Question 1

正如一些评论中提到的，没有可以保证安全的网站。即使是信誉良好的网站也会遭受横幅广告、编码错误、蓄意攻击等的影响，因此第一个问题是您无法信任任何网站。您可以通过查看沙箱中的代码并跟踪链接来计算出一定程度的安全可能性，但许多攻击者编写的代码隐藏在调试工具或测试环境中，并且代码通常会随着时间而改变攻击向量。

那么，到下一部分 - 你需要防病毒软件吗？绝对 - 连接到 Internet 的大量机器被感染并作为僵尸网络的一部分运行。如果你不保护你的机器，它最终可能会攻击我的机器。如果您无法在您的机器上检测到恶意软件，我会责怪您的检测技术，而不是认为您的机器是干净的。

根据 SANS，Internet 上未受保护机器的预期感染时间不到 5 分钟！ （生存时间计算为平均目标 IP 地址报告之间的平均时间......也就是有人 ping 您的计算机将被视为“感染”）

当然，AV 只是一层安全性（如果您在网关和桌面上使用 AV，则可能是 2 层），但所有层都有价值。你错过的任何东西都会增加成功妥协的可能性。

Question 2

这个问题有很多角度，我无法涵盖所有。

预先部分披露，我在 AV 行业工作，但我不会提供更多细节。另一项披露，在过去十年左右的时间里，我没有在我的私人机器上使用任何“实时” AV 机制。但是，我不时在我的机器上运行离线扫描。

几个角度看问题

Drive-by-infections 和特洛伊木马只是潜在的攻击媒介中的两个，因此仔细浏览并不能完全免除您使用常识或在其他领域做功课（保持您的软件修补等）。还有更多，包括有针对性的（通常称为“钓鱼”、“社会工程”）攻击。

被低估的潜在攻击

例如，研究人员已经表明，放置一个看起来像闪存驱动器但行为像存储 + 鼠标 + 键盘的 USB 密钥可用于进入其他高度安全的区域。没有人在找到 USB 闪存驱动器时会首先想到攻击，对吧？但它可能是。

无论如何，在更广泛的范围内还有更多的攻击媒介。最常见的例子包括：

您使用的软件中的漏洞
- Adobe Flash 和 Adobe Reader：PDF（嵌入 JavaScript 或 Flash ...或嵌套组合）- 在 Windows 上时，我建议使用SumatraPDF，因为它根本不支持 PDF 中的脚本或 Flash。
- 各种浏览器引擎
- 字符串的简单渲染可以利用漏洞（过去在字体渲染中发现）
- 用作浏览器插件时的 Java（尽管现在不再需要，除非您访问 1990 年代的许多网站；））
- 使用许多复杂和/或专有文件格式（图片、文档...），其中解码文件格式的软件更容易出错。
- 操作系统组件本身：想想 Blaster 蠕虫和 WannaCry 蠕虫/勒索软件。
在错误的时刻关闭自己的大脑
- 收到来自亲人的带有附件的电子邮件？哦，电子邮件发件人可以像明信片一样被伪造。您可以使用加密签名的邮件来防范这种情况。更好的是，您可以使用 PGP/ GPG来防止除您和您所爱的人以外的任何人通过加密来阅读内容；信封的电子版，只是不容易“打开”。
- 实际上去一些“色情”网站，只是为了看到一个图像或视频执行那个“下载器”或“查看器”
固件可以被“木马化”，这样您的操作系统就不会有任何机会检测到计算机部分的任何不当行为。
- Joanna Rutkowska 的 Bluepill 是一种类似的方法，它使用虚拟化指令将正在运行的系统移动到来宾位置，而 rootkit 本身保留作为管理程序的位置。

仅举几例。Microsoft 自己的EMET已被证明在先发制人某些类型的漏洞方面多次有用。但这不会是灵丹妙药。如果您使用的是允许它的 Windows 版本，您还可以设置Software Restriction Policies和Application Control Policies。不幸的是，微软似乎不再给予这些人太多的爱，并且由于 SHA-2 散列签名的实施，ACP 不再基于签名可靠地工作。但是，您仍然可以将它们与文件哈希规则一起使用。

