找回密码
 注册创意安天

对于病毒,我们是防,还是杀

[复制链接]
发表于 2009-7-26 17:40 | 显示全部楼层 |阅读模式
  很早就想讨论这个话题了,一直没时间,趁着出发前,把思路整理下,发出来吧。
安天防线,我想根据杀软叫这个名字,那么防毒应该是最重要的喽。
以下是几个思路 仅仅是个人观点,希望可以对安天有所帮助
1.特征码的滞后性和主动防御的高误报率相结合,这个设想怎么样?
3.atools 目前还是不太稳定,建议等成熟稳定后在集成到杀软里,这样会更好。
4. 防毒最重要的是防入口,网络和移动存储设备,所以说防U盘病毒是个很重要的环节。
所以之前发的那个帖子希望可以得到重视。
5. 提供日志检测工具,方便用户上报目前机器的状态。可以参考比较成熟的工具
http://www.kztechs.com/sreng/download.html
6. 防毒要想做得好,不容易,希望可以加大特征码的收集范围,比如网络上过滤软件的一些关键词汇。
从这里可以挖到很好的样本,一般是新鲜的,还有一些bt种子。
7. 预防加壳的木马,现在市场上流行的主动防御,是一个思路,另外可以通过定位水印还杀木马,不加壳的木马,我们无所畏惧,加了压缩壳的木马我们也不怕,因为毕竟就那几个常用的壳,壳的特征码只要掌握好了,误报率会大大降低。
希望安天可以及时联系一下国内知名壳的开发人员,请求他们的协助和帮助,这样可以大大减少病毒分析员的工作量,也可以很好的提高查杀率。
第七点和第六点,请仔细考虑,谢谢、
发表于 2009-7-26 17:55 | 显示全部楼层
安天在主动防御方面还需要下苦功夫
回复

使用道具 举报

发表于 2009-7-26 19:17 | 显示全部楼层
我来补充一点:
从使用安天防线开始,就没发现它的命名方式后面有.gen的后缀,不知道是不是因为安天没有使用广谱基因特征码,采用了广谱基因特征码技术,使用一个基因码来查杀一个家族的病毒,可以减轻病毒分析师的工作量。
回复

使用道具 举报

发表于 2009-7-26 19:49 | 显示全部楼层
知名人士?MJ?这些人都是 宅人 ……
回复

使用道具 举报

发表于 2009-7-28 11:58 | 显示全部楼层
本帖最后由 云飞扬 于 2009-7-30 16:00 编辑

仰望星空,透过漂浮在城市上空的成分错综复杂的粉尘微粒,我的思想随着目光想要去探寻这浩瀚宇宙的形成。而每每了无头绪的探寻总会让我的内心感到焦虑,而为了减轻这种焦虑带来的痛苦我只能寄予美食,只有那鸡蛋和着葱花冲入被加热的花生油所散发出来的浓郁的香味才能让我真真切切的认识到:我生活在地球上,现在的时间是2009年某月某日。于是我的身体随着探寻宇宙的思维与人间美食的斗争中逐渐的肥硕了起来。
    伏古仰今,我禁不住对短短几千年的人类文明史击节而。,地球的历史对于宇宙的形成来讲,转眼一瞬间;人类的文明史对于地球的历史来说,转眼一瞬间。我们没法推演或者逆序推演人类文明史,地球历史,以及宇宙的形成之间的关联。
   而计算机病毒的历史对于我们认识病毒历史的差距则没有这么大,我们完全可以从人类与病毒的斗争中去探求对于计算机病毒的防御和查杀。我们可以辩证的来看,杀还是防是对立而统一的。正如同这个世界没有无缘无故的爱也没有无缘无故的恨,一切都有迹可循。
   我们不妨从sars以及H1N1的事件当中去借鉴一下计算机病毒的处理程序。
   先有鸡?还是先有蛋?这是一个很纠结的问题。先有计算机病毒?还是先有杀软?这是一个不太纠结的问题。
   

