昨天的文章《Windows10系统简介(4)——可以裸奔吗?世界顶级杀毒软件测评》介绍了世界上各大主流杀毒软件的测评,并给出了一个大概的排序。大家对这个话题十分感兴趣,文章下方的留言也很多。实际上杀毒软件不能仅根据简单的排序就说哪个好、哪个不好,这取决于你的用途和使用习惯等因素。
要想对杀毒软件进行比较充分的了解,需要首先了解关于杀毒软件的一些基本知识。需要注意的是,病毒、木马、蠕虫等在这里统一都称之为病毒。本文算是“基本常识/技术科普”,我向来介绍枯燥的技术不喜欢用太多专业术语,否则很多人根本听不懂在说什么,还是用最通俗的语言进行介绍。但一些常见的术语还是有必要了解的,否则你根本听不懂别人在说什么,怎么和别人交流呢?
01
杀毒软件的一些术语
传统杀毒技术通常是通过分析文件的特征码,与病毒库进行对比,如果匹配则判为病毒。但是病毒是不断变化的,单靠分析特征码,是不够的。
目前有很多的杀毒引擎,何为“引擎”?就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。各种杀毒引擎,采用了很多的技术,通常有以下几种:
主动防御:俗称“主防”,是根据文件的行为进行分析,什么是行为?比如修改注册表、加载驱动、修改系统文件、Dll注入等等。程序运行时会调用接口(API),杀毒软件通过挂钩API的方法,按照一定的逻辑来确定这个程序行为是否危险。市面上的杀毒软件,监控的行为不同、选择的挂钩函数不同、分析的逻辑不同,当然效果优劣不同。
——单步主防:杀软有一套规则库,当某个行为触发了这个规则,可疑行为则被判为危险。例如,修改某注册表,杀软出现弹窗提示(xxx危险行为),这就是单步主防。
——多步主防:区别于单步主防,不针对程序的“某一个行为”,采用一些技术手段,监视程序的整体行为,然后进行逻辑判断,发现威胁进行拦截,拦截率高。因为程序运行了几步,有时会漏掉威胁(比如一些模糊行为,放行了),所以有些杀软例如:卡巴斯基,自带回滚功能,面对未知病毒的防御能力相当强悍。
再直白一点,主防看的是“行为”,只要行为猥琐,不太依赖病毒库,即可判断为病毒。
启发式查杀:前面说的基于特征码的查杀技术,对一些完全未知病毒则无法判断,那么通过一定的特征(或者是规则、行为)进行判断,也就是说通过这些现有的特征,让杀软自己思考,从而得到一些启发,让它知道这是一个威胁,然后进行查杀。ESET的启发式查杀非常强大。
——静态启发:通过反编译程序,侦测它的行为,然后与特征库进行对比。当然不可能把程序全部反编译成功,只根据“部分代码”的判断,查杀率可能较低。
——动态启发:通过虚拟化技术,模拟执行几十毫秒,然后与特征库对比,查杀率高。通常静态+动态启发配合使用。
再直白一点,启发式查杀,是依赖于病毒库的,虽然库中可能并没有特征码,但起码有一些样本,自身通过“启发式思考”,也能判断出病毒。
云查杀:采用了云技术,就是把原本在本地的杀毒功能,放到了“云服务器”,利用强大的病毒库、计算机硬件配置,借用人工智能、深度学习、启发式查杀等技术手段,来判断是否为病毒。云服务器强大的配置,足以支持强大的杀毒引擎运行计算,并结合强大的病毒库,可想而知其强大的查杀能力。
主机入侵防御系统(HIPS):文件运行、读写注册表、文件操作等所有行为,都会向你报告请求允许。只要你有足够的专业水平,有了HIPS,无需杀软。你可以自定义规则,减少这类报告请求。说白了,它好不好使,取决于你的水平,玩的好,百毒不侵。可以理解为网络防火墙,科摩多(Comodo)最为出名,提供程序访问网络权限的底层全面控制能力,在发生网络窃取、洪水攻击时迅速做出反应。
边界防御:上述的各种方法,比如特征码查杀、启发式查杀、主防、多引擎等,其目的都是在识别病毒,但只要可疑程序成功运行,杀软都有可能失败。最好的方法莫过于,阻止可疑程序的运行,让病毒没有机会在用户的电脑上执行,不中毒才是最佳解决方案。采用了边界防御的理念,比如你下载文件等任何操作,都会被实时监控,一旦发现威胁立即拦截。
02
如何配置杀毒软件?
