关于nis2011的防护机制{主贴10.24 0点已更新}

atg

     win7下用的是kis2011，还是有点卡，因为是双系统，就在xp下试了下nis2011，感觉很流畅，很喜欢。
     进入正题，对于诺顿，很多人说它防护很强大，我个人看来，现在的计算机中毒的情况只有
1 下载带毒软件运行
2 上带毒网页，在浏览器中病毒直接运行
3  带毒U盘插入，病毒运行

防护第二点就要求杀软有强大的网页防护，因为装了金山网盾，以前的ess，kis也都有网页防护，所以也不好评价nis2011的网页防护能力，因为无法对比。

第1点和第三点就需要靠 一个杀毒软件的本地防护起作用了，说起来基本也就两个， 查杀（包括特征码，启发式等等）+主动防御+hips， 我们知道，nis的查杀是非常不给力的，测试区里常常连50%都不到，而nis的虚拟启发和对程序的行为防御是由sonar负责，而sonar的查杀率在测试区里一般是60%-70%，当然，nis的防火墙有类hips，但是我认为直接看sonar的侦测率就够了，因为测sonar的侦测率的时候都是双击运行的，不管你有多么神奇的类hips，如果sonar没报，那就是病毒成功运行了。

综上所述，诺顿的本地防护（包括U盘防护，文件下载防护等等）基本(为什么说基本，因为病毒运行过后，类hips有可能会报，但是这种sonar不报，hips报的情况不多见，而且就算后来hips报了，病毒已经有一部分运行了，也算是拦截失败)只用看sonar的侦测率，一般在60%-70%，能力比较差。何况静态扫描成绩差（40%左右）就是说明本地防护有问题需要改进，可以毫不留情的说本地防护很差，不需要找任何借口，因为sonar虽然比较管用，但是需要双击，也就是说是被动的，危险性比静态扫出来大大提高。sonar这个技术使命是应该使整体防护水平更上一层楼的（比如静态启发扫描70%-80%,结果开了sonar能达到90%），结果最后变变成用来弥补本地查杀缺陷的了（有了sonar才能说nis防护能力能勉强赶上其他一些杀软，否则，那完全是·····）。
网页防护不清楚能力怎么样。应该还不错。
但是我的一些朋友，包括很多饭友都一直在强调诺顿的防护有多强大，我就很不解了，到底强大在哪？
很多帖子都问 kis和nis哪个强，我个人认为这个没有可比性，kis光是扫描查杀率就可以达到70%，双击之后还有主动防御和hips，实在担心还可以进其沙盒里运行未知文件，就杀毒防护这块来讲，kis完胜，我不否认kis卡u而nis很流畅，可是防护是一个杀软的本职，其意义是高于流畅性的，金山毒霸很流畅，愿意用它单奔的没几个吧？  

我认为在防护上，不用说kis，nod32都能胜过nis，对，nod32略显单薄，没有主防，没有hips，只有高启，很多人说过了高启nod32就完蛋，可是问题是你能不能过nod32的高启？可以去测试区看看nod32的查杀率，虽然只有高启，可是比nis加了sonar的查杀率要高出一大截（再次重申，sonar的查杀率是双击测试出来的，所以sonar的查杀率就基本等于本地防护能力），我觉得这可以直接说明在本地防护上nis不如nod32，至于网页防护上，eset在网页防护上也有特殊的高启，比较强大。整体流畅性上，也比nis强。

      我讲的这些只是我自己的认识，难免有错误，希望大家理解和指正，谢谢  ，真的是希望能了解诺顿防护具体强大在什么地方

关于sonar我也想讲一下自己的看法，很多朋友说诺顿重在防御，就算是养马只要马没发作也没关系，所以说静态查杀率低不要紧咱有sonar嘛，但是把拦截的任务全部交给sonar，sonar会表示压力很大，和微点一个道理，需要控制误报，所以行为拦截不能搞的太猛，不猛能力就差，猛了误报就高，这就是瓶颈，微点可以靠海量白名单减少误报，而诺顿在中国连静态查杀的本土化都做不好，要它去做白名单基本太为难它了。 这就是为什么微点主防的拦截率也一般在60%-70%，由于智能主防（sonar也属于这类）的瓶颈，智能主防只能作为静态查杀（包括特征码，启发式，云）的一个辅助， 怎么能让其挑大梁？ 所以诺顿的静态查杀是有缺陷的，不是用所谓的什么防大于杀就可以圆过去，这种缺陷导致了大部分马要靠sonar拦，所以也很好理解加上sonar拦截率为什么也只有60%上下。 但是通过拦截率和误报的控制可以看出sonar这个技术是值得肯定的。只不过因为静态查杀的败笔使得整个拦截率上不去。   结果还催生了一个专门测sonar的拦截测试，辛苦小f了，感谢感谢。 但是我觉得对于诺顿这样一个有本地库有静态查杀的安软用微点的测试方式，有点宠着诺顿了，举个例子，卡巴2011，测的好像全都是静态扫描的，但是双击试试，因为有主动防御和hips， 拦截率会更高的。


