现在个人电脑还需要装杀毒软件吗

faked_uid

哈迪斯兜帽 发表于 2020-4-28 14:44
我记得之前有人用旧版本断网测试过，有几款能防住。
但是找不到帖子了
随便搜了一个

我离线测试过卡巴，貌似还是防不住。

faked_uid

CyanCloverFern 发表于 2020-4-28 14:36
勒索病毒第一波没有杀软防得住，防得住时微软已经推补丁了

补丁其实早就推了。看MS17-010公告，2017年3月就推了。
但是知道有漏洞，距离利用漏洞控制目标机器还有很大距离。很多时候都是知道怎么触发漏洞，但是想利用漏洞执行代码就很难。

然后4月份有伙自称shadow brokers的匿名人士泄露了美国国安局（NSA）下属“方程式”组织（equation group）开发的漏洞利用工具包fuzzbunch（这玩意很像是metasploit，应该是用来测试的），这个fuzzbunch里面有一堆漏洞利用工具，里面就有eternal blue这个工具（所以“永恒之蓝”其实不是漏洞的名字，而是漏洞利用工具的名字）。
用eternal blue可以稳定地利用漏洞、执行代码（偶尔会触发蓝屏，但是大多数时候都可以成功利用）。这个很关键，很多人把这次泄露的东西叫做0day，这个叫法虽然不对，但是也不能掩盖这次泄露带来的影响很大这一点。
虽然那个时候已经有补丁了，但是很多人都没打补丁。

然后才是5月12日的wannacry，它是把eternal blue利用漏洞的方式复刻了，因为漏洞利用不需要任何交互动作、可以静默地完成、可以一传十十传百，所以它在恶意软件分类上属于“蠕虫”。
（这里还有一个问题，就是UAC。有些杀软厂商，我记得是卡巴，当时说UAC可以阻挡病毒，实际上那是他们测试不仔细导致的，实际上wannacry通过网络传染时完全不会触发UAC。eternal blue利用的漏洞位于内核驱动中，所以从一开始就是最高权限，或者换句话说，跑在ring0里其实都可以重新定义权限了，毕竟什么用户啦权限啦都不是天上掉下来的，这些规则其实都是内核在负责检查和执行的）

faked_uid

暗铁 发表于 2020-4-28 18:35
我装火绒的原因是windows的防火墙太弱智，局域网共享设置不出来，就把系统防火墙关掉了 ...

防火墙和杀软是两码事，这个不用我多啰嗦吧。防火墙是管网络的，杀软是负责监控本机、杀病毒的。

我不知道你具体是咋设置的……其实windows防火墙的逻辑不难理解。

像是pppoe直接拨号这种，就是公共网络，你肯定不希望你的共享暴露在公共网络上吧，所以公共网络上共享是默认关闭的。但是你硬要开的话也不是不能开。

只有在家或者在办公室，内网环境，才需要用到共享。

具体设置应该在这里：
控制面板\网络和 Internet\网络和共享中心\高级共享设置

除此之外，就不知道你是不是新加了阻止445端口之类的规则。这个要加也是在windows防火墙的高级设置里加，如果真的有这种规则，应该可以看到。


然后问题就来了……这么搞一下有多大意义呢。就好像wannacry利用的SMB漏洞，这都不是第一次爆高危漏洞了。
但是你要用文件和打印机共享，肯定就不能把445端口封了啊，封了还怎么用。
所以说这样只能在pppoe拨号（还有chinanet那种运营商公共wifi热点有时候也是公网IP）这种情况下有用，除此之外，在内网中，你只能祈祷跟你同一个内网的人不要中招再传染你。

所以说，我这么跟你啰嗦了一大堆，其实也没有什么X用……

bonbonfox

跟现实里面的病毒一样，毒性大的都会马上被干掉，现在恶心人的都是各种刺探隐私收集大数据的垃圾。。。

faked_uid

CyanCloverFern 发表于 2020-4-28 15:21
行我错了，第一波有防得住的。
445漏洞不解决病毒可以一次又一次变种，两天后Wanna Cry就出2.0版 ...

