2009开发手记:为啥不对冰刃做攻防
来源:互联网 发布:日本动漫 知乎 编辑:程序博客网 时间:2024/05/22 14:56
从瑞星2008版开始,大家最关注的是“主动防御”功能,与此有关的负面评论中,最集中的就是瑞星不能拦截冰刃或狙剑,现在09公测了,好像大家对这个问题依然重视。那么,瑞星真的这么弱么,别人一两年前就能做到的,瑞星却做不到?被冰刃过,是不是意味着瑞星很弱?
在我们开发2009之初,也讨论过这个问题。最终的结论是,瑞星不会对冰刃、狙剑等安全工具做攻防,就算继续被被别人指指点点,瑞星的工程师也坚持做自己认为对的事情。
1、像冰刃、狙剑这种安全工具结束进程时,并不是直接去结束进程,换句话说不像大家看到的这么简单。Windows系统下的所有操作,都是通过对象形式进行的,例如:窗口、文件、个体。这类安全工具都是通过更底层的系统内部函数,如:结束系统对象来实现的,通过先打开要结束进程的对象,再进行结束对象的操作。瑞星如果要拦截此类操作,首先要检测打开对自身程序进行打开或删除的对象,然后再拦截其的打开或删除对象的操作。如果拦截冰刃和狙剑,会严重影响电脑资源占用率、拖慢机器。在一些老机器上效果相当明显,我们目前还保留着一台老机器用于诸如此类的测试,特别是这种在速度方面的差距影响。如果使用该方式必然会使用驱动技术,在同级对抗中是没有意义的。
2、无论是病毒或者是安全工具,同级代码之间的对抗,胜利者永远是后出招的,谁在明处谁倒霉。病毒或安全工具放出驱动后,与瑞星的驱动进行对抗,如果要保持对抗的优势,就必须频繁分析对方的招数并升级,双方这样频繁的升级,对于用户电脑安全而言,没有半点好处。 如果我们把冰刃干掉,那么冰刃会不会为了“技术的尊严”针对我们做优化,然后我们再研究新的破解之道……?
3、从另外的角度上说,瑞星是杀毒软件,杀毒软件为什么要拦截安全工具呢?安全工具又为什么要关闭杀毒软件呢?花时间花精力浪费用户的系统资源去对抗别的安全工具,除了显摆自己的技术强,还有别的意义么?瑞星2009真正要做的,是帮助用户解决病毒和黑客攻击的问题,而不是和安全工具较劲。
4、有人说瑞星工程师太犟,不懂得“照顾用户心理”。这是没办法的事,我们整天跟病毒还折腾不过来,时间、精力都有限,没时间做那些没意义的事情。因此,如果谁要说某个病毒过了瑞星,我们会非常重视,马上研究、处理;如果谁要说冰刃、狙剑等安全工具过了瑞星,那就让他过吧。
总是,我们不能把是否能防御冰刃、狙剑这类安全工具作为评判杀毒软件好坏的标准,我们应该把眼光放的更远一点儿。真正好的杀毒软件是能够保护用户电脑安全的。不管做得好不好,至少我们是这么想的,因此在09版中,我们的策略是拦截、防御和查杀。
当木马进入电脑之后,没有一款杀毒软件可以保证100%地干掉对方;也没有一款杀毒软件可以100%地截获并处理世界上所有的木马。
那么,为什么我们不把木马拦截在电脑之外呢?现在90%以上的木马是通过挂马和U盘侵入用户电脑,只要我们能堵住这两个口子,用户就会安全很多了。
- 2009开发手记:为啥不对冰刃做攻防
- 《架构师手记》-151224-为啥要生个“阴阳人”!
- 开发手记
- LWIP手记【A】udp连续发送为啥不成功
- ffmpeg开发手记(2009-05-25更新)
- 为啥
- 为啥网站优化离不开SEO,并且方法不对会毁了网站
- MySpy开发手记
- CSR蓝牙开发手记
- u-boot开发手记
- 开发手记[2007.01.13]
- 开发手记[2007.02.07]
- Oracle开发手记
- LAN91C111 开发手记
- 开发手记---分页查询
- JMatrix开发手记 1
- 《网络吸管》开发手记
- NoteBook开发手记--前言
- 认识自我
- cs0016:未能写入输出文件 解决方法
- IE的MIME嗅探
- VS2003 无法调试asp.net的解决方法
- Tapestry 5 Training Course 中文学习笔记一
- 2009开发手记:为啥不对冰刃做攻防
- mysql更改root密码
- Java Reflection (JAVA反射)详解
- C++进阶小程序(投骰子)
- linux安装.rpm包及rpm命令
- C++进阶小程序(画菱形)
- java从入门到高级的学习全攻略
- Manifest文件实战
- 关于线程和进程间的同步