一个软件能力有问题就需要改进，而不是不断的去玩文字游戏去说这个软件在某某方面怎么厉害。也许是定位不同，办公人士用nis挺好，智能安静，如果是大学生，每天在机房，打印社插U盘的，喜欢下一些小东西的，用nis绝对是找死。但是不管定位不定位，本地防护做的差是事实，这个我也论述过很多次了，不再赘述。

wjcharles

回复 1楼 atg 的帖子

顶LZ，坐sf等专家
有一点，如果nis不误杀的话所有操作都是自动的，对用户而言几乎透明，因此虚拟桌面之类的功能难以自动实现
开个玩笑哈，按官方的说法，过了nis还有npe，实在不行用nbrt

king_hh

帮总结一下：kis<<nod32<金山毒霸=nis=敢单奔没几个
                     所以：不知道nis强在哪里

冲冲

king_hh 发表于 2010-10-22 07:54
帮总结一下：kis

用NIS的很多都是单奔的

jefffire

查杀率是浮云，样本决定成绩，RP决定结果

king_hh

回复 4楼 冲冲 的帖子

楼主搬出eset来比一下还顶得住，搬出卡巴大神来，nis表示压力很大。。

冲冲

回复 6楼 king_hh 的帖子

一个杀软的好坏不是只看扫描的，还包括误报（误报的频繁程度和危害程度），监控，资源占用，主动防御，上报反应速度，兼容性，可操控性，对感染性病毒的解毒能力，对嵌入其他进程的病毒不通过辅助工具删除能力等方面，请大家权衡好！具体详情请阅读http://bbs.kafan.cn/thread-508681-1-1.html

那倒不一定，玩和杀软相关的文字游戏最大的乐趣就在于怎么样都能说圆了，要不一些厂商也没什么口水可喷了，比如说，KIS的稳定性和兼容性跟NIS比差太多了，如果只看查杀率能解决问题的话直接Hitman、NPE和virustotal就好了[:26:]

冲冲

jefffire 发表于 2010-10-22 08:02
查杀率是浮云，样本决定成绩，RP决定结果

正解，lz或许来得比较晚，08年我刚开始混的时候伞的查杀率下90在卡饭就是特大新闻，每个月有好几天100，样本区出现个过伞的样本跟帖就会10页+，现在呢？难道是伞的防护能力大踏步后退？ESET以前的周末综合症有多杯具lz有没有听说过？那片悦耳的默哀声至今难忘啊，扫描区的成绩，或者说任何扫描成绩都看看就好，别当真，否则你会疯掉的，再说说在卡饭扫描区很不给力，但同样在卡饭公认最公平最权威的AV-C，去年综合性能年度测试最后NIS和KIS相差无几（静态，动态，误报、占用等等的综合成绩），由于NIS易用性较高（当时说的是选择框较少），于是判胜于KIS。我们如果被这些所左右，那会很惨的，看看http://bbs.kafan.cn/thread-508681-1-1.html吧

king_hh

回复 7楼 冲冲 的帖子

就杀毒防护这块来讲，kis完胜，我不否认kis卡u而nis很流畅，可是防护是一个杀软的本职，其意义是高于流畅性的，金山毒霸很流畅，愿意用它单奔的没几个吧？

所以楼主这句是精华啊~~

冲冲

回复 9楼 king_hh 的帖子

走出卡饭，你会发现实际上其实很多人用杀软都是单奔的，不管是什么杀软

实际上会用50%的流畅度换取100%的安全的没几个（只是打个比方，KIS还没卡到这种程度），网上看看别人的牢骚或到你给装过任意杀软然后它自己卸了换别的人会有很多告诉你“太卡了”，我的nx6120单奔了半个月KIS2011，就实在受不了了，平时还行，更新的时候就啥事都干不了了