关于nis2011的防护机制{主贴10.24 0点已更新}

小林制药

回复 131楼 jefffire 的帖子

汗一个……我从来没注意过UAC框是啥颜色的，但是我主要看它提示的是什么。我说的基本都是以我为准，一样米百样人，别人怎样我也管不着啦，爱关就关。免得引起口水。

小林制药

回复 136楼 atg 的帖子

先说下很抱歉，手乱了，第一篇好像回别人家去了，唉……

1、小概率事件要么发生，要么不发生，即使发生了，也是很罕见的事，不然我就可以天天买彩票，甭上班了。当然，谁一辈子买彩票没中过点钱呢？只不过中与不中都不影响大局罢了，彩票亦然，病毒亦然。否则在出现100%查杀率的杀软之前，所有杀软都没有意义。
2、我很负责任的告诉你，你根本不了解情况。不要以为走了挂马的网站没中毒就说明网页防护好。
3、你可以说你没有故意抹黑它，但是你确实在抹黑。很多人从不同角度告诉你为什么它好，走的什么技术路线，其中不乏比你技术好的人，可是你一直在居高临下的认为自己是技术最强者，一切唯样本论，不接受不同意见，看到不同意见基本就要拿样本论批驳，我很无语。

诺顿不给我钱，我没必要代表诺顿口水。

说技术，拿技术反驳你，但是你总是拿样本查杀率反驳技术，那么还不如说查杀率比较合适。要是问题跑到这里的话，你一句话就可以结束所有争论。“查杀低，鉴定完毕”。这句话谁都拿不出话来反驳。何苦再说着技术说着防御却盯着查杀？防御好坏是在日常应用情况下观察得到的，不是拿样本测出来的，你这种测样本然后就评断防御水平的方式无异于拿着大锤子砸墙，小号没砸倒换大号砸，最后砸倒了说“得，这墙真不济”，我觉得就因为这个说诺顿技术很差，有点不太公允

另外，我看了阁下把从前写的帖子改了，我看了哭笑不得。难道所有人都必须跟阁下一样做一个唯查杀率是图的人，阁下才停止开火吗？本地防护行与不行大家都说过了，无论是技术上的还是主观上的。阁下依然抱着“查杀低，（本地防护）就是不行”的观点，有点像是强迫大家必须承认“诺顿本地防护不好”这一观点的意思。

世上无完美的事物，而阁下却似乎只能看到瑕疵。大家批评了，指正了，可是阁下还是认为自己是最正确的，别人都在玩“文字游戏”，那么还“批评指正”个什么劲啊？
没有人在玩文字游戏，是阁下自己在掀起论战，从阁下的字句中我能看出来，没有一点想来讨教的意思，反倒一直在说教，拿出各种证据教育大家“诺顿本地防御很差”。
话反正是都说到了，不适合，就离弃吧。
没有人选择性失明，诺顿不是完美的，查杀比不上卡巴，免费不比小红伞，自保不如大蜘蛛（别人说的，我不太清楚），本土化不如瑞星……可是综合比较之下，诺顿是最适合我们需要的，这就是我们选择它的理由——“它不是最好的，但，是最适合的”既然这样，面对它的缺点我们选择更理性的看待，而不是单单取查杀率作参考。
在阁下真正的理解杀毒软件的意义和企业文化之后，我觉得再评价软件的时候会变得更公允，更理性。
另外纠正阁下一点，卡巴斯基有启发，有半自动HIPS。两者合称主动防御。不是主动防御+启发+HIPS

atg

回复 160楼 小林制药 的帖子

1.所谓技术是要有直观反映的，以前瑞星也吹嘘他有什么什么技术，其防护能力又怎么样呢？
2.我说诺顿本地防护能力 可以从双击样本运行拦截率上直观反映，请问对不对？不对请反驳
3 nis本地防护主要就是靠静态扫描和sonar，对不对？
4.nis静态扫描很弱，相当弱，版主也承认
5.所以大部分拦截的担子交到了sonar身上，而sonar由于是智能主动防御技术，诺顿又没有足够的白名单支持，sonar不可能设置的太猛，否则会引起大量误报，所以拦截率不可能高，只能做静态扫描的辅助，对不对？ 微点拦截率也是70%左右，比sonar高，因为微点有海量白名单，设置上可以猛一点。
综上所述，我才说诺顿本地防护不强，如果觉得我论述的哪个步骤有问题，请反驳。


说到样本问题，我还是认为样本很多是用户上传，有一定普遍性，而你只是个别用户，你认为它强也许只是你的经历，个人经历不是没用处，但是太狭隘，相比样本，还是样本靠谱，如果你找1000个诺顿用户谈经历，这才有点统计意义。对于诺顿的网页防护我不了解，只是听坛子里的高手说它网页防护好，而且毕竟有ips之类的东西。

