Board logo

标题: 论杀毒软件的“杀毒”能力 [打印本页]
作者: 御剑临风.     时间: 2009-4-20 13:21    标题: 论杀毒软件的“杀毒”能力

为什么讨论“杀毒”能力呢?本来我想说“清毒”能力的,但是清毒容易被人认为是修复文件的能力。而我今天主要要探讨的是我们所用的杀毒软件在已经中毒的情况下,杀掉病毒,让系统恢复正常的能力。

注:本文中仅就安全软件的某些方面能力做讨论,并非对各个安全软件做比较,请大家理性看待。

先说说我遇到的一些情况。熟悉杀毒软件的人,相信都跟我一样,经常会遇到有朋友来求助,“快来帮我看看,我的系统中毒了……”现在的很多毒都是下载者一类,中一个就是一大堆,赶上一个感染型的更糟糕了。并不是所有的情况都适合重装。怎么办呢?一般我遇到求助的,都首先想办法杀毒,杀掉毒以后如果系统还能正常使用,那么就不用重装了。

杀一窝毒不可能手动杀,肯定先找个杀软,清理差不多了,再手动清除。这个时候就能看出杀毒软件“杀毒”能力的高下了。(以下是个人经历,并非对某些安全软件进行评价,只是为了说明问题)

做杀毒工作的杀毒软件,必然要有较高的查杀率。所以我脑海里第一选择就是小红伞。但是经过几次以后我失望的发现,小红伞对于已经中毒的机器效果并不好。比如有dll插入了explorer或者其它系统进程,红伞能够发现,但是清除不掉。Free版的红伞没有自动处理,所以报警框接连不断。朋友经常会诧异,怎么中了这么多,杀都杀不完。但是仔细观察一下报警,反反复复都是那几个文件。

后来我尝试用微点,发现微点的效果很不错。安装好以后,只要微点能够正常启动工作(当然,也有病毒屏蔽微点或者干扰微点,这就另当别论了),那么即使病毒插入了系统进程或者挂载的比较底层,微点也能提示重启杀掉,一般提示的病毒,重启了以后都能杀掉。

另外还有费尔,费尔我没有直接用做杀毒过,但是有几次有朋友在外地遇到病毒,就是我指示他们用费尔来杀毒。费尔比较好的地方就是能够恢复注册表,有些病毒利用修改注册表的方式来达到开机加载,屏蔽安软,加驱动等目的,费尔能够提示异常并且修复,修复后病毒的加载失效了,那么再次重启以后就能够顺利的杀掉。

卡巴斯基怎么样呢?我以前遇到过卡巴斯基反复重启也杀不掉一个dll的情况,不过似乎那个dll挂载到了Appinit_DLL上面,想清除它殊为不易。一般的病毒,卡巴斯基重启以后应该是能够清除的。

除了上述两个一般被我用来做应急杀毒的安全软件以外。我个人认为,Norton和Microsoft的安全软件的杀毒效果应该是最好的。这两个杀毒软件是我用过的杀软里面我所知道的,有详细的清毒流程的安软。用过Norton的人应该都知道,在Norton提示病毒清除完成以后,点开历史记录,会看到一个病毒的详细信息。最近扫描样本包的时候我就很奇怪,明明我没有运行过某些样本,但是Norton扫描完以后提示要清除某些样本需要重启。打开历史记录就看到某样本,52个注册表项,4个服务,N个文件……原因就是,当一个病毒样本被上报给Norton以后,Norton的工程师会根据样本的运行情况写一个清毒的流程,发现这个样本以后,Norton就会跑一遍这个流程,并且由于某些样本会加载到底层,所以Norton会提示重启清除。

Microsoft也是这样,昨天扫描某样本(样本本身没有运行),扫描完成以后,MFCS提示我重启,并且我的机器无法打开网页了,但是已经登陆的QQ还在线。打开网络连接查看,发现DNS设置被清空了。应该是样本有修改DNS设置的动作,而MFCS的根据解毒流程进行清理,所以清空了我的DNS设置。

Norton和微软的安全软件发现样本以后的清理过程相当长,公认的杀毒很慢。但是慢是有它的原因的,就是他们在进行清毒流程。这种方式的缺点也比较明显,就是无论中毒与否,都要跑一遍清毒程序,耗时很久,同时,可能带来不可预知的后果(比如我遇到的DNS被清空的问题)。

总结一下:上述的分析只是浅薄的分析。我觉得,想要具备较强的“杀毒”能力,那么首先这个杀毒软件要工作在系统的底层,具备在底层拦截,终止和清除病毒的能力。其次,要有较早的启动加载能力。能够在病毒启动加载前完成加载,才能够做到重启干掉病毒。当然,如果像Norton和Microsoft那样,具有详细的解毒流程,那就更完美了。因为那不仅仅是清除了病毒,还能够恢复系统的正常。
作者: 燕赵之士     时间: 2009-4-20 21:39
呵呵!云得不错!
作者: 我擦御剑     时间: 2009-5-7 15:41
就这些···你也太无知了吧··
MS的杀软?有么?
作者: jaber     时间: 2009-5-7 15:51
我不赞同,有详细的清毒流程,作为一个普通用户有谁去看,去看了又有几个能看懂,能看懂的我想自己也会用工具来处理了.

作为一个安全软件,用户只要一个最终目的,把病毒从我的电脑中清除走,其他的谁去关心呢.

而他的清毒流程反而会给人一种恐怖的感觉,明明没有运行起来的病毒他给个流程,心里想到底这个病毒是否运行起来了阿?感染型的,就他那个清毒流程看明白了能自己手动把感染型的修复好?    有这手动修复能力,人人都是富翁了,超能力.

如何易用,如何简单化人性化才是最重要的.所以对这篇文章一些观点我不赞同.
作者: x_3max     时间: 2009-5-10 21:27


  Quote:
Originally posted by 我擦御剑 at 2009-5-7 15:41:
就这些···你也太无知了吧··
MS的杀软?有么?

微软是有杀软的 以前叫liveonecare 现在叫morro,免费的。
你:cool:连这个都不知道
作者: 20090218     时间: 2009-5-10 23:46
对于一般用户,防护杀毒是最想要的结果,其他不感兴趣



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn