瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛菜鸟学堂 我对杀软和防火墙的认识(希望不班门弄斧)

1   1  /  1  页   跳转

[分享] 我对杀软和防火墙的认识(希望不班门弄斧)

我对杀软和防火墙的认识(希望不班门弄斧)

一.杀毒软件



   1.自动扫描器(实时监控)

              刚开始用时往往不被关注,但这部分是十分重要的。

              这部分在不同的安全软件中有不同的成谓,如自动扫描器(Avast)、实时监控(国产的软件大都这样称呼)、guard(小红伞,pctool等),这部分负责我们日常的电脑保护,病毒时刻都有,而我们不必时时启动杀毒软件手动扫描而保护电脑,就是它的功劳。任务栏中往往有图标来显示这一功能的运作是否正常(如瑞星是一个绿伞)。

         

              实时监控又有很多部分,如文件监控(有的又叫文件读写监控,标准防护等),网页监控(网页防护、web  guard等),还有其他如注册表监控,即时通讯防护,邮件监控等。

         文件监控是实时监控中最基本的部分,当你在打开文件,修改文件甚至删除文件时,文件监控都在运转,正规的安全软件的文件监控应当实时检测你的电脑中文件的每一个动作(包括创建,修改,删除等)。

                网页监控,这是一个针对浏览网页时的安全防护。在浏览网页时,浏览器会将该网页中的元素下载到系统的临时文件夹中,其实在这一过程中,前面说到的文件监控会扫描进入本机的这些文件(所以说,有些安全软件仅有文件监控也是够得,网页监控的功能在一定程度上与文件监控重合),但是,网页监控似乎更进一笔,它会在网页上的元素进入本机之前就进行扫描,俨然御敌于国门之外的架势。所以说,如果一个安全软件有这两个监控,在防止网页中的威胁时,可以有两道防护,既网页元素进入本机之前的一次扫描,网页元素进入临时文件夹后文件监控的扫描。

       其他防护。如邮件监控,如果你不是用邮件客户端(如outlook,foxmail等),这一监控是完全不必要的。我们的邮箱往往是通过浏览器注册的免费邮箱,查看时也是登陆到163,搜狐等的网站查看,这样也就用不上这一监控了。  再如即时通讯防护,国外的安全软件多针对msn设计,无法防护QQ等国内的通讯软件,国产的安全软件更有优势,不过通讯软件的运转说到底也是对本机文件的读写,因此,不必因为没有这一监控而烦恼,文件监控可以对其进行扫描。如注册表监控,则是对注册表的关键位置进行监控,如果有不法的修改,其会提醒。

 

   2.手动扫描器(我们手动杀毒时的那部分)
           我刚开始用时特别关注这部分,它杀毒软件中的页面位置最靠前,第一个往往是系统的状态,第二个就是杀毒。记得瑞星04、05、06页一打开就是杀毒页面。重要的监控反而次要了。
           不过手动扫描需要时间,刚开始用时非常仔细得看进度条,每个新版本都有不同的界面,但是时间久了就会厌倦。手动扫描的时间少则十几分钟,多则几小时,确实很烦,因此,缩短扫描时间也是安全软件厂商的一个卖点。
           用户不必常用,特别是放假了,天天扫描,扫描就好像翻大衣柜找蟑螂,,会把衣服弄乱,文件也会弄乱,文件碎片增多,会影响电脑的运行速度。




   3.病毒库
            人们关注病毒库的大小,但是有一点应注意,病毒库的大小会应为安全软件商的统计方式不同而有差异,有些厂商得到一个病毒就算一个,有的则会将病毒及其变种都归为一个,这样,后者的病毒库数量自然就少了。一些厂商对病毒库描述得比较明白,如XX类xx个病毒(记得安天好像是这样描述得)
           病毒库的更新速度也很重要,现在的更新频率都比较高,每天两次总是有的,一定程度反映厂商的服务态度。

   4.扫描引擎(杀毒引擎)
       扫描引擎融入在自动扫描器与手动扫描器中,我把它单独讲讲。
       扫描引擎的技术特色大概有这几个:
            a.启发式:国外好像很多都有,比如小红伞,bitdefender,panda、nod32、大蜘蛛等都有,国内的江民、费尔、超级巡警也等
            启发式是一种应对未知、变种病毒的技术,可能有较好的能力,如小红伞,BitDefender、nod32都是屡次通过VB100,当然,费尔参加过VB100没有通过,大蜘蛛也多次未过。
       
            b.虚拟机脱壳,瑞星应该是这个,不过国内的厂商多是第几代杀毒引擎,具体也不好说。
            c.Avast则是拥有基因扫描(大概是这个称呼),有网友发信给Avast的官方问及有没有启发式,官方称其也有启发。
           不管什么技术,好用实惠就好。


  5.其他一些概念
            主动防御:这个概念在中国太火了,甚至让人觉得有了他就百毒不侵。主动防御有很多种,如微 点的智能型的,几乎不用用户设置;也有设置规则的hips;有些厂商则有小型的智能主动防御,既不用用户编写规则,但主动防御的特色又没有微 点的明显,只是对扫描的辅助作用。但是不论智能或手动,其实都是规则的相加,只是一个要用户写,一个已经写好。病毒触动规则后会被报告,以达到防止未知病毒木马的目的。但我觉得其实主动防御并不一定完全安全,因为其毕竟是要在病毒木马触动规则之后,首先是病毒已在电脑内,其次病毒还要运行起来,这就没有用自动扫描器提前将其扫除来得好(当然对未知、变种病毒的检测扫除就有一定局限),如果主动防御的规则刚好没有这一条,而病毒正好要这一条才能拦,就被漏掉了,再者,拦住了,能不能全拦住。微 点在这一方面做的精细,反应好,但一些国外的主动防御软件,如pctool的一款免费软件,华军有测试,用猫廯下载器测试,虽然可以检测,但没法全部拦截,最终对电脑造成伤害(免费的,自然研发少)。再说hips,一般用户谁会写规则,我用过,下载别人写的规则,再加点自己的。我曾想试试阻止一个批处理,结果hips提示阻止什么全局钩子挂起,但批处理还是顺利运行,这怎能让人不担心。
    
          云安全:很多厂商都有,瑞星的云安全就是收集用户的可疑样本,然后经过分析,在发还给用户。金山,360则偏重于对程序的认定,金山的可信认证对网络中的软件进行认证,分出等级(如果说不对请批评,因为金山我没有过,只是看介绍),360的木马云查杀则是对这在本机运行的进程进行检测,划分等级。国外的趋势则称云安全是凌驾于网络之上的一朵云,实时监测网络中的病毒、木马。

          脱壳:国内江民很早提出,我知道是通过瑞星,就好像把坏人的伪装脱下一样,还是比较好理解的,现在超级巡警都开发了免费的自动脱壳工具。




二.防火墙

用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
分享到:
gototop
 

回复:我对杀软和防火墙的认识(希望不班门弄斧)

防火墙还没写
gototop
 

回复: 我对杀软和防火墙的认识(希望不班门弄斧)

补上我对防火墙的认识


二.防火墙

  防火墙的基本功能包含两部分,既控制本机的程序访问网络和控制外界联入本机。这是一个双向的防护。

  1.防火墙是否必要
       刚开始用时根本不知到防火墙的用处,只是关注杀毒软件,其实,防火墙也很必要。我觉得防火墙有以下几个杀毒软件没有的功能:
       
     可以控制本机的程序访问网络,比如我不希望暴风影音访问网络,我可以设置阻止,如果没有防火墙,这是做不到的。对于一些自己没有安装却出现访问网络的软件,我就可以通过防火墙提示的软件路径,看看这个软件是否是系统的部分,或是被杀软漏掉的恶意软件。
       
     控制外界的访问,这里的规则我不太明白,不同的防火墙的规则不同(可以通过每条规则的注释看出),有些防火墙的规则看得懂,如禁止ping探测本机,知道这条一定选。有些防火墙的规则则看不懂,如回环192.XXX.XXX。不管怎么说,都在一定程度上放置外界对本机信息的探测。
       
     除此之外,防火墙还有其他的辅助功能,这是不同的防火墙而定,如Pctool firewall5.0就是一个纯防火墙,没有多余的功能(不过其中也有“增强安全校验”一项,感觉有点像hips,对安装软件是的域名解析,注入DLL都会提示)。而如瑞星防火墙,就有诸如出站拦截等功能,风云防火墙有进程管理,插件管理等。
  
  2.防火墙的两个基本功能在哪里
       控制本机的程序访问网络的功能在“应用程序控制”页面(瑞星中应该是“访问控制”),你看以从这个页面看见许多应用软件的规则。
       控制外界联入本机的功能往往有“高级规则”的字样(瑞星中应该是“IP规则”)

  3.应用程序规则
       这一功能在不同的防火墙中体现不同。
       一个软件访问网络,不都是整个访问的,有些软件是有几个部分分别访问网络,精细的防火墙往往会细化到一个软件的每个组件的访问网络控制;
       再者,一个软件在访问网络时不一定只打开一个端口,防火墙往往会在打开不同端口时做提醒。