目前各大主流杀毒软件均采用多种技术组合,但是都有所侧重。了解了上面的各种技术外,再对各类杀软的强项进行了解,那么相信你就可以自行判断如何配置杀毒软件了。不建议同时安装多款杀软,容易引起系统问题。但是某些功能互补的杀软,经实践也可以和平共处。
选择哪些杀软,需要考虑几个要素:1、运行流畅;2、防护能力强;3、误报率尽可能低。
Kaspersky:主防能力属于顶尖梯队的佼佼者,“多步主防+回滚”打遍天下无敌手。但是对于流氓软件等低威胁不是很敏感。其高拦截率、低误报率很,运行流畅,多次在AV-C的测评中领先,世界顶级杀软当之无愧。
ESET:高级启发式查杀极强,面对未知病毒能力强悍。自动匹配特征码,查杀率高,误报率低。具有扫描缓存机制,扫描速度快。众多杀软中,资源占用低,运行流畅。但主防比较弱,很多人说只要扫描通过基本凉凉,并不完全正确,它的防护是多层次的。
火绒:昨天的评论中,很多人热衷于它,这款杀软,在拦截广告、拦截流氓捆绑行为等方面做得很好,尤其是一些辅助功能让很多人喜欢,单步主防做得比较好,对勒索病毒等防御能力强,引擎较为成熟,但是查杀能力较弱,是一款安静的软件。
360杀毒:对他我始终带着有色眼镜,但是其云查杀水平在国内算是顶尖水平,这点是不可否认的。一不小心还会赠送全家桶。
总之,有人喜欢主防强的,有人喜欢主杀强的,有人看中拦截流氓捆绑,有人喜欢云查杀,有人喜欢页面好看的,因此,可以搭配使用。有些验证过的组合为:ESET+火绒、卡巴斯基+360安全卫士、WD+火绒...再次提示,未验证过的组合杀软尽量不要混用,以免出现不可预计的问题。
要想对杀毒软件进行比较充分的了解,需要首先了解关于杀毒软件的一些基本知识。需要注意的是,病毒、木马、蠕虫等在这里统一都称之为病毒。本文算是“基本常识/技术科普”,我向来介绍枯燥的技术不喜欢用太多专业术语,否则很多人根本听不懂在说什么,还是用最通俗的语言进行介绍。但一些常见的术语还是有必要了解的,否则你根本听不懂别人在说什么,怎么和别人交流呢?
01
杀毒软件的一些术语
传统杀毒技术通常是通过分析文件的特征码,与病毒库进行对比,如果匹配则判为病毒。但是病毒是不断变化的,单靠分析特征码,是不够的。
目前有很多的杀毒引擎,何为“引擎”?就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。各种杀毒引擎,采用了很多的技术,通常有以下几种:
主动防御:俗称“主防”,是根据文件的行为进行分析,什么是行为?比如修改注册表、加载驱动、修改系统文件、Dll注入等等。程序运行时会调用接口(API),杀毒软件通过挂钩API的方法,按照一定的逻辑来确定这个程序行为是否危险。市面上的杀毒软件,监控的行为不同、选择的挂钩函数不同、分析的逻辑不同,当然效果优劣不同。
——单步主防:杀软有一套规则库,当某个行为触发了这个规则,可疑行为则被判为危险。例如,修改某注册表,杀软出现弹窗提示(xxx危险行为),这就是单步主防。
——多步主防:区别于单步主防,不针对程序的“某一个行为”,采用一些技术手段,监视程序的整体行为,然后进行逻辑判断,发现威胁进行拦截,拦截率高。因为程序运行了几步,有时会漏掉威胁(比如一些模糊行为,放行了),所以有些杀软例如:卡巴斯基,自带回滚功能,面对未知病毒的防御能力相当强悍。
再直白一点,主防看的是“行为”,只要行为猥琐,不太依赖病毒库,即可判断为病毒。
