详谈观点之防御与查杀 对立的两极?

guyou888

详谈观点之防御与查杀 对立的两极?

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：2011 回复：1

就安全软件而言，防御和查杀，真的就是水火不容的两极么？我觉得不是。抛开目前的HIPS不谈，单说杀毒软件。目前的杀毒软件仍然是以为主要的防御手段。在这里，防御和查杀取得了高度的统一。只要是可以被比对，或者启发，或者基因，或者其它依赖的查杀手段发现的病毒，毫无疑问，都可以被监控拦截，也可以在扫描中被发现。那么，在这样的条件下，防和杀有什么区别呢？

有人觉得查杀就意味着，你已经中招了，然后才轮到杀软杀。其实不见得。现在的查杀率更多的体现在监控的拦截上。何况，有哪个杀毒软件可以保证自己100%不漏毒的，无论几率大小，都是存在先漏过，更新以后再杀的可能。

我个人觉得，防御和查杀这两个概念的对立，应该跟一篇流传甚广的帖子有关。就是将诺顿比喻成南帝，卡巴比喻成西毒的那篇。这篇帖子给很多人造成了这样的印象，有些杀毒然间防御好，有些杀毒软件查杀厉害，查杀厉害的杀软误杀就高。殊不知，这是大谬误。公认的防御好的诺顿，咖啡，对待他们认为是病毒的软件，一样毫不容情。我有个优化大师的绿色破解版，破解者应该是加了壳，咖啡和诺顿见了就杀。这俩杀软都是自动处理的。每次解压缩就看到一个提示框，然后主程序就没了！任何杀毒软件，对待自己库中能够比对成功的样本，都不会手下留情的。何来的仁慈一说？而误报则是任何杀毒软件都存在的。有人说诺顿误报低，卡巴斯基误报高，但是我卸载了卡巴装了诺顿以后，诺顿将我某个磁盘下面的破解版AutoCAD杀了一干二净。而卡巴斯基从没有报过。理论上讲，对于无害的软件，只要报了，就是误报。（报注册机是否得当的问题另行讨论，本文只是举例说明问题）

回到防御的问题上来，有人说，我用的安软就是防御好，用了不中毒。的确，有些安全软件不仅仅是防护，还有入侵检测，行为分析等等来弥补的不足。不过，即使有些方式能够将病毒拒之门外（比如网页防挂马工具），但是，总有用户要求进入本地的文件。这种文件的安全性依然要依靠。行为分析，就目前来看，还不够成熟，会漏，也会存在误报的问题。而且，既然存在误报，就必然要求用户判断。目前主流的行为分析工具，很少有自动处理的，都是弹窗要求用户选择。这种情况下的安全性，就不仅仅取决于安全软件的能力了。

再来谈谈咖啡企业版和HIPS。这两者的确是纯粹的防御。不过就目前来看，这两个对使用者的要求很高。咖啡8.0时期，我给一个朋友装了，然后选择了内置的禁止写入系统路径的规则，结果后来他跑来找我，说是好多软件装不上。而HIPS更是，所有的行为都是中性的，用户需要依靠自己的经验来进行判断。这样的要求，对个人用户来说，未免太高了。企业版之所以敢如此，是因为企业有专门的网管来解决这些问题。我有朋友在外企，部署的是咖啡企业版，他的笔记本拿到外面来就上不了网，咖啡的HIP客户端指定了内网的参数，并且自己想装软件根本办不到。这样的使用环境，对个人用户来说，太不现实了。

说一千道一万，对于目前以为主要防护手段的安全软件来说，查杀和防御根本就是个统一体。并且，高查杀并不一定意味着高误报。片面的强调防御和片面的强调查杀都没有意义。用好自己所选择的安全软件，发挥它最大的作用，才是硬道理！

gh0204

楼主加油挖。