顺便说一句：反之亦然。人们还可以设计一个鼠标或键盘，其中包括存储并触发执行该存储之外的某些内容。这是一个让更广泛的受众可以访问的项目。

错误的结论

但是让我们看看你给出的报价。

坦率地说：我拒绝在我的大多数计算机上安装任何类型的防病毒或个人防火墙软件（但请参阅下面的 2012 年 1 月 1 日更新。）这包括我的孩子用作网络的 Windows XP Home 系统冲浪/电子邮件/游戏系统。在此期间，我的感染率为零。

这清楚地表明被引用的人对该主题不是很了解。没有人，包括 AV 供应商，可以 100% 肯定地告诉您您没有被感染。这是一个愚蠢的主张。没有感染迹象并不意味着没有感染。恶意软件可能会长期处于休眠状态，例如，只是为了在某个特定时间点启动（想想Michelangelo 病毒）很少有方法，通常涉及实时 CD/DVD（例如Qubes），可以防止大多数攻击向量，但通常可以想出一个失败的场景。最实用的是将程序彼此分开的沙箱，这就是 Qubes 使用的方法。

我要说的是这个人使用了错误的理由并得出了错误的结论——并不是说不使用 AV 程序有什么问题。

AV 不一定会保护你，尤其是纯 AV

我的问题是，是否有任何记录在案的研究证明或反驳这些声称能够仔细浏览互联网并且与使用防病毒软件浏览互联网具有相同的感染风险？

同样，浏览并不是恶意软件可以进入系统的唯一攻击媒介（Windows 中的自动运行机制以及链接文件的图标处理程序中的漏洞允许 Stuxnet 传播）。这就像将闪存驱动器插入计算机一样简单。接下来是纯 AV 解决方案不会过滤您访问的网站，并且只会在有东西撞击磁盘时触发（不过也可以是浏览器缓存）。因此，这清楚地表明，纯粹的 AV 解决方案首先不能很好地防止与浏览相关的感染。

但是，我们可以假设大多数恶意软件需要持续存在于用户的计算机上才能对其作者有用 - 不像过去恶意软件作者通过创建病毒等来证明他们的知识，现在恶意软件编写非常准- 商业活动 - 例如浏览银行数据或使用 GPU 进行比特币挖掘或勒索等等。

所以当它碰到磁盘时，AV 可以捕捉到它。前提是 AV 知道它。毫无疑问，大多数 AV 供应商早已背离了克服基于签名的检测或仅将其用作补充检测方法。这与我一次又一次地看到配音的普遍看法相反。我只知道一个供应商基本上坚持使用基于签名的检测的旧方法。大多数供应商使用的检测通常会一次捕获数百或数千个相关的恶意软件样本。尽管如此，反病毒公司必须遇到恶意软件才能检测到它。它为一个家庭找到的样本越多，它就越能更好地调整其启发式方法以避免误报。

这是一场竞赛，最终也是一场军备竞赛。恶意软件编写者正在使用VirusTotal和其他类似网站（以及这些服务的暗网版本）来确定他们的创作是否被检测到。由于可以赚钱，无论是直接赚钱还是通过将受感染的机器作为机器人出租，都有足够的动力保持低调。

破除神话...

仅对于那些相信 AV的人来说，您在许多（如果不是大多数）认证中看到的结果都严重歪曲。这与两件事有关：

他们中的一些人想要付款，这当然会为不满（付费）AV供应商创造和障碍
大多数测试允许被无情滥用以支持测试结果的漏洞在供应商的相应营销报告中炫耀

在我看来，更好的测试之一是 RAP（反应式和主动式）测试，它衡量 AV 对“过时”病毒签名的表现如何。但是为了使这些测试更加客观，肯定还有更多的事情需要改进。

由于我最初写了这个答案，因此正在进行一项名为AMTSO的工作，以使测试对反恶意软件解决方案的客户更有意义。目前我不确定它是否会带来承诺的改进，但未来会证明一切。至少很明显，由于供应商的数量超过了测试人员，因此决策和指导方针似乎存在固有的偏见。但至少存在对该问题的认识。