苏怅

你知道卡巴的主防是什么吗

BitDefender

回复 163楼 atg 的帖子

LZ过激了 就说瑞星吧 现在瑞星也不参与口水了 也抓技术了

有兴趣可以试试RIS2010 2011的主防 水准不错 不是过去那个瑞星了

NIS查杀率是不高 不过对我来说我很懒所以不想去折腾手动HIPS

就说这么多了

atg

回复 162楼 小林制药 的帖子

我帖子从来没改，谢谢，我对主贴的修改只是加了一些有颜色的字的话，原帖没有改过。

我发这帖子的意图也不是掀起论战，也不是什么开火，只是看见诺顿区很多帖子有质疑过查杀率，但是都被“防御好”这回答敷衍了，我是真心想知道防御好在哪里，倒是觉得你在向我开火，说真的我欢迎反驳，拒绝口水。 如果你是真心想纠正我，请你有理有据的反驳。

卡巴的启发是查杀技术，卡巴的hips是应用程序控制和防火墙，卡巴的主动防御是智能行为防御和程序控制不一样。 所以也应该是 启发 半自动hips  主防

wjcharles

回复 1楼 atg 的帖子

感觉如果nis的特征码+sonar能超过60%的话（kafan list），也只能说本地防护在卡饭测试的杀软中算中等，还不至于说它“很差”吧，因为虽然从成绩上看比不上kaba、nod，但也算比下有余，特别对于那些主防较弱的杀软
当然这也是推测而已，严格说来那nis包含主防的成绩不能与其他杀软的扫描成绩比较

asusandy111

回复 1楼 atg 的帖子

其实你忽略了nis最逆天的组件……入侵检测、智能防火墙、还有组件联动……
入侵检测可以保证绝大多数威胁不会传入你的计算机……只这一项……就己经超越绝大多数安全软件的整体效果……智能防火墙的工作原理类似sonar但不相同……经常会见到一些sonar漏掉的东西被阻止联网……然后……清毒引擎就会启动……还有……你的检测率计算是违背基本统计学的……依据测试过程……是先测试扫描然后在扫描已经清过毒的基础上进行的sonar测试与统计
以今天为例，实际本地防护率55%+45%*72.5%=87.625%这个拦截率比绝大多数软件（可能只比卡巴低了），因为其他软件基本没有主防或者有价值的主防……你看到的60%上下的检测率就是最终检测率
另外实际应用中卡巴的拦截率基本与扫描持平……因为不会有人能够做到准确判断……大多数时候面对加料的东西……在出问题以前绝大多数人都不会认为某个行为异常……一路放行……另外……卡巴自动模式……除了卡机……啥用都没有……

atg

回复 162楼 小林制药 的帖子

我并不是要说教什么或者要强迫别人相信什么，只是这个区有那么多的质疑 都被一句 防御好，给敷衍了，我不甘心这样被敷衍，也有很多高人回复了，但是一些高人们的回复内容我觉得并不能说服我，该是怎样就是怎样，我只是想给我自己和来诺顿区的新手一个看的明白的事实。 而不是被一句防御好搞的懵懵懂懂。

小林制药

回复 163楼 atg 的帖子

好吧，好吧
1、你要是要直观数据，最准确的就是季度CCM（每千次清理计算机数）指标。要是真的上升到这一层上，卡饭所有的评测结果都要作废。换句话说，卡饭的评测只能作参考，准确性上是不达标的
2、你还是在说样本，我已经说过，不再重复了
3、本地防护不只靠特征码，诺顿的本地防护是多层次嵌套在一起完成的，例如过了特征码过了SONAR但是没过IPS，也是有的，或者过了IPS过了SONAR没过特征码等等
4、静态扫描为什么弱我已经说了，不然把文件全文都跟诺顿那么庞大（目前在商用杀软上世界最大）的病毒库进行一一比对，效率可想而知。但是其他层次上补足了这一不足。
5、你根本就不懂SONAR实质上是什么。SONAR是一种复合式分析技术，综合了分类器，特征码，行为分析，阈值法，云技术等，运行原理之复杂不是我等能说得清的，而蓄意想做SONAR的免杀也会搞得扑朔迷离，我一个做免杀的朋友跟我说过了，针对做了免杀却很随机的时不时被查杀（诡异……），而阁下却简单的把它等同于“智能主动防御”……唉……至于白名单……Symantec会比微点少？但是人家的理念是“只要可疑，就该处理”不像国内厂商，只要差不多就放行了。

样本是用户上传不假，但是这些用户们有多少是普通用户？有多少每天去专门找样本？有没有自己制造“样本”的呢？我说我，是因为不想引起口水，相比实践，和除去把样本杀光的亢奋感，样本就不靠谱了，还是那句话，里面有很多东西你要是不来这你一辈子都看不见。

IPS只是个组件，在防御系统中很多部分都要用它，IPS不是专门为网页防护准备的，我说它网页防护是弱点，是因为它只扫描特征（文件特征，入侵特征）却不监视数据流