首先,本人是这次诺顿病毒事件的受害者。早上收到公司IT发送出来的病毒警告后,在未搞清原因的情况下主动升级了病毒库,导致中招。接下来的几个小时,IT连续发出几封紧急邮件救险,直到临下班前升级到5.17 rev 73才算告一段落。今天是星期五,将会有相当多的机器在周一上班重新开机的时候出问题。可以想像Symantec眼睁睁看着这些已经关机的机器,却什么也做不了的心情,很残忍。
从技术方面,我想到的是well informed decision。如果病毒分析本身的风险性在逐渐上升,依靠在单机上运行的算法匹配病毒在这次事件背景下可能需要重新思考一下。讲的俗一点,用Web 2.0的方式,病毒分析软件在找到可疑文件后也许不应该立刻采取行动,而是应该把你找到的模式上传给服务器。服务器根据一系列参数,如时间、时序、历史记录、当前改模式总的激活数量等实时的手段进行分析,以确定这的确是个问题或者是误报。每个装在客户机上的杀毒软件都像一片RFID,把它收到的数据分享给其他人,通过event driven系统最终得出结论,杀还是不杀?
杀毒软件也需要个虚拟论坛,杀毒前要到坛子里问问,以做出正确判断。
5 replies on “杀还是不杀”
还好我在用英文版XP。现在 Symantec AV 升到 5-18 rev.19 了.
呵呵,有关杀毒软件,我以前也有过从社区受益的想法,http://blog.csdn.net/paulex/archive/2006/07/19/944042.aspx,关键是如何组织好客户端/服务器/社区/插件之间的关系让用户可以方便放心的使用
网上提供的解决方法都是自己竞争对手最早发布的,Symantec的PR应该还在走流程、拿approval,正式声明估计要到下个礼拜了。
只是在中文版xp才有这个问题,觉得symantec以后会更加重视本地化相关的测试工作,不能说fixpack在英文版测试通过了就可以发布了。
同意楼上,要做GVT