追求查杀率真的没必要

忧郁的迷糊酱

回复 18楼 年下 的帖子

前半句很赞成，后半句“杀软杀软…不是防软…杀软查不出毒谈什么防御”，不多说，看50L

忧郁的迷糊酱

回复 19楼 shhggl 的帖子

参见50楼（有震荡波的那年诺顿差不多是纯靠查杀，加上诺顿在中国本地化不好，被过很正常）

另外，查不出来不能杀的话，微点\瑞星的智能主防+内核加固\360的云主防\诺顿的SONAR3+信誉\F-Secure的DG\卡巴的PDM+手动模式岂不是全都悲剧了。

“装个HIPS不就行了”对啊，只要你的规则设定的没问题，而且有足够的判断能力，单奔HIPS完全没问题。防御率无限接近于100%。

xxxxxxxfc

回复 50楼 忧郁的迷糊酱 的帖子

你知道sonar能拦截多少，就敢这么说。至于东方微点，我一直怀疑它不算真正意义上的主防。不要把sonar看成神，其拦截率在我看来也就百分之六七十的样子。

忧郁的迷糊酱

回复 53楼 xxxxxxxfc 的帖子

那你知道Sonar能拦截多少？对于恶意程序很高（盗号破坏系统等，对于流氓软件不行），如果加上诺顿的全部组件的协同防御的话，防御率更高。另外拦截率六七十你是看的卡饭的测试区还是自己手动收集样本测试，又或者是仅仅纯靠主观“觉得”？请看测试区最上面的介绍后再说。另外，请问你对卡饭放的包都有过每天每个样本的运行后详细行为分析吗？没有的话请不要跟我谈卡饭样本的拦截率，无意义。

另外，我从没把任何安软当成过“神”，诺顿的Sonar被支付宝钓鱼木马过掉就是很明显的例子（信誉扫描在这个时候报了，但是必须要手动去调用信誉扫描，这是个缺点），就算是其整体防御也会有“漏”的时候。

至于微点，我挺讨厌他那些盲目的Fan以及他那有事没事的就整天把那件微点案拿出来炒来炒去炒到老的掉渣的作风，但是不得不承认他的检测率确实很高，特别是对于那些真正有威胁的样本（当然对于恶意替换主页，以及桌面上建图标之类的低威胁行为确实防御的不好）。对于你问的是不是真正意义的主防这一点，主防到现在没有明确的定义，如果你说的是HIPS这样的话，微点不算，他更应该说是一个行为分析器，基于行为，但不仅仅是HIPS那些行为（文件、注册表创建修改及程序其他行为），貌似还会对调用API情况进行分析，跟普通的HIPS有区别。

最后，说下，免杀特征码（包括启发）都没多大的难度，但是如果要免杀其他的防御手段，难度就有点大了。如果抱定纯特征码的话，迟早悲剧。

麻辣豆腐

楼主的最后一句话、我很喜欢

xxxxxxxfc

回复 54楼 忧郁的迷糊酱 的帖子

sonar我确实只看了一下别人的测评，不过赛门铁克的企业版我以前倒是那病毒测试过的，不过不知道它的主动防御是不是sonar。

忧郁的迷糊酱

回复 56楼 xxxxxxxfc 的帖子

赛门铁克的企业版我一直不很关注，我总觉得那东西不适合个人用（虽然论坛里面有不少人用），他更适合在一个完整的企业环境下配合控制端去使用。

另外如果我没有Out的话，他的主动防御不是Sonar，是以前的技术，很弱。不过最近翻铁壳区的帖子的时候，发现诺顿即将发行新版企业版，对其进行了很大的革新，最重要的就是加入了Sonar。但到现在为止到底放出了没有，不清楚。

klinxun

回复 53楼 xxxxxxxfc 的帖子

sonar的拦截率在卡饭看上去比较低，得看卡饭的样本，卡饭每天几十个样本，不过基本上类别就那几种……对付中国特色流氓类的国际厂商都不太给力。而且除了本地监控、查杀、主防拦截，还有web防护呢？三大厂商，赛门铁克、迈克菲、趋势科技都在向尽量把威胁拦截在外，尽量不到了本地才跟威胁pk的方向前进。拦截在外，总比到了本地再杀或主防拦截对用户及机器的影响少。

is泰迪熊吖

楼主的最后一句分析的很好

xxxxxxxfc

回复 57楼 忧郁的迷糊酱 的帖子

哪天我自己试一试sonar，我电脑里的样品绝对不会像卡饭测评区那样的，基本运行后如果防不住的话，电脑会有很明显的变化滴。