防御和查杀 水火不容?
就安全软件而言,防御和查杀,真的就是水火不容的两极么?我觉得不是。抛开目前的HIPS不谈,单说杀毒软件。目前的杀毒软件仍然是以特征码为主要的防御手段。在特征码这里,防御和查杀取得了高度的统一。只要是可以被特征码比对,或者启发,或者基因,或者其它依赖特征码的查杀手段发现的病毒,毫无疑问,都可以被监控拦截,也可以在扫描中被发现。那么,在这样的条件下,防和杀有什么区别呢?
有人觉得查杀就意味着,你已经中招了,然后才轮到杀软杀。其实不见得。现在的查杀率更多的体现在监控的拦截上。何况,有哪个杀毒软件可以保证自己100%不漏毒的,无论几率大小,都是存在先漏过,更新以后再杀的可能。
我个人觉得,防御和查杀这两个概念的对立,应该跟一篇流传甚广的帖子有关。就是将诺顿比喻成南帝,卡巴比喻成西毒的那篇。这篇帖子给很多人造成了这样的印象,有些杀毒然间防御好,有些杀毒软件查杀厉害,查杀厉害的杀软误杀就高。殊不知,这是大谬误。公认的防御好的诺顿,咖啡,对待他们认为是病毒的软件,一样毫不容情。我有个优化大师的绿色破解版,破解者应该是加了壳,咖啡和诺顿见了就杀。这俩杀软都是自动处理的。每次解压缩就看到一个提示框,然后主程序就没了!任何杀毒软件,对待自己库中能够比对成功的样本,都不会手下留情的。何来的仁慈一说?而误报则是任何杀毒软件都存在的。有人说诺顿误报低,卡巴斯基误报高,但是我卸载了卡巴装了诺顿以后,诺顿将我某个磁盘下面的破解版AutoCAD杀了一干二净。而卡巴斯基从没有报过。理论上讲,对于无害的软件,只要报了,就是误报。(报注册机是否得当的问题另行讨论,本文只是举例说明问题)
网友评论