  4.IP规则
       这个我说不来,不过还是写一下,也是两大基本功能之一。

  5.防火墙的防泄漏
       这一功能与ip规则和防火墙本身的构架有关系,是两项基本功能延伸出的必备功能(也许你会说谁会来偷我的信息,不过,如果你今年高考填报是网上填报,你就不会这么想了,而是希望自己的密码不被键盘记录工具给记录下来,填报信息不被修改;如果你是在用网银,你也不会这样想)
       国外有一个专门的防火墙测试机构——Matousec,通过google或百度,你可以得到关于其得测试信息,有网友翻译过。也有网友对几个月的测试进行过对比http://www.kafan.cn/edu/firewall/200809081603.html
    
  6.防火墙的大小与更新
       从Matousec的测试看前几位的防火墙,可以发现,第一的outpost firewall,安装包二十几兆(来自丁香鱼工作室),不过其有其他反木马或是反间谍的功能,第三的comodo firewall2.4安装包有8兆多,包含了简单的hips,至于排名第七的国产防火墙——中网S3 3.5,大小不到6兆,第八的pctool firewall安装包大小只有8兆多(排名取自Matousec2008年9月测试),可见,软件的大小并不代表防火墙的能力。
       国产另外的两个防火墙,瑞星防火墙与费尔防火墙排名暂时落后,不过与2008年8月相比,Rising Personal Firewall 2008升级版本为20.59.10,得分从5%上升到11%,有进步。费尔只参加了9月的,且是2005版,更新后会有成绩。
       不过,测试的防火墙由于本身默认设置不同,测试只有参考价值,有些防火墙将安全设置为高级时的防护功能与默认时有很大不同。
       即便是第一的个人防火墙,也有问题,Matousec对网络上比较受欢迎的前十个个人防火墙进行过更深入的测试,outpost firewall也在其内,Matousec发现outpost firewall也有许多问题,并将其列举出来。(我曾在百度贴吧上看过几篇翻译,现在不知能否找到)。Matousec还十分直接地指出一款风靡的小巧且可换界面的防火墙——黑冰,根本不具备防泄漏的能力,只是对程序的控制。(可见这个机构还是对测评的结果还是很负责,试想,有谁会对一款风靡的安全软件做如此直截的批评)除此之外,comodo,pctool,诺顿,ZA都过详细的测评。

      防火墙的更新也应根据防火墙本身的功能而定,比如瑞星防火墙2009天天更新,是因为其有拦截恶意网站的功能,如果不天天更新,效果就减弱了,又如ZA firewall pro有反木马,反间谍的功能,其更新周期自然短些,而像comodo firewall,pctool firewall则没有天天更新的要求(当然,这两款防火墙都是免费的,研发的经费本身少些)。

   7.其他防火墙测评机构
        这里提供诺顿的在线安全扫描  http://security.symantec.com/sscv6/home.asp?langid=cs&;venid=sym&plfid=23&pkj=GBJCDTKJBTVISBYWWYP&bhcp=1

     有网友也质疑,这个安全扫描太宽,只装windows XP SP2的防火墙检测就能通过,我没试过,感兴趣的可以试试。
   
   8.智能
        现在很多都在喊智能,无法说智能不好,追求傻瓜型的。不过目前的智能往往集中在拥有微软签名的过,或者自身认证合格的过,但是软件何止千万,这样无法“智能”,不过确实减少了用户的判断。

   9 .题外
          我现在使用杀毒软件是Avast4.8 Home 
                     防火墙是Pctool firewall 5.0
                辅助防间谍、广告软件用a-squared Free与Spyware Doctor 都是免费的

         告诉大家是因为上文难免谈及我用的几款软件,对自己用的难免偏爱,希望如果有对其过分溢美之词不会影响大家的判断,大家应当相信自己的判断。
gototop
 

回复:我对杀软和防火墙的认识(希望不班门弄斧)

从费尔客服那里学到一点关于网页监控的新东西

网页监控一种是通过HTTP网络数据流进行拦截的,一种是通过ActiveX组件绑定IE的。基于HTTP网络协议的,是当下载这个网页就拦截,缺点是影响网速并且容易漏报。基于activeX组件拦截的只适用于IE,在IE解释网页时拦截。
gototop
 

回复:我对杀软和防火墙的认识(希望不班门弄斧)

我也谈谈我对主动防御德认识
        一个恶意程序的行为往往有好几部分,如修改注册表,注入进程,修改系统文件等等,如果一个未知病毒运行,恰恰主动防御只拦截了注入进程和修改系统文件两部分,第一部分是被病毒绕过的,那么第一部分对注册表的修改就无法恢复,甚至连发现都不可能,就一直带着这个“伤疤”了。因此,六楼与三楼的两位不应只关注于主动防御。
      主动防御不是唯一的标准,主动防御也存在被病毒绕过的情况。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT