Board logo

标题: 对微点的一点建议 [打印本页]
作者: 天堂2     时间: 2007-1-23 22:47    标题: 对微点的一点建议

先引用下刘老爷子的一段话(来自http://www.ccw.com.cn/news2/secure/htm2005/20050526_11RBM.htm):
焦点一:人能否发现新病毒?

  杀毒软件本身基本上不能发现新病毒,是众所周知的客观事实。但是,人能否发现新病毒呢?刘旭首先提出了这个容易被忽视的简单而至关重要的问题。如果人不能发现新病毒,同为自然人的反病毒公司研发人员也就不可能发现新病毒,由此带来的问题是,杀毒软件每天升级的是什么,反病毒公司每次宣称发现的新病毒又是谁来发现的?

  回答是肯定的,人可以发现新病毒。新病毒一定是人通过相应的方法判断出来的。

  焦点二:反病毒公司是如何判断新病毒的?

  刘旭介绍,从上个世纪八十年代病毒出现后,反病毒技术就有两种思路,一种是采用静态扫描方式,即特征值扫描技术,另一种采用动态分析方法。

  特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值,所以只有等到新病毒出现后,才有可能获得病毒体,并针对它进行单独处理。这种方法的固有缺陷是,对新病毒的防范始终滞后于病毒的出现。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才区分已知和未知病毒。
焦点三:人工识别新病毒到底有多难?

  在回答此问题前,刘旭阐述了反病毒领域从未向业界公开过的并不神秘的“神秘”——虽然病毒越来越多,但真正有创意的、技术上有突破的病毒很少,不到总数的1%。而且这类病毒通常是概念病毒,一般破坏性不大。绝大多数病毒都是模仿其它病毒编写的,这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到,一个计算机本科毕业生经过短期培训,通常都可胜任人工识别这类新病毒的工作。因此人工识别绝大多数新病毒,并不是一件很难的事,刘旭如此简单的陈述了自己的观点。


      上面就是我引用的,那么我想说的就是,杀毒软件要主动防毒,但是无论它多么主动,都是在病毒有行为了才行,这种判断无疑是先进管用的,特别是对于普通用户更是可用,但我认为他的最大用处是能对新病毒有作用,老的就更不要说了。但是我们知道,无论多么先进的杀毒软件,都是要考人来用的,所以人也要做到主动防毒,特别是旧有的病毒,我们完全可以  在他有行为前给灭了如果引入特征扫描,而不是等他有行为了再用微点给灭了,杀毒嘛不像杀人,大可以在他有行为前给灭了。
      所以我认为当前杀毒软件不应该来分阵营,应该综合应用,相辅相承。少了谁也不行,这样的杀毒软件才是用户需要的,所以防毒不能全赖杀毒软件,毕竟能发现新病毒的最在行的还是人本身。
      另外有人说杀毒软件被某些病毒关闭了,但是却有的能自我再生,针对这个说法我也谈谈我的意见,我对技术不懂,但我想说的是逻辑上的东西:瑞星不管怎么说他的进程还是被冰忍给关了吧,我认为一个杀毒软件的进程能被病毒关掉就是失败,真正强的杀毒软件不是用来被关的,即使关了他能自我重生,可以说这个是画蛇添足,因为它对病毒没有制约作用,这样开着也是多余,到不如被关掉的好,至少知道他是被关掉的,从而让用户知道有病毒。所以我觉得微点不是考虑被病毒关了再自我重生,而是考虑怎么样在被关掉前先把它给关了,这才是最最重要的。用户需要的不是一个只会重生的杀毒软件,而是一个能防的住毒的软件。

[ Last edited by 天堂2 on 2007-1-23 at 22:49 ]
作者: 莫言     时间: 2007-1-23 22:58
楼主的话有一定的道理,但是对于现有的杀毒软件来说,已经是无法跟上病毒的发展了,就拿熊猫烧香来说吧,那个杀毒厂商敢说“我能杀的了”。但是微点就不一样了,通过行为,不管熊猫再怎么变也逃不过微点呀!楼主说当前杀毒软件不应该来分阵营,其实不然,因为微点本来就不是杀毒软件,是主动防御软件,它和杀毒软件的区别大着呢!
作者: nasdaq     时间: 2007-1-23 23:02
呵呵,能防住熊猫烧香的软件一点儿针对性的宣传也没做。而防不住熊猫烧香的某些杀毒软件们却在大张旗鼓地炒作熊猫烧香。是说他们真拿消费者都当傻子看么?



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn