欢迎光临
我们一直在努力

Windows10系统简介(5)——杀毒软件该如何配置?常识科普

昨天的文章《Windows10系统简介(4)——可以裸奔吗?世界顶级杀毒软件测评》介绍了世界上各大主流杀毒软件的测评,并给出了一个大概的排序。大家对这个话题十分感兴趣,文章下方的留言也很多。实际上杀毒软件不能仅根据简单的排序就说哪个好、哪个不好,这取决于你的用途和使用习惯等因素。

图片

要想对杀毒软件进行比较充分的了解,需要首先了解关于杀毒软件的一些基本知识。需要注意的是,病毒、木马、蠕虫等在这里统一都称之为病毒。本文算是“基本常识/技术科普”,我向来介绍枯燥的技术不喜欢用太多专业术语,否则很多人根本听不懂在说什么,还是用最通俗的语言进行介绍。但一些常见的术语还是有必要了解的,否则你根本听不懂别人在说什么,怎么和别人交流呢?

01

杀毒软件的一些术语

传统杀毒技术通常是通过分析文件的特征码,与病毒库进行对比,如果匹配则判为病毒。但是病毒是不断变化的,单靠分析特征码,是不够的。

目前有很多的杀毒引擎,何为“引擎”?就是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。各种杀毒引擎,采用了很多的技术,通常有以下几种:

主动防御:俗称“主防”,是根据文件的行为进行分析,什么是行为?比如修改注册表、加载驱动、修改系统文件、Dll注入等等。程序运行时会调用接口(API),杀毒软件通过挂钩API的方法,按照一定的逻辑来确定这个程序行为是否危险。市面上的杀毒软件,监控的行为不同、选择的挂钩函数不同、分析的逻辑不同,当然效果优劣不同。

——单步主防:杀软有一套规则库,当某个行为触发了这个规则,可疑行为则被判为危险。例如,修改某注册表,杀软出现弹窗提示(xxx危险行为),这就是单步主防。

——多步主防:区别于单步主防,不针对程序的“某一个行为”,采用一些技术手段,监视程序的整体行为,然后进行逻辑判断,发现威胁进行拦截,拦截率高。因为程序运行了几步,有时会漏掉威胁(比如一些模糊行为,放行了),所以有些杀软例如:卡巴斯基,自带回滚功能,面对未知病毒的防御能力相当强悍。

    再直白一点,主防看的是“行为”,只要行为猥琐,不太依赖病毒库,即可判断为病毒。

启发式查杀:前面说的基于特征码的查杀技术,对一些完全未知病毒则无法判断,那么通过一定的特征(或者是规则、行为)进行判断,也就是说通过这些现有的特征,让杀软自己思考,从而得到一些启发,让它知道这是一个威胁,然后进行查杀。ESET的启发式查杀非常强大。

——静态启发:通过反编译程序,侦测它的行为,然后与特征库进行对比。当然不可能把程序全部反编译成功,只根据“部分代码”的判断,查杀率可能较低。

——动态启发:通过虚拟化技术,模拟执行几十毫秒,然后与特征库对比,查杀率高。通常静态+动态启发配合使用。

    再直白一点,启发式查杀,是依赖于病毒库的,虽然库中可能并没有特征码,但起码有一些样本,自身通过“启发式思考”,也能判断出病毒。

云查杀:采用了云技术,就是把原本在本地的杀毒功能,放到了“云服务器”,利用强大的病毒库、计算机硬件配置,借用人工智能、深度学习、启发式查杀等技术手段,来判断是否为病毒。云服务器强大的配置,足以支持强大的杀毒引擎运行计算,并结合强大的病毒库,可想而知其强大的查杀能力。

主机入侵防御系统(HIPS):文件运行、读写注册表、文件操作等所有行为,都会向你报告请求允许。只要你有足够的专业水平,有了HIPS,无需杀软。你可以自定义规则,减少这类报告请求。说白了,它好不好使,取决于你的水平,玩的好,百毒不侵。可以理解为网络防火墙,科摩多(Comodo)最为出名,提供程序访问网络权限的底层全面控制能力,在发生网络窃取、洪水攻击时迅速做出反应。

边界防御:上述的各种方法,比如特征码查杀、启发式查杀、主防、多引擎等,其目的都是在识别病毒,但只要可疑程序成功运行,杀软都有可能失败。最好的方法莫过于,阻止可疑程序的运行,让病毒没有机会在用户的电脑上执行,不中毒才是最佳解决方案。采用了边界防御的理念,比如你下载文件等任何操作,都会被实时监控,一旦发现威胁立即拦截。

02

如何配置杀毒软件?

目前各大主流杀毒软件均采用多种技术组合,但是都有所侧重。了解了上面的各种技术外,再对各类杀软的强项进行了解,那么相信你就可以自行判断如何配置杀毒软件了。不建议同时安装多款杀软,容易引起系统问题。但是某些功能互补的杀软,经实践也可以和平共处。

选择哪些杀软,需要考虑几个要素:1、运行流畅;2、防护能力强;3、误报率尽可能低。

Kaspersky:主防能力属于顶尖梯队的佼佼者,“多步主防+回滚”打遍天下无敌手。但是对于流氓软件等低威胁不是很敏感。其高拦截率、低误报率很,运行流畅,多次在AV-C的测评中领先,世界顶级杀软当之无愧。

ESET:高级启发式查杀极强,面对未知病毒能力强悍。自动匹配特征码,查杀率高,误报率低。具有扫描缓存机制,扫描速度快。众多杀软中,资源占用低,运行流畅。但主防比较弱,很多人说只要扫描通过基本凉凉,并不完全正确,它的防护是多层次的。

火绒:昨天的评论中,很多人热衷于它,这款杀软,在拦截广告、拦截流氓捆绑行为等方面做得很好,尤其是一些辅助功能让很多人喜欢,单步主防做得比较好,对勒索病毒等防御能力强,引擎较为成熟,但是查杀能力较弱,是一款安静的软件。

360杀毒:对他我始终带着有色眼镜,但是其云查杀水平在国内算是顶尖水平,这点是不可否认的。一不小心还会赠送全家桶。

总之,有人喜欢主防强的,有人喜欢主杀强的,有人看中拦截流氓捆绑,有人喜欢云查杀,有人喜欢页面好看的,因此,可以搭配使用。有些验证过的组合为:ESET+火绒、卡巴斯基+360安全卫士、WD+火绒…再次提示,未验证过的组合杀软尽量不要混用,以免出现不可预计的问题。

——转自:知彼而知己

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Windows10系统简介(5)——杀毒软件该如何配置?常识科普》
文章链接:https://www.192xz.com/sd.html
免责声明:本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担。本站为个人博客非盈利性站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。

评论 抢沙发

评论前必须登录!

立即登录  注册

如果本文对您有所帮助,请赞赏作者进行支持呦~

非常感谢你的打赏,我们将继续给力更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