结论：你买不到安全

自动驾驶汽车将为外行甚至专家提供额外的安全层。时期。但是 - 这是一个很大的问题 - 这种增加的安全性永远无法抵消缺乏安全意识计算机使用方面的教育。相反，我认为，是的，如果您是偏执狂和足够勤奋的人，那么您就不需要像必须拥有的 AV 一样。保护的技术层不会抵消您从尽职调查、偏执狂和最重要的意识中获得的保护。

AV 提供的安全性可以与机场安全性进行比较。有很多安全表演，但也涉及一些实际增加的安全性。但不要相信 AV 会 100% 保护您或其他人免受感染。这也可以被解读为任何备份解决方案的无耻插件（例如，确保备份脱机，这样它们就不会被勒索软件擦除）。

在我看来，迄今为止最好的保护是意识和勤奋。但不幸的是，使用计算机或互联网不需要驾驶执照。因此，除了常规的离线存储备份之外，下一个最佳保护措施将是沙箱、白名单方法以及 AV 和其他反恶意软件解决方案。他们永远无法为您提供 100% 的保护（好吧，白名单可能），但他们可以保护您免受各种多产的威胁。所以当有疑问时，当然去那个 AV（或一般的反恶意软件）解决方案。但这就是困难的地方。它们的质量不同，甚至测试——正如我在上面指出的——经常严重歪斜。添加另一个 AV 引擎可能会有所帮助，但不能保证。如果在单个产品内部，多个引擎的集成可能会很好，并且不会增加太多开销。但是，如果您同时安装多个 AV 产品，您就是在自找麻烦。事实上，现代 Windows 版本只允许您在 Windows 操作/安全中心中查看每个类别的单个安全解决方案的统计信息。

至于白名单，最近的 Windows 版本非常酷。您可以在软件限制策略和应用程序控制策略中自己有效地实施（运行gpedit.msc）（或者，如果您在某些托管环境中运行，您的管理员可以这样做）。我认为它至少是从 Windows 7 开始引入的，但这些功能甚至可能存在于 Windows Vista 上。不幸的是，此功能可能取决于您的 Windows 版本，这是一种耻辱。还有一个问题是，如果您将规则建立在代码签名的基础上，那么对于仅使用 SHA-2 签名的可执行文件，这可能会失败。

还：

请记住：严格来说，我们永远无法判断一个系统是否干净，而我们可以说我们没有找到 任何东西。每一个相反的说法要么是营销人员，要么将迅速淘汰整个 AV 行业。

（来源：我在这里对 SuperUser 的回答）

一个更好的安全网是备份和频繁回滚到已知干净的状态——但这只是我的看法。

商业化的恶意软件不需要特权访问，即使在 Linux、FreeBSD 或 macOS 上也是如此

在超级用户上我写了这个：

还有一件事。许多 Linux（也包括 MacOSX）用户都认为没有特权访问的恶意软件不会伤害您（这也经常被引用为 unixoid 系统“没有”恶意软件的原因，这也是不完全正确）。这与事实相去甚远。虽然这会阻止它建立一个系统范围的据点，但它不会阻止恶意软件从您的个人文件等中窃取数据。安装在您自己的个人资料中的流氓浏览器扩展程序对您的帐户仍然会像可以做的那样危险它到所有帐户。如果您在安装了流氓扩展程序的情况下进行网上银行业务，那么无论您是 root还是joe.

Question 3

我要打个比方：当我在做爱时非常小心时，我需要安全套吗？是的，你这样做是因为即使你是安全的，即使他或她说他们是安全的，你也不知道所涉及的另一方是。所以你需要使用避孕套/抗病毒吗？当然可以，最好是安全而不是抱歉，因为摆脱病毒非常困难。

请注意，即使使用防病毒软件，即使您是安全的，也可能出现问题！如果您怀疑出现问题，最好从备份中恢复或执行全新安装。

Answer 1

正如一些评论中提到的，没有可以保证安全的网站。即使是信誉良好的网站也会遭受横幅广告、编码错误、蓄意攻击等的影响，因此第一个问题是您无法信任任何网站。您可以通过查看沙箱中的代码并跟踪链接来计算出一定程度的安全可能性，但许多攻击者编写的代码隐藏在调试工具或测试环境中，并且代码通常会随着时间而改变攻击向量。

