关于百分比体现防御价值的讨论

maomao110

回复 1楼 不一定 的帖子

写得好  犀利[:26:]

诸葛头揪

看完楼主的文章，我才知道什么叫理性。大家都返璞归真吧。

-oAo-

说的有些道理

bbs2811125

不中毒就行了，用什么方式不一样
各个实现的方式不一样，而且判断中毒与否的标准也不同

hujiwa

全文重点提炼：
我个人的目的，旨在告诉大家，别紧盯着数字变化，安软的防御好坏不是单一的数字值决定。不然，你在卡饭学不到什么深层技术。学到的，只是每天配合着样本后心态的的起伏。浪费青春。

其他基本没仔细看。

dragoonwing

这又扯到云上面了。

就以lz的例子来说，如果发现了www.14.cn上面有一个病毒，并且封锁了这个网站。
那么，为什么不把这个病毒特征码加入病毒库呢？？难道仅仅封锁了这个网站就可以隔绝这个病毒了？
如果这个病毒从另外一个渠道比如U盘进入了电脑，而又无法扫描出来，那么是不是就意味着防御失败呢？

纠结在本地扫描率确实意义不大，因为云现在都很给力。
但是，要注意的是现在的我们说的扫描率包括测试区的扫描测试都是基于有云的状态。
也就是说，如果一个安软在有云的状态下扫描率还是只有20%左右，那么你再怎么说整体防御如何如何有人会放心吗？

jefffire

不一定 发表于 2011-3-22 09:52
http://bbs.kafan.cn/thread-940524-1-1.html
接上题下来，发现很多朋友开始纠缠概率来了。好吧，接着扯扯 ...

泼点冷水。
LZ举的例子中，两种手段我们都要。当web发现恶意网站时，第一时间封锁，这肯定是需要的。及时反馈到特征库中也是必须的。因为没法保证已经有人在web发现前已经下载并运行了该病毒。如果仅仅依靠web防御而不及时入库，那么已经中毒的人就永远处于中毒状态。
反过来也一样，如果特征库发现了一个病毒，那么就要及时追踪来源，并判定来源的危险性，并及时反馈至web库中。

只有每一环都环环相扣，并且每一环都和任意一环进行双向的数据反馈和互动，才能真正做到一个完善的有机防御整体，否则都是残缺的防御体系。而查杀率的低迷正是在某一程度上显示了这种残缺。

zgdtc

回复 1楼 不一定 的帖子

没有不透风的墙

hilan

dragoonwing 发表于 2011-3-22 12:23
这又扯到云上面了。

就以lz的例子来说，如果发现了www.14.cn上面有一个病毒，并且封锁了这个网站。

目前趋势扫描测试都是基于本地特征的因为下载样本包到本地的同时已经绕过web防御了。
趋势通过禁止可移动磁盘程序自动运行来阻止U盘病毒入侵，如果此时右键扫描扫不出威胁的话，并且一定要打开u盘，那就得靠自己的眼睛和本地主防了~

klinxun

回复 18楼 zgdtc 的帖子

也没有不透风的本地防护……反正，什么方式都可能被过，web强也如此，本地强也如此。