使用小红伞的体会!

344640219

我感觉KIS适合大部分的人使用啊！！误报很少啊！！
而小红伞不太适合大多人使用啊！！！
只是个人意见啊！！！！！！

闪电战

那是卡巴不开主动防御的情况下~对新手来说，主动防御没什么用
但不开主动防御，卡巴就废了差不多一半的武功

david_sg

原帖由 solcroft 于 2007-5-3 07:40 发表

病毒库和启发式（6.0版本）或许比不上红伞，但一加上了主动防御模块，红伞就比不过卡巴了
用国外和国内的病毒样本都是一样，红伞处理上报的速度虽然快，但还是比不上卡巴恐怖的效率，更何况90%以上的未知病毒 ...

我不知道你这个90%以上的未知病毒都能被拦截的数据从哪里来的。我先给你讲讲主动防御的原理，主动防御可通过好几种方法实现。其中两种最普遍的方式：程序启发式分析器和行为拦截工具。


启发式分析器分为两种：
第一种是静态分析器，静态分析器是分析Object程序码的程序，通常会先由扫描式码开始，寻找具有恶意特征的可疑属性。比如当一个病毒进入系统以后就会开启搜索可感染目标的功能，然后开启找到的可感染目标并加以修改，静态启发式分析器检视应用程序的程序码，并在找到可疑命令时增加该应用程序的可疑指数，就跟按标准打分一样，符合一项+1分，当扫描完成以后全部程序码后的分数超过预设的标准，这个Object就会被视为可疑目标。这个方法的优势是技术门槛低容易实施，以及具备高效能。但是这个方法对新型恶意程序码的检测率较低，误报高。

第二种是动态启发式分析器，动态启发器会将应用程序的程序码部分复制到反病毒程序的模拟缓存中去，然后模拟执行。如果在模拟执行过程中检测到可疑的动作，这个程序将被视为可疑程序，然后会被封锁。

以动态方法为基准的分析必须创造和使用特殊的虚拟环境，这种方法与静态方法相比需要更多的系统资源，而且分析所需要的时间比较长。比起静态方法，动态方法提供较高的恶意程序检测率，误报比较少。

行为拦截工具，现在使用的都是第二代或者第三代行为拦截工具。它的任务是在应用程序执行时分析其行为，并封锁任何危险活动的程序。与动态分析其不同的是，行为拦截工具是在实际环境中运行的。卡巴推出的Proactive Defense Module就是行为拦截工具的一种，微点我没研究过，貌似也属于行为拦截工具。行为拦截工具具有很多优势，比如能和系统有效的集合，有控制应用程序与Microsoft Windows系统登录档完整性，但是它也有缺点，对于初学者来说也许是致命的缺点。

行为拦截工具重要的缺点：部分正常程序的动作可能被辨识为可疑动作。此外，决定应用程序是否具有恶意，必须由使用者决定，所以行为拦截工具的使用者必须具备足够的系统与安全知识。

接下来我讲讲主动防御系统的缺陷
现在反病毒厂商为了市场份额对主动防御功能大肆炒作，说难听点他们在欺骗消费者。主动防御方法（包括程序启发式分析器和行为拦截工具等）是基于已知恶意程序的动作来制定反病毒行为规则的，只要病毒制造者使用全新方法侵入计算机系统，主动防御技术在“新行为”的面前脆弱不堪。某些厂商大肆宣扬的“0day defense”，在我看来就是狗屎一堆，他们要为误导消费者的观念而负责！主动防御并不像宣传得那么神，绕过主动防御软件也不像想象中那么难。

