标题:
未来的杀软,你是选择主动防御的还是选择被动扫描的?
[打印本页]
作者:
zhaojpn
时间:
2007-9-9 19:55
标题:
未来的杀软,你是选择主动防御的还是选择被动扫描的?
未来的杀软,你是选择主动防御的还是选择被动扫描的?
读了一篇名为:“要主动?还是守着被动?”的文章,觉得很有感触。我们当今流行的杀软如瑞星、江民、金山、卡巴、NOD32等还都是以特征值扫描为基础手段,他们还在比谁的病毒库里病毒样本多,谁的病毒库更新快,可就连现在没有新技术含量的木马和病毒随便穿个马甲就够他们应付的。可以真正的行为判断为基础主动防御软件如微点表现就不同,无论木马、病毒怎么加马甲都逃不过去,看来这种以行为判断为基础的主动防御软件将是未来杀软的发展方向。
原文如下:
要主动?还是守着被动?
从字面意思来讲,主动是一种积极的态度,形势由我们自己掌控,一切尽在掌握;被动是一种消极的态度,形势不由我们掌控,未来前景叵测。随便举个生活中的例子,如果我们要保护一个仓库的安全,在忽略费用问题和其他因素的情况下,安装最好的防盗门和雇最好的保安哪个安全性更高呢?答案是显而易见的,当然是保安比防盗门要安全得多,因为再好的防盗门也不过是一种被动防护,早晚要被攻破;而优秀的保安会去主动巡逻主动盘查可疑进出人员。
反病毒技术的发展,我觉得也是一个不断从被动转为主动的过程。
第一代较为成熟的反病毒软件,主要技术为特征码识别,主要形态是扫描。扫描是一个完全被动的防护过程,我只有给杀毒软件下达了扫描命令,杀毒软件才会去扫描。换个角度讲,如果我们在扫描的时候,查出了病毒,那么很遗憾,已经确认您被病毒肆虐过了,请注意即时检查各种帐号是否丢失……
有些网友认为我手工去扫描是一种主动行为啊,怎么会是被动呢?我们谈到的主动和被动是从安全防护的角度出发的,先中毒,后杀毒,所以扫描是一种被动防御。
既然扫描有这么多的缺点,那么为什么早期的大多数杀毒软件都采用扫描作为主要杀毒手段呢?我认为这和早期的病毒环境有关,早期的病毒以感染型病毒为主,一个病毒会使得全盘的可执行文件都被感染,而扫描在批量处理方面有着其他技术无法比拟的优势,所以扫描理所当然的就成为了早期最重要的杀毒手段。
随着时代的发展,病毒越来越多,用户越来越不堪病毒的烦扰,被动的扫描越来越被用户所诟病——很可能一次扫描还没有结束,几分钟前刚被扫描完的文件就又被感染了。。。
一个很理所当然的想法就出现了——如果每时每刻都在不间断的做扫描,那岂不是可以把安全系数提高很多?!实时监控就这么出现了。
PS:具体我没有考证,据说实时监控技术是Norton首先开始应用的。
实时监控是具有划时代的意义的,每时每刻都在监控系统中当前正在被使用或即将被访问(使用)的文件,以保证磁盘中所有文件的安全。相对于被动扫描来说,实时监控就是一种主动扫描。所以,我们说安全的发展就是一个不断从被动转向主动的过程。
上面一直在提特征码,特征码究竟是什么意思?其实特征码就相当于我们生活中的通缉令,犯罪分子作案潜逃,警察侦查后公安部发布通缉令,全国各地的警察协助查找具有某些特征(性别、身材、相貌、衣着等)的人。特征码杀毒也是一样,有人先中毒了,联系反病毒公司提交病毒样本,反病毒公司分析病毒样本组织升级,全国的用户升级后检查自己的电脑是否中毒。
特征码最大的缺点就是命运交由他人,电脑的安全并不因我安装了杀毒软件就可以得到控制,而是完全受制于杀毒软件公司。可能有时候我已经感觉到电脑很不正常,QQ密码也丢失了,但无论是扫描还是实时监控都没有报告出任何问题,为什么呢?因为控制这我命运的杀毒软件公司没有能收集到样本……
虽然实时监控是一种非常好的技术理念,本意也是为了夺回电脑安全的控制权,但是由于其本质上仍然要特征码整体被动性的困扰,所以在当前病毒数量大幅度爆发,病毒日益木马化的时期,实时监控日益遭受用户的白眼。在这种形势下,特征码最具优势的批量扫描逐渐失去了优势。因为木马只有很少几个文件,不会做全盘感染,用扫描引擎试图在诺大的硬盘上查找几个文件,费时费力,效果还不甚理想。
但实时监控的精神是非常好的,只有实时控制才能有效保证系统的整体安全。所以下一代的安全软件,仍然会以实时监控为主要表现形势。但是监控的要点或者说根本,由病毒特征码的比对转为了病毒的行为判断了。行为判断的代表,应该是2005年微点提出的主动防御。大家还记得IT168做的评测么?对付熊猫烧香这么一个完全没有技术含量的病毒,特征码完败,主动防御完胜。
为什么主动防御的产品会完胜特征码?道理很简单,其实还是主动和被动的问题。特征码的被动根源在于其冗长的操作环节:要有人先中毒,联系反病毒公司提交病毒样本,反病毒公司分析病毒样本组织升级,全国的用户升级后才能检查自己的电脑是否中毒。主动防御对病毒的分析由程序自动在本地完成,省去了样本提交和后续升级的过程,计算机的运行速度是很快的,整个主动防御的过程瞬间完成,时差可以忽略不计,再次把被动变为了主动。所以主动防御的安全效果必然要强于特征码。
