事實上,它在電腦裡只有ClamAV,其他11套都是在雲端,所以不太會影響本機端的效能才是,我講的東西在軟體的設定功能畫面就能看得到。
但即使是這樣,多引擎最大的問題還是誤判率會比較高,而且像之前K大說的掃描時間會比較久,我在測試環境(乾淨的Win 10 1703)裝完後,隔了一個小時Avira的引擎竟然回報說WinSxs某幾個資料夾有病毒…
這套軟體其實比較偏向輔助用途,官方網站完整安裝程式是有不含本地端AV的版本,也強調可與一般防毒軟體搭配使用。
keyever2 wrote:
說真的,我個人蠻反對使用這種多"掃描"引擎的防毒軟體,畢竟現在所需求的是"防護"不是單純掃描而已。
以軟體引擎來說是為了要搭配病毒碼(Pattern)所開發出來的工具罷了,所以單純多引擎也不過是多病毒碼偵測,實際上防護並不會真的有增加,反而跟效能、穩定性比較來輸很多...
大家好像搞錯我要表達的地方了,我重新描述一下好了。
防毒區分兩塊:防護、掃描
掃描是傳統式的防毒功能,也是大家所認知的防護模式,需要依靠病毒碼等資源來配合,因此一個引擎就必須配合一個以上的病毒碼來運作,因此多引擎的優勢就在於有多家掃描結果可以參考,等於就是 VirusTotal。
但這樣的功能已經不足以防範現今的病毒手法,過去的病毒手法講求的是潛伏、破壞,現在的病毒手法講求的是快速(0day)、竊資(APT),所以單純靠掃描的防毒就是比入庫快慢而已,比的是0day的時間誰比較短誰就贏,延伸出來的就是雲端機制和行為模式防護。
行為模式防護也就是大家常常談的未經授權變更、啟發式掃描、沙盒防護等等等等(太多不贅述...),每一項機制都有可以進一步探討的地方。
這些行為模式防護就是單純依靠病毒碼來掃描,而是依靠行為模式規則來做防護,相對應的誤判會比較高(不過根據研究比較多是跟程式開發者的設計有關...)
這種行為模式防護才是現今防護的主流,也是這種多引擎軟體最大的弱點...
另外舉個例子,過往大家測試一個防毒軟體強不強大,通常都是拿一個非常大的樣本包(病毒包)來解壓縮測試看能夠偵測報毒多少個,越多越強大,但現在不會在這樣測試了,因為基本上每一家都不會漏,只不過是入庫快跟慢而已,意義不大。
keyever2 wrote:
另外舉個例子,過往大家測試一個防毒軟體強不強大,通常都是拿一個非常大的樣本包(病毒包)來解壓縮測試看能夠偵測報毒多少個,越多越強大,但現在不會在這樣測試了,因為基本上每一家都不會漏,只不過是入庫快跟慢而已,意義不大。
因為防毒軟體除了靠病毒碼偵測在一開始就辨識出威脅之外,
很多時候是雙擊之後程式開始運作,靠著防毒本身的其他防禦技術,
觸發警報 ~
我在玩病毒包的時候這種狀況很常見,
右鍵掃瞄沒反應,但只要雙擊執行,
馬上跳警告並封鎖 ~
不過這類靠事後觸發的防禦方式畢竟還是有風險,
因為你不知道防毒是否有全面擋下,萬一只要疏漏個檔案、程序、指令,
對系統而言都是種破壞。所以偵測率我個人覺得還是挺重要,
跟防毒的主防、HIPS 一樣,密不可分 ~
所以說,掃描沒偵測到,不代表這防毒就比較差,可能靠軟體本身其他防禦技術還是可以擋下的。
但說實話,如果可以在第一時間就辨識出,可以避免惡意程序執行時,
萬一沒有擋下的窘況,所以偵測率我覺得還是有參考性就是了。
回歸到 SecureAPlus 的部分,
我個人認為除了偵測率,SecureAPlus 本身的防禦做得還不錯,
絕大部分的程序在動作時,都能夠有效偵測,也都會在執行前先行暫停,
向使用者確認之後才放行 ~
關閉廣告