想知道小A的行为防御现在怎么样了？

digua1015

小a挺不错的，我喜欢，我就是刚刚从红伞转到小a的，感觉在WIN7下小a更流畅一些。

lzy199156

回复 12楼 曲中求 的帖子

小a基本上杀不了就防不了（完全靠特征码），难道不是吗？一般的启发，鸡肋的主防，还有那个不成熟的沙盒…说防比杀好，怎么得到的理论？求解。

891711995

防大于杀  学习了

cvn72lincoln

除了考虑防护性能外，还得考虑用户体验，安装杀软的目的就是减少用户的麻烦，如果最后反而给用户添加麻烦岂不是与初衷背道而驰？所以我认为小a的官方并不是只考虑了防护性能，如果行为防御像当年Comodo 3.0那样，很多人会受不了的。

曲中求

回复 22楼 lzy199156 的帖子

那可能是我们理解的不一致了。呵呵，看来我要展开谈谈了。

一般我们说防大于杀，是指除了特征码和启发之外还有其他手段，这种手段不能用于查杀，而只能用于防御，比如小a的沙盘以及行为防御就是这种性质。所以我说现在有除了特征码和启发之外其他手段的杀软，基本上都是防大于杀。

你所说的小a防基本就是等于杀的能力，主要是认为他目前的行为防御和沙盘基本无用，或者说没啥起作用。我这样跟你谈谈我自己的测试体验吧。

从几个角度来谈，一，测试的样本首先要有效，什么是有效不用解释。第二，自动沙盘我想说的是，能力还是值得肯定，至少从我目前的测试来看，基本上出现的机率还是比较大，当然，如果你关了文件保护来测的话，那么自然就关了沙盘。第三，行为防御我也觉得目前比较规范。我们一般测行为防御怎么看有效？大多数人测是看对危险行为的阻止。这当然没错，但是记住，如果运行一个恶意程序没有出现任何提示是不是小a的行为防御就垃圾了呢？我想不一定，正如前面所说，如果木马的行为和正常的程序一样的行为基本一致，小a不拦是正常的，因为行为防御并不是HIPS。当然，这里面并不是为小a辩护，就启动项的拦截来说，小a目前还有几个地方要完善，在这里就不方便说了。目前行为防御比较好的地方是处理方式比较安全，只要有一项被拦，既可终止程序的运行从而中断了后续的行为，所以，不用对行为过滤得过细，从而方便了用户的操作的同时又达到了相对的安全性，我觉得这个不错。但如果加上一个像卡巴那样的恢复被修改的文件和注册表的话就会更好。至少，我觉得一般比较明显的行为小a都能拦下来。有时候不一定要增多拦截选项，倒是有些地方可以再加紧些倒是。
呵呵，我总结一下：我认为小a的自动沙盘和行为拦截还是不错，并非鸡肋。而这种防御判断的顺序很科学。

victor1968

曲中求 发表于 2011-5-17 23:16
回复 22楼 lzy199156 的帖子

那可能是我们理解的不一致了。呵呵，看来我要展开谈谈了。

膜拜！高人啊，有你的细致解析是我等的幸福······

曲中求

回复 26楼 victor1968 的帖子

惭愧，我也只有对小a有一点点的粗浅认识，和版内的版主以及其他高手无法相比，里面可能有许多错误，请大家多加指正和批评。谢谢~

yeow5243

回复 25楼 曲中求 的帖子

我的理解是特征码扫描监控也是防，而附加组件hips等等只是辅助，只装hips不装杀软，window安全中心一定会报警，而只装杀软不装hips，window安全中心就无视一些向卫士之类的只手动扫描，没有实时扫描（监控）基本是防不住的，不能和杀毒软件做比较，有人说查杀不重要是不科学的，

曲中求

回复 28楼 yeow5243 的帖子

没错，监控和查杀同样重要，实际上在查杀修复上国内杀软做得不错，如毒霸。如果和一些ARK工具配合会比较有效果。至于到底什么是防，这个要看从哪个角度来看了，呵呵，前面这个概念是相对于我们一般所说的杀而言的。

顺便提一下，一些坛友会说到诸如网络防护不重要之类的，其实为什么我之前强调综合防护，是因为辅助功能之间会互相打配合，比如，某木马在windows目录下生成并请求外链，这时网络防护就会经常看到提示木马路径，从这个角度来看，这就间接的完善了一下行为防御，我们就知道现在是神马情况了。。。。。。有时候不用过于集中于某一单方面的功能，而是分散互相打配合则也会出现有效性，而且更重要的是，这会大大简化操作，我把它称之为“佩恩”原理。。。。。呵呵。

lzy199156

回复 25楼 曲中求 的帖子

恩。你的回答真好。也许是心理因素吧，每次单用小a就感觉不太放心，总要加上一款hips作为补充。不可否认的说小a的防御是非常灵敏的。尤其是网页防护，是我用过的最好的一款。