杀毒软件究竟是什么？ 谈谈我对杀毒软件的认识

fuchou-angle

杀毒软件究竟是什么？ 谈谈我对杀毒软件的认识
来源:卡饭论坛 作者:zyh6036
杀毒软件是用来防御恶意软件的软件吧？是的，只是防御的方式比较特殊而已。我习惯称其为前摄式防御，或者你可以认为是预防御。毫无疑问，杀毒软件是防御体系的先锋，是御敌于国境之外的第一道防线。为什么又说是特殊呢，因为在这个过程中不存在真正进攻方，所以杀毒软件的“防御”其实也是无从说起的。
病毒在进入系统后，根本就没有被真正执行起来，就被杀软强制请出去了，连进攻的行为都没有，谈何防御？如果你认为含有恶意代码或者特征码的东西进入系统就是进攻，那么以前很流行的一段测试杀毒软件的文本是不是也有进攻能力呢？显然不是，所以杀毒软件的防御是特殊的。
既然是特殊的防御，那么怎么样的防御效果对于杀毒软件来说是合格的呢？这个历来被人争论不休，且版本很多。又说能监控到是防住了，有说能扫描到是防住了，有说运行后无不良后果就防住了。这些说法有的涉及防御体系的其它环节，不想铺开陈述。我觉得对于杀毒软件来说，在恶意程序运行并开始破坏动作前任何时间拦截到，都是合格的防御。至于在监控还是扫描，那只是防御敏感度的差别，只要能完全清除，这点敏感度差别不足以威胁系统安全。
以上说的是合格杀毒软件的标准，下面来说说好的杀毒软件。
防御合格不代表就是好的杀毒软件，为什么？我们设想下列情形：
有一种杀杀毒软件，监控级别超级不敏感，不运行病毒实体（包括运行自身和插入其他进程调用运行）它不报，理论上确实不能威胁系统，是安全的防御，但是不能排除将病毒文件夹带传输到其它无杀毒软件的电脑之上造成的安全隐患。这就是为什么高手测试杀毒软件时非常在乎监控灵敏度的真正原因。
此情形其实非常像单奔HIPS的状况，因为HIPS不运行不防御，而下载大量文件后也不可能逐个双击去试，所以单奔HIPS是不符合大众安全要求的。
留下一个很大的问题：上述情形都是杀毒软件能识别恶意程序的前提下发生的，要是不能识别呢？识别率问题一直是大家讨论的重点，我想参与讨论的必有用A软件杀不出，用B软一杀几十个的人吧。这种情形真的很多很常见，但我要提醒各位冷静，不要武断下结论。首先先排除误报吧，假设B软件杀出来的都是真毒。这时候你真的觉得B软就强于A软吗？恐怕不是。网上传来传去的木马样本要想生存，多多少少得有点本事吧，带个针对某某杀毒软件的免杀是非常正常的现象。带哪个免杀的多呢？自然用户群越大的杀毒软件，被针对加免杀的情形越多。这里稍稍为国产杀软鸣不平，本就被针对免杀最多（尤其政府机关教育机构啥的，基本都是国产），还要拉去国外权威机构用国外的样本做测试，结果自然测试成绩不行，实际效果也不行……
除了免杀，还有真的识别不了的现象。原因很多，比如脱壳不彻底（但是好的杀毒软件会报可疑，要是不报，那是真的不行）和病毒库滞后（引擎+启发+高启发能识别80%以上，但还是要病毒库补充的）等。这时候杀毒软件基本属于无能为力的状态，必须通过别的途径来补充。比如当下最热的卡巴斯基反病毒软件，用了简单的主防+虚拟沙盘技术，这些都不是杀毒软件本身的东西，但是为了提高防御级别 ，不得不集成进去。所以针对这样一类的杀毒软件（已集成其它防御途径的），扫瞄无果了就不是真的被过，运行后系统玩完才是。（虽然大部分情况扫描无果后运行都是玩完）
以上所说的，无非是告诉大家，没有哪个杀毒软件是神，也没有哪个杀毒软件可以完全防御恶意程序。以后有人找你推荐杀毒软件时，不要拿查杀率做最有力论据。对于排名靠前的优秀杀毒软件，也没有绝对的优劣，关键看使用者喜欢怎样的操作习惯，与哪个杀毒软件的工作方式相契合。
百毒不侵，永远只是一个梦而已。