西西河

主题:【原创】反病毒软件——我的道听途说 [0] -- 钢爪

共:💬32 🌺133
分页树展主题 · 全看首页 上页
/ 3
下页 末页
  • 家园 【原创】反病毒软件——我的道听途说 [0]

    【在西西河潜水两年后的第一帖。本连载含有大量主观看法和第三方消息,真实性请自行分辨。】

    世界上只有两种查毒方式:文件数据挖掘和执行路径分析。

    没有第一百二十八代立体多维度云查杀,没有第二百五十六代启发式拦截,没有第五百一十二代人工智能自学习引擎,没有第一千零二十四代动态仿真专家系统,没有第二千零四十八代智能主动防御,只有钩子、文档分类算法、决策树、黑白名单和专杀。当然,也少不了支撑起这一切的IT民工们和沉浸在虚假的安全感中的用户们。

    • 家园 很多思路一起回在这里吧

      博主好文,很多事情解释的通俗易懂。

      中国的反病毒软件主流已经彻底走向了互联网模式,你看看排名头两位的和后面的用户量差距之大就很清楚了。

      互联网模式安全的本质是寄生性,也直接导致了云+白名单模式的泛滥,这是典型的劣币淘汰良币。是国内安全行业的悲哀。

      你其实讲的更多的是互联网模式的反病毒软件。美国的反病毒软件的技术发展方向是完全不同的。你仔细看看就会发现,美国的反病毒厂商已经不再讲云查杀了。新的战略重点已经回归主机,但是层次不同了。

      另外freebsd说的漏洞的方面,过去几年微软报的本地提权的漏洞是直线上升的趋势。这些都是公开的数据,任何人都可以查到。面对本地提权,任何杀软都是浮云。除非你实现前面说的战略转移。

      某数字公司对国内安全技术的发展的摧毁,对安全圈的人的道德上的摧毁,可能会导致未来中国在主机安全技术对抗上的巨大差距。

      国内有认认真真做安全的人,确实清贫,有理想有抱负,如今基本被边缘化,但是,30年河东30年河西,坚持,然后留下,就有希望。

    • 家园 请教一下,刚装win8试用版

      还没装杀毒软件。不知要不要装?

      • 家园 好像不用

        win8自带的windows defender看起来就是MSE,我昨晚上瞄了一眼,回头去看看再确认

        • 家园 花谢!我觉得即使它本身不带估计新病毒也还没出世吧

          还有这等好事!

          送花成功。有效送花赞扬。恭喜:你意外获得 16 铢钱。1通宝=16铢

          参数变化,作者,声望:1;铢钱:0。你,乐善:1;铢钱:15。本帖花:1

    • 家园 我对AV的看法

      自己从事行业能和AV和V的从业者都打上交道。看完楼主写的文章,怎么讲了,有些事情不尽然,就厚着脸皮写一些吧。

      AV行业发展到今天,要说根本还是文件特征码查杀,根本没变过,这是最有效的查杀方式。我说的是最终查杀方式,其他所有比如启发式,云杀毒,什么方式都是围绕这个主题进行服务的。这么多年以来唯一发展的就是如何收集病毒特征码。

      最早AV就是傻傻的通过对比自己病毒库内的特征码来查找系统病毒。这个方法太傻了,病毒一更新,一变形基本就彻底过掉了AV防线。

      后来出现了一种新方法,造就了卡巴的神话,也就是虚拟机杀毒,这就是为啥传说说卡巴杀毒强,就是因为卡巴使用虚拟机杀毒,自己带一个虚拟系统,把什么软件运行前,先丢到自己的虚拟机里观察一下,如果触发了可疑行为就报告病毒。这个想法不错,但是有两个缺点一杀毒软件资源消耗太大了,早些年机器没现在这么强大,起一个虚拟机基本就要了系统的命了。还有一个缺点,就是无法对抗病毒开发者的分析,毕竟判断机制是死的,针对杀毒软件出现二分法过杀毒软件。二分法就是对病毒切片,不断对半分病毒程序,直到确认是什么api导致杀毒软件报毒。然后用其他api替代。这就是后来卡巴斯基没落的原因。注定这种杀毒方式也已经落伍了。

      再后面,就是我们现在常见的云查杀,其实要说技术先进性上,这种方法根本没啥先进,原理很简单,客户端发现有可疑的文件就上传。然后在后台通过一些系统进行分析,然后人肉分析,形成特征码下发杀毒软件,病毒软件再厉害也厉害不过人眼,而且病毒就算变形也变形不了机制,这样只要特征码取的好,病毒基本玩完了。这就是为啥360 金山等杀毒软件一天能更新无数次的原因。

      现在传统的病毒应该已经很少了,都是各种形态的木马,杀毒软件面临挑战除了木马通过证书或者别的猥琐办法躲过上传外。还有就是系统漏洞的挑战,因为现在很多木马带着系统漏洞进行攻击,杀毒软件本来仗着自己有系统控制权可以被木马借助系统漏洞的提权而夺走,反而被木马杀了。

      关键词(Tags): #杀软(说了就走)通宝推:代码ABC,
    • 家园 我还是装了一个国产的 江民

      我还是装了一个国产的 江民。至于瑞星 金山 360杀毒不是查杀能力弱就是BUG多多,还有免费的总是让人感觉不靠谱。

      还装过小红伞 卡巴 NOD32,但是对国产的某些病毒查杀总是很不力,比如CAD病毒。

      诺顿01-03年时用过,可以杀网页病毒,后来是因为不能查杀众多国产病毒,资源消耗巨大放弃了;

      PC CILLIN 01年之后基本没用过,总是杀不干净病毒;

      西班牙的熊猫也用过,界面很漂亮,一开始资源占用也不大,但是后来也在国产病毒前败下阵来,资源耗用也变大了。

      也许这些洋杀毒软件在国外使用时防护效果很不错,但是也许不够重视中国市场,病毒库里也许没有加入国产病毒的特征码,试用过一段时间后,我还是选择了国产杀软 江民。

      如果非要选择一个国外的杀软 我会选卡巴或者NOD32

      • 家园 我就是NOD32+Threatfire

        我就是NOD32+Threatfire,一般都没事,不过那个TF实在是干预性太强,虽然交互通知不多,但是有的时候明显的能感到它在动作之前干预扫描过了,在64位上尤为明显,32还可以。

    • 家园 国产的我不用,见过国内的业者。不放心。
    • 家园 偶都是祼奔

      X系统就不说了,

      win下面我也是裸奔的

      我的综旨是:

      除非必要,不用主流的软件,尽量用第三方解决方案

      小心点,谨慎点,注意点,不乱点(就是善用反键)

      基本上能过滤掉绝大部份危害

分页树展主题 · 全看首页 上页
/ 3
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河