杀毒和防毒

wjcharles

掌心化雪2 发表于 2010-12-3 19:05
那么趋势诺顿的防毒有怎么说呢，个人版，不要扯防毒墙之类的。难道是咖啡的规则，类似组策略？

很简单啊，对于趋势，简单的说他的云能把样本和网址、邮件地址等关联起来，拦截病毒到达本地的途径；诺顿的比如ips模块能监控各软件的漏洞利用代码，阻止病毒利用漏洞到达本地。
以上的举例都属于途径防护，监控病毒进入到途径，其他就楼下补充吧

3533534

比如传说中的某些杀软的*云*

红魔

回复 1楼 掌心化雪2 的帖子


天啊，又是这问题。。。。
我粘我以前的回答好了

其实现在杀软防毒都不错的，防毒重要啊。防不住，只能扫描出的杀软是基本没有的。

但好杀软大体有2类确实如此，一类防毒好但侦测率（查毒能力，暂不讨论杀毒、清毒能力）不高。另一类侦测率高，易受人追捧。

是这样的，杀软一般扫描，依赖的是病毒库、启发、基因码等等技术。各厂商状况不同，扫描的侦测率也就不一样了。
而防毒方面，依赖的是很多手段。
最基本最早出现的是监控，（其实监控也不是杀软一出现就有的，开始的时候人们防毒理念不强。。）监控其实也是扫描，对文件的实时扫描。但可能为了省资源而设置成不太严格的扫描。监控会用内核挂钩（好像挂钩ssdt的比较多，结果前些日子爆出了漏洞，哈哈）、文件过滤驱动等方法对要访问的文件实时扫描。
另外监控是否严格各杀软也不一样，但现在杀软做的都不错了。

除了最基本的监控，杀软经过长期发展又有了很多其他的防御手段。
最常见的就是主防了，就是诺顿sonar那种，行为防御，好的主防是很强大滴，防御力相当优秀。（其实这里的主防只是狭义的主防）。咖啡的规则在杀软中比较另类，但也是很好的防御手段。其实，据坛子里研究，咖啡的规则原理与HIPS是相同的。

除去以上常见的2种防御手段，还有一些其他的。另外，除了这些一直在查毒、找出病毒的防御手段，还有一些可以说是非查毒的防毒理念。

比如补系统漏洞的功能，可以说杀软不该管的，但漏洞补不补对安全绝对是影响很大的。
再比如说，对u盘病毒，过去杀软都是对u盘扫描，然后就完了。但现在，很多杀软都会去想办法禁止u盘自动播放、还有的要禁止从u盘启动程序。用这种方法从源头上防范u盘病毒。还有一些网页防护也是如此。
可以说，非查毒的防毒理念也是很值得发展的。

好像说的有点远了。。。
总之，防毒重要谁都知道。侦测率高的，其实防御不差的，有监控在，一般不会漏过的。当然也不完全排除可能因监控的扫描不够严格、或者监控机制有了问题而漏过。（另，要是压缩包的话，一般都不监控扫描压缩包的，解压再说）。

而防毒好但扫描侦测率不太高的（不见得能力不成哦，可能是怕误报，入库谨慎），虽然监控那块就扫描不出什么，但是有把其他防毒模块做好的话，防御力会很不错，比如主防强就很有用。

另外，也有越来越多的杀软现在防毒多模块都在努力发展的很好哦，比如卡巴就是侦测率也好，主防也好、沙盘也有、什么都有。

didiya

能扫描出来的不一定能防御
能防御的不一定能扫描出来
就这样

Qoome

防御好的卡机，扫描好的不卡

令我纠结啊

掌心化雪2

回复 13楼 红魔 的帖子

长知识了，谢谢。

yongshiz

有一款能监控出不发作的病毒吗？

掌心化雪2

回复 17楼 yongshiz 的帖子

这个我不知道如何理解，你打开带病毒的文件夹，杀毒软件会报告啊。

wulanautumn

回复 1楼 掌心化雪2 的帖子

试试趋势科技
在下载端就给你拦截了
不给你下载病毒的机会

无奈吧     像我下载注册机什么的    都不行    根本不让到本地       更谈不上什么本地查杀了

z2009

扫描扫出来的病毒，监控不一定监控到，不过一旦运行了这个病毒，一定会报警，也就是说扫描出来的病毒一定会被卡擦；反之扫描扫不出的病毒，监控倒真的无计可施了（同一杀软）。