现阶段主动防御用的成绩并不像想象中那么好，Magdeburg大学去年测试过所有的主流具有启发式分析的反病毒软件，检测成功率没有上60%的。离开基于病毒码扫描的主动防御就像翅膀上缺少羽毛的鸟一样飞不起来。世界上纯主动防御式的软件厂商（比如Finjan、Safe' n ' Sec等），他们每年都要花大价钱从传统的反病毒厂商那里买“病毒代码授权”。纵然以病毒码为基础的方法有很多缺陷，但截至到今天，反病毒界仍无法提出任何可取代此传统方法的手段。主动防御技术可取代定期更新作为反病毒保护的概念是彻头彻尾错误的。

评价一个反病毒软件并不能单看他的宣传，要综合看反病毒软件对系统的监控是否完善，是否与系统存在兼容性问题，查毒和杀毒如何以及面对新病毒威胁的反应时间。现在全世界响应最快的厂商是卡巴实验室，一般2个小时以内就会对新病毒有所相应（不包括卡巴中国公司，卡巴中国公司的响应速度比猪还慢）；4个小时以内的有BitDefender、Dr. Web、F-Secure、Sophos；6个小时以内的有AntiVir、Ikarus、Trend Micro；8个小时以内的有F-Prot、Panda Software；10个小时以内的有AVG、Avast、CA、McAfee、VirusBuster；12个小时以内的有Symantec。其他厂商的响应时间我没查到数据，不过超过12个小时还没有响应的厂商应该关门了，甭在市场上丢人现眼。

现在根本没有能保证电脑100%安全的安全技术。现存的主动防御技术根本不足以确保病毒的检测率，但是主动防御与病毒码方法一起使用的监测率还是很高的，现在主流的著名反病毒软件的监测率都超过90%，这是个很不错的成绩了。我写这些的目的是劝告大家，不要把杀毒软件比来比去，这是毫无疑义的。每个软件都有技术缺陷，树大招风，做几个特定反病毒软件免杀病毒很容易。但这并不能代表什么。找款适合自己的反病毒软件，用好用精比什么都强。反病毒软件的进步是靠大家努力的，碰到病毒积极上报，这样才能帮助反病毒厂商去完善自己的软件，而自己也从里面能学到东西。

望共勉。

[ 本帖最后由 david_sg 于 2007-5-3 14:57 编辑 ]

huanxu

这个体会说实话，太让我失望了

闪电战

启发和主动防御缺一不可

quansen83

卡7不是就是启发+主动吗？争什么啊

solcroft

原帖由 david_sg 于 2007-5-3 12:04 发表


我不知道你这个90%以上的未知病毒都能被拦截的数据从哪里来的。我先给你讲讲主动防御的原理，主动防御可通过好几种方法实现。其中两种最普遍的方式：程序启发式分析器和行为拦截工具。


启发式分析器分 ...

不是很清楚你发了这么一大篇人家早就懂了的东西，到后来是想说明什么？
90%以上这个数据，其实有点谦虚了。去年AV-Comparatives举行行为阻拦/虚拟系统对未知病毒的防范能力，KAV的PDM以100%封杀率过关。你自己也用用PDM，别只顾着纸上谈兵，也许也会体会到PDM的能耐

david_sg

原帖由 solcroft 于 2007-5-3 17:38 发表

不是很清楚你发了这么一大篇人家早就懂了的东西，到后来是想说明什么？
90%以上这个数据，其实有点谦虚了。去年AV-Comparatives举行行为阻拦/虚拟系统对未知病毒的防范能力，KAV的PDM以100%封杀率过关。你自 ...

不知道说你什么好了，没有一个厂商敢说他们的软件能够达到100%的封杀率，请不要在特定环境下说事。

solcroft

原帖由 david_sg 于 2007-5-3 19:59 发表
不知道说你什么好了，没有一个厂商敢说他们的软件能够达到100%的封杀率，请不要在特定环境下说事。

我什么时候说过卡巴说自己的软件达到100%封杀率了？
不妨先看清楚再来说话，要不只是不停地发不相干的水贴

xiaomudou

呵呵，小红伞占用资源比卡巴少，并且256M内存跑小红伞也不卡，就冲这一点我就用小红伞。