详谈观点之防御与查杀 对立的两极?

互联网 | 编辑: 黄蔚 2009-05-26 11:30:00转载 返回原文

防御和查杀 水火不容?

就安全软件而言,防御和查杀,真的就是水火不容的两极么?我觉得不是。抛开目前的HIPS不谈,单说杀毒软件。目前的杀毒软件仍然是以特征码为主要的防御手段。在特征码这里,防御和查杀取得了高度的统一。只要是可以被特征码比对,或者启发,或者基因,或者其它依赖特征码的查杀手段发现的病毒,毫无疑问,都可以被监控拦截,也可以在扫描中被发现。那么,在这样的条件下,防和杀有什么区别呢?

有人觉得查杀就意味着,你已经中招了,然后才轮到杀软杀。其实不见得。现在的查杀率更多的体现在监控的拦截上。何况,有哪个杀毒软件可以保证自己100%不漏毒的,无论几率大小,都是存在先漏过,更新以后再杀的可能。

我个人觉得,防御和查杀这两个概念的对立,应该跟一篇流传甚广的帖子有关。就是将诺顿比喻成南帝,卡巴比喻成西毒的那篇。这篇帖子给很多人造成了这样的印象,有些杀毒然间防御好,有些杀毒软件查杀厉害,查杀厉害的杀软误杀就高。殊不知,这是大谬误。公认的防御好的诺顿,咖啡,对待他们认为是病毒的软件,一样毫不容情。我有个优化大师的绿色破解版,破解者应该是加了壳,咖啡和诺顿见了就杀。这俩杀软都是自动处理的。每次解压缩就看到一个提示框,然后主程序就没了!任何杀毒软件,对待自己库中能够比对成功的样本,都不会手下留情的。何来的仁慈一说?而误报则是任何杀毒软件都存在的。有人说诺顿误报低,卡巴斯基误报高,但是我卸载了卡巴装了诺顿以后,诺顿将我某个磁盘下面的破解版AutoCAD杀了一干二净。而卡巴斯基从没有报过。理论上讲,对于无害的软件,只要报了,就是误报。(报注册机是否得当的问题另行讨论,本文只是举例说明问题)

查杀和防御是统一体

回到防御的问题上来,有人说,我用的安软就是防御好,用了不中毒。的确,有些安全软件不仅仅是特征码防护,还有入侵检测,行为分析等等来弥补特征码的不足。不过,即使有些方式能够将病毒拒之门外(比如网页防挂马工具),但是,总有用户要求进入本地的文件。这种文件的安全性依然要依靠特征码。行为分析,就目前来看,还不够成熟,会漏,也会存在误报的问题。而且,既然存在误报,就必然要求用户判断。目前主流的行为分析工具,很少有自动处理的,都是弹窗要求用户选择。这种情况下的安全性,就不仅仅取决于安全软件的能力了。

再来谈谈咖啡企业版和HIPS。这两者的确是纯粹的防御。不过就目前来看,这两个对使用者的要求很高。咖啡8.0时期,我给一个朋友装了,然后选择了内置的禁止写入系统路径的规则,结果后来他跑来找我,说是好多软件装不上。而HIPS更是,所有的行为都是中性的,用户需要依靠自己的经验来进行判断。这样的要求,对个人用户来说,未免太高了。企业版之所以敢如此,是因为企业有专门的网管来解决这些问题。我有朋友在外企,部署的是咖啡企业版,他的笔记本拿到外面来就上不了网,咖啡的HIP客户端指定了内网的参数,并且自己想装软件根本办不到。这样的使用环境,对个人用户来说,太不现实了。

说一千道一万,对于目前以特征码为主要防护手段的安全软件来说,查杀和防御根本就是个统一体。并且,高查杀并不一定意味着高误报。片面的强调防御和片面的强调查杀都没有意义。用好自己所选择的安全软件,发挥它最大的作用,才是硬道理!

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