关于杀软的防和杀能力的疑问

显示全部楼层 · 发表于 2010-11-27 15:10:58

养成好的上网习惯是首要~~~

显示全部楼层 · 发表于 2010-11-27 15:21:57

回复 11楼 lhfyj 的帖子

习惯良好，但也不敢裸奔，很多小网站就不怎么安全，而经常查资料就会搜索到这些小网站，并登陆这些不常见的网站，安全防护就很重要了，总不能上网只上百度、新浪等这些大型网站吧

显示全部楼层 · 发表于 2010-11-27 15:31:14

回复 12楼冥想星星的帖子

建议LZ考虑下沙盘之类的安软如何？个人比较倾向于此，仅作参考

显示全部楼层 · 发表于 2010-11-27 15:44:42

关于这些个防杀的话题么。。。不想去了解，只看本论坛的查杀数据来说话，至于一些主防数据么。。。无从考证，很难相信。。。所以找个占用低查杀高加上习惯好点就OK了；

显示全部楼层 · 发表于 2010-11-27 15:52:42

反病毒软件的防御和查杀，其实两者并不是矛盾的，而是相互协调的。

目前对于病毒的查杀，在我看来，是针对病毒的清除上，也就是清除病毒/修复文件的能力上。

目前的方式，除了传统的特征码扫描之外，再就是启发式分析技术、虚拟机技术和沙盒技术，以及目前新启的云安全技术，其他的一些诸如基因和行为分析等等各家的反病毒技术，涉及篇幅所限，个人在这里不再展开，这在实时监控中都是有所体现的。由于启发式分析技术往往和虚拟机技术以及沙盒技术联系在一起，在侦测未知病毒的时候，往往会占用很多的资源，所以一些反病毒软件厂商都会削减一部分实时监控的作用，比如说取消对压缩文件的监控，以及自定义文件类型监控，其目的，就是减少资源的占用，并对系统的运行不造成太大的影响。

而真是因为实时监控在这方面的妥协和削弱，以及查不到就会导致病毒入侵的后果，使得各个防病毒软件厂商都增加了在防御上的配置。除此之外，还有一个更重要的原因，我们大家都知道，御敌于国门之外，是最好的防御策略，等病毒入侵之后，再进行查杀的话，势必会造成被病毒感染的文件修复困难，出现无法修复的情况，这犹如战争对国内人民带来的灾难。而这一点，是企业用户最看重的。

目前的防御理念，除了传统的防火墙之外，更多的是引入一些主动防御的概念，以及智能的HIPS（主机入侵防御系统），使得反病毒软件在对未知病毒的侦测上，做到尽可能地有效阻止。我想真是因为卡巴斯基、诺顿和迈克菲等等反病毒软件在这方面做得相当之出色，所以才赢得了众多用户的青睐。

其实对于个人用户来说，没有必要在查杀和防御中有太多的过滤和倾向。目前国内外知名的反病毒软件，基本上都能有效地保护用户的安全。在我看来，关键是用户需要熟知自己的反病毒软件，并好好地利用好，比如说制定好相关的规则等等，这些都是有助于反病毒软件保护好我们的系统。

显示全部楼层 · 发表于 2010-11-27 16:39:14

本帖最后由红魔于 2010-11-27 16:47 编辑

回复 1楼冥想星星的帖子

唉。。。。
天啊，又是这问题。。。。

其实现在杀软防毒都不错的，防毒重要啊。楼主说的防不住，只能扫描出的杀软是基本没有的。

但好杀软大体有2类确实如此，一类防毒好但侦测率（查毒能力，暂不讨论杀毒、清毒能力）不高。另一类侦测率高，易受人追捧。

是这样的，杀软一般扫描，依赖的是病毒库、启发、基因码等等技术。各厂商状况不同，扫描的侦测率也就不一样了。
而防毒方面，依赖的是很多手段。
最基本最早出现的是监控，（其实监控也不是杀软一出现就有的，开始的时候人们防毒理念不强。。）监控其实也是扫描，对文件的实时扫描。但可能为了省资源而设置成不太严格的扫描。监控会用内核挂钩（好像挂钩ssdt的比较多，结果前些日子爆出了漏洞，哈哈）、文件过滤驱动等方法对要访问的文件实时扫描。
另外监控是否严格各杀软也不一样，但现在杀软做的都不错了。

除了最基本的监控，杀软经过长期发展又有了很多其他的防御手段。
最常见的就是主防了，就是诺顿sonar那种，行为防御。（其实这里的主防只是狭义的主防）。咖啡的规则在杀软中比较另类，但也是很好的防御手段。其实，据坛子里研究，咖啡的规则原理与HIPS是相同的。

除去以上常见的2种防御手段，还有一些其他的。另外，除了这些一直在查毒、找出病毒的防御手段，还有一些可以说是非查毒的防毒理念。

比如补系统漏洞的功能，可以说杀软不该管的，但漏洞补不补对安全绝对是影响很大的。
再比如说，对u盘病毒，过去杀软都是对u盘扫描，然后就完了。但现在，很多杀软都会去想办法禁止u盘自动播放、还有的要禁止从u盘启动程序。用这种方法从源头上防范u盘病毒。
可以说，非查毒的防毒理念也是很值得发展的。

好像说的有点远了。。。
总之，防毒重要谁都知道。侦测率高的，其实防御不差的，有监控在，一般不会漏过的。当然也不完全排除可能因监控的扫描不够严格、或者监控机制有了问题而漏过。（另，要是压缩包的话，一般都不监控扫描压缩包的，解压再说）。

而防毒好但扫描侦测率不太高的（不见得能力不成哦，可能是怕误报，入库谨慎），虽然监控那块就扫描不出什么，但是有把其他防毒模块做好的话，防御力会很不错。

另外，也有越来越多的杀软现在防毒多模块都在努力发展的很好哦，比如卡巴就是侦测率也好，主防也好、沙盘也有、什么都有。

显示全部楼层 · 发表于 2010-11-27 17:15:12

防御强的再加个辅杀

显示全部楼层 · 发表于 2010-11-27 18:31:57

冥想星星发表于 2010-11-27 15:08
这点都知道，问题是现在防和杀都狠得杀软不多啊，大部分都只侧重于一点，我们也就不得不面对了

我用着norton360感觉挺安静，挺省心的，楼主可以试试，如果不放心可以加一个查杀狠一点的，我见论坛里一个哥同时装上了nis和kis，真的很强大！！！

显示全部楼层 · 发表于 2010-11-27 18:53:51

我只知道监控和杀毒能力不同步

显示全部楼层 · 发表于 2010-11-27 19:02:46

这个杀估计是指的狭义上的监控引擎配合病毒库的杀
而防，指的是广义上的防，包括引擎，主动防御，防火墙，HIPS，沙盘等技术的综合防御体系

如果单靠引擎和毒库，一款杀软的杀和防是一样的、、不同的杀软的杀和防就看引擎和毒库了
如果综合起来考量，那肯定是有一套防御体系的杀软更厉害
单靠引擎和毒库的杀软一旦漏毒就无法控制

[讨论] 关于杀软的防和杀能力的疑问