浅谈瑞星防御主要发展方向

  1.在新病毒呈几何级增长的今天，指着查杀和扫描来防御新病毒已经很吃力了。试问有几位朋友天天用杀毒全盘扫描？况且频繁扫描会有降低硬件寿命和损坏系统文件的风险。这也是为什么全球知名杀软厂商都大力发展主动防御的根本原因。即使云入库再快，也会有漏网之鱼！如果这个“漏网之鱼”是一般的盗号木马或病毒可以在随后更新特征码进行扫描处理掉，但我最担心的是如果这个病毒是像熊猫烧香、小浩，中华吸血鬼，09年的犇牛等那些恶性病毒怎么办？在没有特征码入库的情况下，一旦病毒文件运行杀软可能立马被病毒干掉了，更别提更新特征扫描了。所以必须有强大的防御和自保系统的支持！

  2.这里我要说的不是特征码不重要，该技术会一直延用下去，因为它查杀率高误报低，但我认为厂商更应大力发展防御！有的朋友可能会说，防御好你也做不到100%能拦截所有病毒，是的，这话没错。但防御好的软件不会被那些恶性破坏性病毒轻易突破，瑞星2011版和微 点等行为主防就是个很好的例子。虽然有朋友说行为防御经常拦不住一些盗号木马和流氓软件，但对于恶性病毒几乎从没失手过。从07年的熊猫烧香，小浩，大红猩猩，09年的犇牛等等“毒王”出现时很多以查杀和扫描为重点的杀软主程序不是被病毒破坏了，就是面对纷繁的变种无可奈何时，这项防御技术逐渐兴起。有的朋友会说，这个看着提示太高深了，看不懂。我想说的是行为主防不是hips，如果你会判定提示的文件路径文件名等常识是不会有问题的，如果您看不懂这个我想说扫描误报出的文件你也一样看不懂！而且提示很简单：提示未知木马、病毒或进程：选项隔离、删除清除等。所以行为主防不存在易用性问题但行为主防的缺点也比较明显，没有云辅助误报较高需要携带大量白名单库。但瑞星在云方面是国内较早提出的，而且服务器数量也算足够大，为何就不能使其和主防挂钩进行云端鉴定呢？

  3.我认为未来杀软的发展方向是以防御为主“云”辅助提高静态查杀率和降低误报，减少本地病毒库资源占用。有朋友说现在硬盘那么大动辄TB级，但我想说的是毕竟硬盘在80G的用户还是有一些的，不可能让这些用户的电脑本来就有限的资源空间用来装杀软病毒库。再者，在云联网时能扫描到的威胁都差不多发现了，在断网下用本地病毒库又能扫出来几个呢？刨去误报真正是病毒的几乎没有了。况且病毒或木马会经过反汇编，多重加壳等等技术来躲避特征扫描，恶性病毒更会直接对抗杀软将其关闭。如果是防御只要一条规则即可有效拦截变种，而且行为主防的特点就是病毒行为动作越“剧烈”如注入进程、关闭杀软、断网等等行为，防御的效果越好，这也解释了为什么行为分析无法解决一般盗号木马或流氓软件的弊端，因为这些程序不好加规则，容易误报而不是说防不住！

  4.打个比方，为什么现在人都大力提倡养生？为什么都努力提高免疫力？按理说现在医学很发达，除非少数几种恶性疾病治不了外其他的都可治愈。这个道理同样用在这里，如果我们有能力在病毒入侵计算机前或在其执行恶意动作时就进行拦截，不比中毒后用特征码扫描更好更有效吗？况且特征码经历了最早的单一特征码、静态启发、动态启发、通杀记录到现在的人工智能，技术已快到达了极致，但防御却不一样从hips到现的行为分析到基于云的主动防御体系，它的潜力非常大所以防御将是未来杀软厂商提高的重点。