                                 未完*继续*吃饭去

    午饭太咸了,不得不买了一瓶饮料,多么奢侈的生活啊!
    好了,让我们回到鸡和蛋的讨论上来。古人云:以铜为鉴,可以正衣冠;以人为鉴,可以明得失;以史为鉴,可以知兴替。从传统意义上的病毒来看,很明显病毒的产生(或者说是被发现)要早于对病毒防治手段的产生,只有先知的萨满教才会预先知道如何防止百病,百毒不侵,但是在这个文明高度发达的社会显然落后部落的萨满是与 这个世界的格调不相融合的,他们的教义还没能与现代科技相抗衡(编者按:在一些文明发展程度不高的偏远落后地区,萨满教义还是颇能迷惑一些人,大地母亲忽悠着你)。
于是sars出现了,H1N1出现了,伟大的现代文明没能先知的将病毒产生之前就消灭掉,以传统病毒为鉴,我们可以得到一个结论:以目前我们并没有使我们的反病毒技术发达到将计算机病毒在产生之前就消灭掉的世界上一小撮略聪明于其他程序员的安全工程师来讲,不负责任的到处吹嘘我们防的多么牛逼是很可笑的一件事情。
   通过上面这段我们可以得到一个结论:计算机病毒是防不住的。用演员范伟的话说:哎呀,真是防不胜防啊。我们只好沮丧的接受这个事实,是的我们只能接受这个事实。那杀软是用来做什么的呢?显然
问这个问题很纠结,杀软不是用来炒股的,也不是用来登陆月球的,更不是娱乐大众的,杀软是一个很严肃的东西,他是用来杀掉计算机病毒的(或者说恶意代码,不要纠结于病毒还是木马亦或广告插件)。sars与H1N1造成灾难性的损失了吗?没有。我想聪明如你一定明白了,杀软的作用:
1,控制计算机病毒的扩散。
2,清除可以清除掉的已经感染的计算机病毒。
可以说以上两点是杀软存在的主要的两个意义。
那我们总结一下:杀软不能完全防止新病毒的产生和感染,但是可以控制计算机病毒的扩散,并对已感染的机器进行病毒的清除。(清除和恢复也是一对很纠结的兄弟,我们暂不讨论恢复是不是杀软份内的工作,这个可以交给世界大学生辩论会作为辩题)。
   辩证法的魅力彰显出来,对立与统一。
   那么防不住还要不要防呢?很显然,如果不防,杀软的使用者肯定愤怒的安天论坛刷爆!(如果有那么多用户的话) 还是以sars和H1N1为例,说说杀软的防。

                                                                         未完继续*有点渴
   巍峨的万里长城,雄关漫漫,从战国修到大明,依然没能阻止外族的铁骑祸乱中原。扬州十日、嘉定三屠成为中华历史上抹不去的血泪记忆。而区区一座襄阳城却让金兵和蒙古铁骑饮恨数年。对杀软来说也是如此,防的得当,以一当百,防的不得当,一溃千里。关键点的保护尤为重要。在it界,在很多行业都存在一个2-8定律,将80%的精力专注于20%的点,效果远远好于将100%的经历关注100%的点,所以当一个杀软鼓吹他多么防的多么全面,你就可以无情的去嘲笑他了。杀软和病毒从来就不是在一个起跑线上较量的,病毒总是躲在暗处悄悄地测试免杀,所以装了杀软依然中毒,是再正常不过的事情了,而一些无知的枪手却总在这一点上去攻击杀软的无能。防不住是一定得,防的住是吹牛逼的。从网络、应用到内核,影响系统安全的几个点抓住,就能解决大多数的安全威胁,这就非常ok了。

完。
回复

使用道具 举报

发表于 2009-7-31 17:39 | 显示全部楼层
LS 太长了   精炼一下:
通过上面这段我们可以得到一个结论:计算机病毒是防不住的。
回复

使用道具 举报

 楼主| 发表于 2009-7-31 18:32 | 显示全部楼层
6# 斑马王子
能防住的,防患于未然,如果防的不牢,可能会防不住好多木马或者病毒,如果设置的好的话,一年内不中病毒或者木马完全不是问题。
回复

使用道具 举报

发表于 2009-7-31 19:20 | 显示全部楼层
个人感觉,良好的使用习惯非常重要
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 06:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表