主题：【原创】反病毒软件——我的道听途说 [0] -- 钢爪

我还是装了一个国产的 江民。至于瑞星 金山 360杀毒不是查杀能力弱就是BUG多多，还有免费的总是让人感觉不靠谱。

还装过小红伞 卡巴 NOD32，但是对国产的某些病毒查杀总是很不力，比如CAD病毒。

诺顿01-03年时用过，可以杀网页病毒，后来是因为不能查杀众多国产病毒，资源消耗巨大放弃了；

PC CILLIN 01年之后基本没用过，总是杀不干净病毒；

西班牙的熊猫也用过，界面很漂亮，一开始资源占用也不大，但是后来也在国产病毒前败下阵来，资源耗用也变大了。

也许这些洋杀毒软件在国外使用时防护效果很不错，但是也许不够重视中国市场，病毒库里也许没有加入国产病毒的特征码，试用过一段时间后，我还是选择了国产杀软 江民。

如果非要选择一个国外的杀软 我会选卡巴或者NOD32

这么搞的话，误报量会把企业弄死。想想诺顿最近几年就误报了一次系统文件，被各个媒体扎小人扎了多久。

不要以为白名单库就可以彻底解决，一个启发式算法误报率太离谱的话，在反病毒企业内部就会被刷掉。评价启发式算法一个很重要的指标就是误报率，对特征的选取都是很细致的，要考虑的东西很多。OpenProcess + TerminateProcess？拿这两个API在导入表作为特征？奖金不要被扣得太快哦！

自己从事行业能和AV和V的从业者都打上交道。看完楼主写的文章，怎么讲了，有些事情不尽然，就厚着脸皮写一些吧。

AV行业发展到今天，要说根本还是文件特征码查杀，根本没变过，这是最有效的查杀方式。我说的是最终查杀方式，其他所有比如启发式，云杀毒，什么方式都是围绕这个主题进行服务的。这么多年以来唯一发展的就是如何收集病毒特征码。

最早AV就是傻傻的通过对比自己病毒库内的特征码来查找系统病毒。这个方法太傻了，病毒一更新，一变形基本就彻底过掉了AV防线。

后来出现了一种新方法，造就了卡巴的神话，也就是虚拟机杀毒，这就是为啥传说说卡巴杀毒强，就是因为卡巴使用虚拟机杀毒，自己带一个虚拟系统，把什么软件运行前，先丢到自己的虚拟机里观察一下，如果触发了可疑行为就报告病毒。这个想法不错，但是有两个缺点一杀毒软件资源消耗太大了，早些年机器没现在这么强大，起一个虚拟机基本就要了系统的命了。还有一个缺点，就是无法对抗病毒开发者的分析，毕竟判断机制是死的，针对杀毒软件出现二分法过杀毒软件。二分法就是对病毒切片，不断对半分病毒程序，直到确认是什么api导致杀毒软件报毒。然后用其他api替代。这就是后来卡巴斯基没落的原因。注定这种杀毒方式也已经落伍了。

再后面，就是我们现在常见的云查杀，其实要说技术先进性上，这种方法根本没啥先进，原理很简单，客户端发现有可疑的文件就上传。然后在后台通过一些系统进行分析，然后人肉分析，形成特征码下发杀毒软件，病毒软件再厉害也厉害不过人眼，而且病毒就算变形也变形不了机制，这样只要特征码取的好，病毒基本玩完了。这就是为啥360 金山等杀毒软件一天能更新无数次的原因。

现在传统的病毒应该已经很少了，都是各种形态的木马，杀毒软件面临挑战除了木马通过证书或者别的猥琐办法躲过上传外。还有就是系统漏洞的挑战，因为现在很多木马带着系统漏洞进行攻击，杀毒软件本来仗着自己有系统控制权可以被木马借助系统漏洞的提权而夺走，反而被木马杀了。

不也中招下了线了~~~~，别那么乐观

大多数裸奔没出问题是因为没被盯上

还没装杀毒软件。不知要不要装?

还以为讲的是东洋脚盆尼子们的看家本领。

给网络加上一个路由器分流，哪怕系统补丁不多打，被感染的几率也比较低。

呵呵，花

对付macos ios linux的马都有，针对投放，外面根本看不见。诺顿全球有几万给诱饵信箱其实也抓不到真正的好东西

分流他也要知道包是否有恶意。

不然好坏一起杀谁也顶不在啊

就是把拨号的任务用路由器设置到modem上，开机自动拨号。

win8自带的windows defender看起来就是MSE，我昨晚上瞄了一眼，回头去看看再确认

还有这等好事！

送花成功。有效送花赞扬。恭喜：你意外获得 16 铢钱。1通宝=16铢

参数变化，作者，声望:1；铢钱:0。你，乐善:1；铢钱:15。本帖花:1