特征码相当于门口的保安,遇到陌生人只要通缉令上没有的一律放行。而主动防御就相当于私人保镖,实时保护在主人四周,无论大门口放进来的是强盗还是小偷,只要危害到主人利益就会挺身而出。某种程度上说,虽然主动防御形式上是更新换代的安全软件,但是其安全理念更返璞归真了,更关注安全最本源的东西。
作者:
录取通知书
时间:
2007-9-10 00:29
选择 Legend
作者:
wyatt
时间:
2007-9-10 01:00
感觉两者都要
对于病毒,我们既要能守,也要能攻啊
最简单的例子就是优盘病毒,他要不不发作,像微点的主防就不理他,可是还是有危害的啊(对别人哈,毕竟优盘是要到处用的)
我想微点官方也是看到了这样的一点,才会出扫描的吧?
还有一点原因,偶只是从逻辑上分析下哈:
任何东西都不会是无敌的,微点的主动防御也是一样的,总是有东西能够对付它,所谓道高一尺,魔高一丈哈 。所以有的时候也是需要一些手段来“辅助”主动防御的——到底谁是辅助还真是不好说哈
感觉在微点论坛里头,说微点好话的太多了
不是微点不好,而是没有必要老说
应该多找些微点的不足才是对的
作者:
zhaojpn
时间:
2007-9-10 08:48
如果微点要出扫描的话,建议安装时能由用户选择安装
作者:
Legend
时间:
2007-9-10 09:32
Quote:
Originally posted by
zhaojpn
at 2007-9-10 08:48:
如果微点要出扫描的话,建议安装时能由用户选择安装
谢谢您的建议,请随时关注微点官方网站相关信息。
作者:
顶
时间:
2007-9-10 18:46
这个不用问啦
主动防御做到人性化如微点我当然选主动防御
作者:
freesong
时间:
2007-9-10 20:19
如果我的话,我会选主动防御。
作者:
998csc
时间:
2007-9-10 21:40
还用说吗?这是发展趋势.
作者:
yuan.ye
时间:
2007-10-15 17:38
哈哈哈。。。两者皆用。
作者:
微点专家
时间:
2007-10-15 17:46
未来没有杀软了……………………
作者:
peter0605
时间:
2007-10-15 18:03
所有的电脑都用微点主动防御。。。。噶直接消灭病毒(更灭天花一样。。。)
作者:
zonecn
时间:
2007-10-16 11:16
主动防御
作者:
zkq111
时间:
2007-10-17 08:59
当然是主动防御好了1
作者:
caibin870
时间:
2007-10-17 09:26
主动防御
作者:
haoyuenan
时间:
2007-10-17 17:05
两者都要哦,呵呵,主动防御没防住的就用被动扫描哈
作者:
qq2008444
时间:
2007-10-19 13:33
都不选
自己扛
病毒让我抗:lol:
作者:
tech-art
时间:
2007-10-20 07:42
主动和被动防御都会存在的。我会选择主动和被动的结合。
因为主动只是防御,而被动是可以杀毒的。
作者:
caibin870
时间:
2007-10-20 07:53
其实两者都重要,
作者:
潇洒飘逸
时间:
2007-10-21 17:06
咔吧在国内和360的商业炒作,我认为很成功.包括nod32和pplive的合作,建议微点和pps之类的合作,扩大宣传!这么好的杀软应该做到国产杀软的老大!!!
作者:
dfsdfsdf
时间:
2007-10-22 09:43
Quote:
Originally posted by
录取通知书
at 2007-9-10 00:29:
选择 Legend
作者:
wyatt
时间:
2007-10-22 12:20
Quote:
Originally posted by
dfsdfsdf
at 2007-10-22 09:43:
好主意
作者:
qq2008444
时间:
2007-10-22 15:34
Quote:
Originally posted by
潇洒飘逸
at 2007-10-21 17:06:
咔吧在国内和360的商业炒作,我认为很成功.包括nod32和pplive的合作,建议微点和pps之类的合作,扩大宣传!这么好的杀软应该做到国产杀软的老大!!!
个人认为
暂时微点是一个
防御
软件
在没有出扫描前
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