启发式查杀:前面说的基于特征码的查杀技术,对一些完全未知病毒则无法判断,那么通过一定的特征(或者是规则、行为)进行判断,也就是说通过这些现有的特征,让杀软自己思考,从而得到一些启发,让它知道这是一个威胁,然后进行查杀。ESET的启发式查杀非常强大。
——静态启发:通过反编译程序,侦测它的行为,然后与特征库进行对比。当然不可能把程序全部反编译成功,只根据“部分代码”的判断,查杀率可能较低。
——动态启发:通过虚拟化技术,模拟执行几十毫秒,然后与特征库对比,查杀率高。通常静态+动态启发配合使用。
再直白一点,启发式查杀,是依赖于病毒库的,虽然库中可能并没有特征码,但起码有一些样本,自身通过“启发式思考”,也能判断出病毒。
云查杀:采用了云技术,就是把原本在本地的杀毒功能,放到了“云服务器”,利用强大的病毒库、计算机硬件配置,借用人工智能、深度学习、启发式查杀等技术手段,来判断是否为病毒。云服务器强大的配置,足以支持强大的杀毒引擎运行计算,并结合强大的病毒库,可想而知其强大的查杀能力。
主机入侵防御系统(HIPS):文件运行、读写注册表、文件操作等所有行为,都会向你报告请求允许。只要你有足够的专业水平,有了HIPS,无需杀软。你可以自定义规则,减少这类报告请求。说白了,它好不好使,取决于你的水平,玩的好,百毒不侵。可以理解为网络防火墙,科摩多(Comodo)最为出名,提供程序访问网络权限的底层全面控制能力,在发生网络窃取、洪水攻击时迅速做出反应。
边界防御:上述的各种方法,比如特征码查杀、启发式查杀、主防、多引擎等,其目的都是在识别病毒,但只要可疑程序成功运行,杀软都有可能失败。最好的方法莫过于,阻止可疑程序的运行,让病毒没有机会在用户的电脑上执行,不中毒才是最佳解决方案。采用了边界防御的理念,比如你下载文件等任何操作,都会被实时监控,一旦发现威胁立即拦截。
02
如何配置杀毒软件?
目前各大主流杀毒软件均采用多种技术组合,但是都有所侧重。了解了上面的各种技术外,再对各类杀软的强项进行了解,那么相信你就可以自行判断如何配置杀毒软件了。不建议同时安装多款杀软,容易引起系统问题。但是某些功能互补的杀软,经实践也可以和平共处。
选择哪些杀软,需要考虑几个要素:1、运行流畅;2、防护能力强;3、误报率尽可能低。
Kaspersky:主防能力属于顶尖梯队的佼佼者,“多步主防+回滚”打遍天下无敌手。但是对于流氓软件等低威胁不是很敏感。其高拦截率、低误报率很,运行流畅,多次在AV-C的测评中领先,世界顶级杀软当之无愧。
ESET:高级启发式查杀极强,面对未知病毒能力强悍。自动匹配特征码,查杀率高,误报率低。具有扫描缓存机制,扫描速度快。众多杀软中,资源占用低,运行流畅。但主防比较弱,很多人说只要扫描通过基本凉凉,并不完全正确,它的防护是多层次的。
火绒:昨天的评论中,很多人热衷于它,这款杀软,在拦截广告、拦截流氓捆绑行为等方面做得很好,尤其是一些辅助功能让很多人喜欢,单步主防做得比较好,对勒索病毒等防御能力强,引擎较为成熟,但是查杀能力较弱,是一款安静的软件。
360杀毒:对他我始终带着有色眼镜,但是其云查杀水平在国内算是顶尖水平,这点是不可否认的。一不小心还会赠送全家桶。
总之,有人喜欢主防强的,有人喜欢主杀强的,有人看中拦截流氓捆绑,有人喜欢云查杀,有人喜欢页面好看的,因此,可以搭配使用。有些验证过的组合为:ESET+火绒、卡巴斯基+360安全卫士、WD+火绒...再次提示,未验证过的组合杀软尽量不要混用,以免出现不可预计的问题。
——转自:知彼而知己