我印象里wannacry好像并没有真正意义上的变种，一开始就是“2.0”。（维基百科上给了趋势科技的病毒数据库链接，但是点开后CTRL+F搜索1.0啥也搜不到）
有些变种可能就是安全行业的人在测试，把exe直接拿去稍微改了几个字节而已。
比如那个所谓的自杀开关，也就是通过访问不存在的网址来检测自己是不是在病毒分析沙箱里。很可能是有人就是想让沙箱能监控病毒的行为，而不是让病毒直接退出，所以就小小地魔改了一下，然后这就变成了一个新的“变种”。

faked_uid

杀软这个东西，我装了就权当是安慰剂，不指望他能起多大作用。（或者说，我没那个能力和精力去折腾调整主防规则，更何况很多时候主防是指望不上的，比如putty加后门那个事情，下载回来的putty自己就是病毒，不用感染系统文件也能偷走机密信息，这个时候主防真的能起作用么？也许可以有，因为IP地址和网址也可以拉黑，但是这说白了还是马后炮）
很多年前就有人写了BypassAVDynamics这篇文档，里面总结了各种绕开杀软的方式。我印象里很多时候就是利用了一些不太常用的系统功能而已。

还有DoubleAgent这个梗，是以色列的一家安全公司Cybellum爆出来的（或者说炒作的起点就是他们搞的），看上去貌似很厉害，可以直接劫持杀软、让杀软变成病毒，但是很快就被安全圈的人喷成狗，因为它其实既不是“0day”，也不是“未文档”，是很早以前就被人知道的东西。
https://www.kernelmode.info/forum/viewtopic57f0.html

所以说指望杀软防御未知病毒是不靠谱的，总有真正比较懂技术的人能找到办法绕开杀软的检测。

但是杀软对于已知病毒很显然还是有用的，就比如一些U盘病毒（尤其是劫持dll的那种，其实都不需要利用什么系统漏洞），病毒作者早就撒手不管了，但是在有些打印店、学校实验室之类没人管的地方还没绝迹呢，如果没有杀软，那很容易就在这种古董病毒上翻车了。

faked_uid

CyanCloverFern 发表于 2020-4-28 14:54
国产杀毒软件曾经有个特点是拦截微软的补丁
MS17-010发布时间是3月14日
5月12日wannacry病毒开始爆 ...

这个拦截也不是没有前因后果的，因为之前正好有爆发过一波6B蓝屏事件，是GHOST系统制作者用dism++强行精简旧版系统组件导致的。

打补丁替换的就是内核驱动，但是替换了内核驱动，在被强行清理过的系统上就可能搞出6B蓝屏（额，当时直接触发蓝屏的不是内核驱动……不过不要在意这些细节）……所以说这个事情还是可以洗一洗的。

不过我自己是不用电脑管家的，我一直都是跟着微软走。但是以前也碰到过各种bug，比如登录循环。近两年貌似稍微好了一些。

哎，我觉得这事就没有完美的办法，归根到底软件是人写出来的，就不完美。

营业收入

瘟10有自带的巨硬杀毒软件，在扫描测试中清理已知病毒不拉胯，但巨硬的误报率很高

— from Google Pixel 3 XL, Android 10 of S1 Next Goose v2.2.2.1

第八协奏曲

要，又不贵

—— 来自 Meizu 16th Plus, Android 8.1.0上的 S1Next-鹅版 v2.2.2.1

我是快乐小马甲

大部分病毒都是用户点击一个文件，特别是exe。而造成的。习惯好一般不需要杀毒软件，少用来源不明确的盗版，少点未知来源附件。其他基本就是网页端钓鱼网站，普通上个澳门dchang也不会导致电脑中毒。

sorayang

win7时代就不装杀毒软件了

atomicink

win10自带defender，不过它只会查杀我的galgame汉化补丁

Kensnow

借楼问，mac是否依旧不用装杀毒软件？

laotoutou

wd用的顺手了，不装了

曾经17

我win10.装的360杀毒加安全卫士
二奶机win7也是装的360杀毒

  -- 来自 能搜索的 Stage1官方 Android客户端

Litccc

火绒，十分安静

win8

养成良好习惯应该可以避免许多麻烦。软件从官网下载，不靠谱的东西丢到沙盒限制访问路径，共享使用局域的安全服务（比如使用ip访问，用webdav从而避开网络发现和smb带来的问题）

闪电战

装一个
WD不是那么好用

wxc060302

一开始升级win10之后用WD，后来这玩意太占资源了就换了

—— 来自 OPPO PCLM10, Android 10上的 S1Next-鹅版 v2.2.2.1