起 理由
小邪邪 + 8 原创经验之谈

查看全部评分

aribeth199
发表于 2007-4-27 12:28:59 | 显示全部楼层
基本同意,咖啡的扫描实在是不怎么样,既然是杀毒软件,总该多注重一下杀毒成功率。而目前看来,咖啡更多的成功之处在于其防护功能,而所谓防护功能靠其它FD软件也能实现,如此看来,作为一款杀软,检测率不行,而作为招牌的FD防护,也正被其它软件迎头赶上,优势已经不明显了。这只针对个人用户。
---------------------------------------------------------------------------------------------
而咖啡最大的优势目前在于企业的协同管理,这好像其它杀毒软件还有一定差距,也可以说这才是咖啡的真正优势所在。
本来来讲,企业版的杀软应用于普通用户,就有可能有不适用的地方。卡巴对于个人用户而言,还是比较方便的。然而对于企业用户来讲,却又有其不便之处,这也是很多企业用户很少采用卡巴的原因。

[ 本帖最后由 aribeth199 于 2007-4-27 12:35 编辑 ]
燕子窝
发表于 2007-4-27 12:42:02 | 显示全部楼层
惊诧于咖啡对于上报的态度!
至于安全防护方面,相信每个人会有不同的看法,个人觉得给我用足够了。
小邪邪
发表于 2007-4-27 13:02:52 | 显示全部楼层
综合监控能力是可以了,够用
目前希望:提高查杀能力,或者提高对上报样本的升级速度(入标准库)
wooyard
发表于 2007-4-27 13:26:39 | 显示全部楼层
向楼主学习了,谢谢!
wudi0607
发表于 2007-4-27 13:33:18 | 显示全部楼层
楼主很有想法呀~~
学习了
bluesmask
发表于 2007-4-27 13:42:33 | 显示全部楼层
希望多看到这样的贴

佩服版主,挺牛的!公开砸场子也加分。
bb624
发表于 2007-4-27 13:43:39 | 显示全部楼层
咖啡应该扩展它的病毒库,很关键啊!
wok188
发表于 2007-4-27 13:49:10 | 显示全部楼层
看了楼主的贴,的确比以前清醒了点,以前总是感觉咖啡是神,规则定好天下无敌,现在想想也不完全是这样,不过,虽然楼主说的有道理,但是不管怎么说,偶们用的企业版咖啡,不象用其他的软件那样,还要自己去搜索什么注册码之类的,楼主说赛门铁克得到微软源代码支持,偶倒是很想试一下,不过听说赛门铁克占资源不是一般的多啊,觉得很奇怪,如果一个软件得到操作系统支持的话,应该和系统融合的相当好,一般不会出什么问题,占用资源也应该很少才对啊,我以前好象也是在某个论坛上看别人说NOD32才是得到微软源代码支持的,所以资源占用少,杀毒效果也很好,听说NOD32是微软的御用杀软,不知是不是真的
starfish
发表于 2007-4-27 14:12:39 | 显示全部楼层
不知楼主有没有注意到,你发这了这么一篇貌似冒犯咖啡的文章,可是你看看大家反应如何?大家有对你如何如何吗?大凡坚持用咖啡的人,都是一些比较理性的人,经过多次比较后对咖啡情有独钟的,就算是杀毒弱点,我有规则来挡,就算是规则无用,我也有良好的使用习惯__我本来就不认为咖啡的规则可以无坚不摧,强如卡巴者,所谓的卫士真的站在病毒的坦克前,也随时可能最多只是肉饼一个……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 12:59 , Processed in 0.129066 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表