sea9413 发表于 2007-5-2 23:28:13

杀毒软件之庖丁解牛,看看到底那一个好

<p align="left">&nbsp; &nbsp;&nbsp;&nbsp;近来很多的朋友争论那个杀软好。比如前段时间有人在争论安博士杀软,现在有人在争论微点杀软。。还有很多的朋友也提问到底那个杀软好。大家这样积极的讨论和发表自己对杀软的一点看法,我个人觉得非常的高兴,有讨论才有更新、创新。这样才能提高中国网民的安全意识,现在就此本人以个人观点发表以下的意见。</p><p align="left">&nbsp; &nbsp;&nbsp; &nbsp; 从病毒诞生之日起,计算机用户们就与之展开了坚决的斗争,不过自从病毒搭上网络这辆快车,无论是其种类还是传播速度都有了令人咂舌的变化,同时,来自黑客的各种攻击也充满了网络。在这场与网络黑暗面的战役中,杀毒软件和防火墙成(这里均指个人杀毒软件和防火墙)为了最有效的武器。只是在使用这两种武器时,还要注意区分它们的不同,以便让我们在战斗中充分发挥这两种武器的长处。  杀毒软件与防火墙的区别   </p><p align="left">&nbsp; &nbsp;&nbsp;&nbsp;虽然两者的共同目标都是保护电脑的安全,都是杀“毒”,(相对于杀毒软件工作范围中的病毒来说,防火墙要把互联网中任何对PC有威胁的“毒”程序隔离,这也是一种“毒”),但是在工作区域和在保卫电脑安全中起到的作用是不一样的。  </p><p align="left">&nbsp; &nbsp;&nbsp;&nbsp;工作区域不同  </p><p align="left">&nbsp; &nbsp;&nbsp;&nbsp;简单来讲,杀毒软件的工作区域是电脑,而防火墙就是一道建立在电脑和网络之间的“墙”,它工作在计算机和它连接的网络中间;杀毒软件是监视您计算机内的软件,实施监视。只要是进入计算机的文件都会经过杀毒软件的认可,而安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。  </p><p align="left">&nbsp; &nbsp; 针对的危险不同   </p><p align="left">&nbsp; &nbsp; 顾名思义,杀毒软件的主要任务就是查杀进入到计算机的病毒(这个“病毒”是统称,现在比较流行的木马等一些后门程序都包括在内),而防火墙则主要用来防御黑客攻击。  </p><p align="left">&nbsp; &nbsp; 两者工作机理不同  </p><p align="left">&nbsp; &nbsp; 当系统遭遇黑客攻击时,杀毒软件无法对系统进行保护,因为杀毒软件可以识别的病毒是可执行代码,而黑客攻击多为数据包形式,阻击数据包攻击,这是防火墙的拿手活。同样地,对于进入到计算机的任何病毒,防火墙是视若无睹的,虽然有些防火墙号称是“病毒防火墙”,但是它仅仅提供了监控,还是无法杀掉病毒。  防火墙能够做什么  </p><p align="left">&nbsp; &nbsp;&nbsp;&nbsp;相对杀毒软件来说,人们对于防火墙的了解显然不够彻底。根据防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙,防火墙最主要实现的作用有以下四项:  </p><p align="left">1.包过滤  </p><p align="left">&nbsp; &nbsp;早期的防火墙一般是利用设置的条件,监测通过包的特征来决定放行或者阻止,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。  </p><p align="left">2.包的透明转发  </p><p align="left">&nbsp; &nbsp;事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。  </p><p align="left">3.阻挡外部攻击 </p><p align="left">  如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。 </p><p align="left"> 4.记录攻击</p><p align="left">  如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS(入侵检测系统)来完成了。  </p><p align="left">注:以上部分资料来源于网络。  </p><p align="left">&nbsp; &nbsp; 其实Windows XP自带的防火墙就可以满足一般的需要了,不过似乎很多安全厂商对于微软的产品不是那么放心,像赛门铁克、金山、瑞星等大部分厂商都推出了杀毒软件和防火墙的套装,用起来也是相当方便。  </p><p align="left">&nbsp; &nbsp; 关于杀毒软件的争论在网上可以找到很多,用户可以根据自己的喜好选择产品。有不少用户选择安装两者互补的杀毒软件,例如为了出色的杀毒能力和监控同时安装卡巴斯基和江民,想来是比较不错的组合,但是这个豪华阵容会吃掉很多内存,除非电脑的配置也够豪华,不然用起来也不会让你满意。其实不管是卡巴斯基、迈克菲或者是诺顿、金山,只要可以杀掉病毒、容易上手就不失为一款好的杀毒软件。  </p><p align="left">&nbsp; &nbsp; 而防火墙则不然。让防火墙功能最优还需要用户的设置,不少防火墙也是很占用系统资源的,选择最适合自己或者最适合机器配置的安全设置对用户非常必要,而且有一些比较出色的防火墙与卡巴斯基有冲突,像国外比较流行的ZONEALARM、Tiny personal firewall pro等。如果想使用大品牌产品又不想过多消耗系统资源,诺顿防火墙确实是个不错的选择;如果你肯在Windows XP的设置上下功夫,这个防火墙也是非常实用的;如果初次接触安全软件,那还是选择天网防火墙比较省事。</p><p align="left"></p><p align="left"></p><p align="left">各大杀毒软件比较与引擎介绍(来自天网安全阵线)</p><p align="left">&nbsp; &nbsp; 1、先从监控来看,瑞星2004-2005是用的DLL注入写的,也就是很多病毒用的方式,所以占内存非常大,监控很差劲。DLL注入监控最大的弱点就是对网页病毒监控困难,这也是瑞星最大的弱点。2006用了好像用了挂钩子技术,有很大进步。 </p>  KV的监控要好很多,差不多相当于防毒墙,你用迅雷下个病毒就知道了,在下载过程中就被干掉,而瑞星要在下载完才可以杀掉。 <br />  2、杀毒方面,这个就要看杀毒引擎了,KV的引擎跟卡巴的很类似,我不想打击大家,全世界只有五家公司有自己的引擎,其它都是仿制的,中国的杀毒软件也一样。瑞星的引擎不太好,无法彻底清除自我复制型病毒。这是瑞星第二大弱点。瑞星无法彻底清除病毒,像爱情后门、ROSE。瑞星杀毒不彻底。ROSE用瑞星杀毒以后还是不能直接双击打开,用KV直接可以恢复原样。 <br />  3、杀壳方面,瑞星现在的引擎是杀不了壳的,新的引擎还不知道脱壳技术怎么样,现在在公测。KV可以干掉流行的壳,这很不错了。不能杀壳的杀毒软件,意味着什么,对付有壳保护的病毒变种基本是废品。这也是杀毒软件引擎好坏的基本标准,为什么大家用卡巴,就是它脱壳厉害,是变种木马的克星。 <br />  4、病毒库方面,在这个方面,KV就差很多了,现在的KV病毒库非常不全,特别是木马库。引擎很好,但病毒库不全,这是KV的一个致命弱点。 <br />  5、自带的防火墙,瑞星的墙要比KV的墙好很多,这个我就不用说了。 <br />  全世界最厉害的杀毒引擎是DR.WEB【<a href="http://bbs.56.bz/viewthread.php?tid=2442&amp;page=1&amp;extra=pid17257" target="_blank">下载DR.WEB</a>】,比卡巴的都厉害。基本上可以杀所有的壳,用的动态虚拟机脱壳技术,连北斗的也可以轻松干掉。 <br />  DR.web是一个俄罗斯的杀毒软件,就是大家所说的大蜘蛛。和卡巴基本是一样的,但引擎和技术不一样,是俄罗斯官方和军队的采用的产品,商业和个人大多是采用卡巴,分两个版本。 <br />  驱逐舰用的它的引擎,但毕竟是假蜘蛛,杀毒效果和DR.WEB根本不一样。 <br />  DR.WEB的技术是俄罗斯国家科学院为后盾的。这个杀毒软件公司目标不是赚钱,纯粹为了技术,所以现在都没有中文版,它从来不把二进制病毒和不能发做的木马列入病毒库,所以在一些测试中名字不是很靠前,甚至很少参加测评,但杀毒实力绝对在卡巴以上,占用内存很少,差不多4兆。 <br />  <b>全世界五大杀毒引擎: </b><br />  1、第一个当然是要说说诺顿了,首创实时监控技术,还知道微软的代码。大家都说诺顿不好,其实诺顿的引擎很强大。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。 <br />  2、第二应该就是咖啡了,这个杀毒软件把主要能力放在防毒上,也用了虚拟脱壳技术,基本所有壳都可以干掉,现在知道为什么它这么火了吧,北斗的壳,我不知道能不能干掉,但它的虚拟技术没有DR.WEB的好,用加密XTA算法(基本与DES一样很难破解)写的病毒,它和卡巴就都废掉了。 <br />  3、第三个就是熊猫了,哈哈,这个西班牙的东东,全球第一个自动升级的,人家的引擎也相当不错,速度绝对一流,查杀彻底,但病毒库有点欧洲化,所以在中国用着不太好用,占内存很大,金山好像现在就在仿熊猫,监控好像不是,杀毒和升级都是仿造熊猫的,金山的监控很LJ,你用用就知道了。 <br />  4、这个就是俄罗斯的卡巴斯基了,6.0 的引擎我还没有分析过,人家的确是自己的引擎,以前KV就是防造的卡巴。但现在的KV好像更优化了。 <br />  5、DR.WEB、也是俄罗斯的引擎,俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。启发式加虚拟脱壳,北斗的壳,外面再加壳,加跳针也可以干掉,占用内存很少。可以说是最强的引擎。对付变种病毒和木马最好了。可以干掉加密XTA算法。清除极其复杂的病毒。 <br />  驱逐舰用的它的引擎,但毕竟是假蜘蛛,杀毒效果和DR.WEB根本不一样。 <br />  今天用驱逐舰全面扫描了一下,没有发现什么。但用DR.WEB一扫发现这么多没有扫出来,虽然大多数是广告。 <br />  看来核心技术比DR.WEB 还是差很多,大家不要以为你真的用上了DR.WEB。人家俄罗斯说了,核心的东西是不卖的。 <br />  关于NOD这个我说一下,我不是很清楚这个杀毒软件,不过它的引擎好像不是自己的。好像是自己做了很大的改进,杀毒很像熊猫,又不是熊猫,监控和DR.WEB很像,形势好像也一样,有两个进程,监控用的虚拟脱壳加启发式,但方式绝对不一样。我也不清楚它是谁的引擎,监控很智能,我晚上试了一下可以对付一次北斗加壳的病毒,加了跳针就不行了。我一运行灰鸽子竟然在我的计算机上生成了一个自动连接的文件,NOD一点都没有感觉。让我忙了好久才杀掉。加了内存免杀直接就过了,监控上存在一个很大的问题,对付两次加北斗壳的病毒,完全没有感觉,你可以加两次壳上报给它,估计会得奖。 <br />  再就是它对付国内的木马,很差劲,很多杀不出来。特别是现在国内木马这么猖獗,你看到瑞星升级的病毒库了吗?木马几乎占90%,我感觉还是别用这个杀毒软件好。我试了几个盗QQ的木马,结果就查出一个来。这个杀毒软件我感觉还是不错的,在国内用就感觉不合适了。对付灰鸽子不如KV,不是说它杀毒不行,是病毒库的问题。软件很不错,我很喜欢这个杀毒软件,理念很先进,占内存又少。我对它不是很了解,不要骂我。<br /><p align="left">  写在最后:  关于杀毒软件的选择,实在还有一些想说的话。有些朋友对国产杀毒软件很是有些“哀其不幸,怒其不争”的感情,其实关于杀毒软件绝对是一个仁者见仁的问题,各种杀毒软件都有自身的优势,当然也有不足之处,例如卡巴斯基的杀毒能力很强,但是病毒监控是其弱项,而迈克菲虽然杀毒稍弱,但是它的监控能力却是一流,国内的杀毒软件确实在杀病毒方面弱一些,但是查杀一些**木马的能力却不弱,而且用户界面都比较人性化,只能说这些产品都是各有所长,关键看个人喜好。  </p><p align="left">&nbsp; &nbsp; “世界上没有一种技术能真正保证绝对地安全。”安全其实是人和杀毒软件、防火墙等紧密结合在一起的综合问题,安全问题首先在人的意识,你的安全意识才是保护计算机的第一道屏障。</p>&nbsp; &nbsp;&nbsp;&nbsp;说实在的小版我在不同配置的机子下试了不下十个杀毒软件,如果你机子配置低并且安全性不很讲究的话,干脆就装个影子系统<br /><a href="http://bbs.cpcw.com/thread-1079970-1-1.html" target="_blank">http://bbs.cpcw.com/thread-1079970-1-1.html</a>(上网无罪,“裸奔”有理)<br />&nbsp; &nbsp;&nbsp;&nbsp;个人感觉还是宁可裸奔,也不能忍受老牛拉车版的速度;如果配置好的话,看你个人爱好,一般有名的杀软都可以应付病毒和木马的的<br /><br />[<i> 本帖最后由 棉花棠 于 2007-2-12 11:56 编辑 </i>]
页: [1]
查看完整版本: 杀毒软件之庖丁解牛,看看到底那一个好

捐赠