那么，到下一部分 - 你需要防病毒软件吗？绝对 - 连接到 Internet 的大量机器被感染并作为僵尸网络的一部分运行。如果你不保护你的机器，它最终可能会攻击我的机器。如果您无法在您的机器上检测到恶意软件，我会责怪您的检测技术，而不是认为您的机器是干净的。

根据 SANS，Internet 上未受保护机器的预期感染时间不到 5 分钟！ （生存时间计算为平均目标 IP 地址报告之间的平均时间......也就是有人 ping 您的计算机将被视为“感染”）

当然，AV 只是一层安全性（如果您在网关和桌面上使用 AV，则可能是 2 层），但所有层都有价值。你错过的任何东西都会增加成功妥协的可能性。

Answer 2

这个问题有很多角度，我无法涵盖所有。

预先部分披露，我在 AV 行业工作，但我不会提供更多细节。另一项披露，在过去十年左右的时间里，我没有在我的私人机器上使用任何“实时” AV 机制。但是，我不时在我的机器上运行离线扫描。

几个角度看问题

Drive-by-infections 和特洛伊木马只是潜在的攻击媒介中的两个，因此仔细浏览并不能完全免除您使用常识或在其他领域做功课（保持您的软件修补等）。还有更多，包括有针对性的（通常称为“钓鱼”、“社会工程”）攻击。

被低估的潜在攻击

例如，研究人员已经表明，放置一个看起来像闪存驱动器但行为像存储 + 鼠标 + 键盘的 USB 密钥可用于进入其他高度安全的区域。没有人在找到 USB 闪存驱动器时会首先想到攻击，对吧？但它可能是。

无论如何，在更广泛的范围内还有更多的攻击媒介。最常见的例子包括：

您使用的软件中的漏洞
- Adobe Flash 和 Adobe Reader：PDF（嵌入 JavaScript 或 Flash ...或嵌套组合）- 在 Windows 上时，我建议使用SumatraPDF，因为它根本不支持 PDF 中的脚本或 Flash。
- 各种浏览器引擎
- 字符串的简单渲染可以利用漏洞（过去在字体渲染中发现）
- 用作浏览器插件时的 Java（尽管现在不再需要，除非您访问 1990 年代的许多网站；））
- 使用许多复杂和/或专有文件格式（图片、文档...），其中解码文件格式的软件更容易出错。
- 操作系统组件本身：想想 Blaster 蠕虫和 WannaCry 蠕虫/勒索软件。
在错误的时刻关闭自己的大脑
- 收到来自亲人的带有附件的电子邮件？哦，电子邮件发件人可以像明信片一样被伪造。您可以使用加密签名的邮件来防范这种情况。更好的是，您可以使用 PGP/ GPG来防止除您和您所爱的人以外的任何人通过加密来阅读内容；信封的电子版，只是不容易“打开”。
- 实际上去一些“色情”网站，只是为了看到一个图像或视频执行那个“下载器”或“查看器”
固件可以被“木马化”，这样您的操作系统就不会有任何机会检测到计算机部分的任何不当行为。
- Joanna Rutkowska 的 Bluepill 是一种类似的方法，它使用虚拟化指令将正在运行的系统移动到来宾位置，而 rootkit 本身保留作为管理程序的位置。

仅举几例。Microsoft 自己的EMET已被证明在先发制人某些类型的漏洞方面多次有用。但这不会是灵丹妙药。如果您使用的是允许它的 Windows 版本，您还可以设置Software Restriction Policies和Application Control Policies。不幸的是，微软似乎不再给予这些人太多的爱，并且由于 SHA-2 散列签名的实施，ACP 不再基于签名可靠地工作。但是，您仍然可以将它们与文件哈希规则一起使用。

顺便说一句：反之亦然。人们还可以设计一个鼠标或键盘，其中包括存储并触发执行该存储之外的某些内容。这是一个让更广泛的受众可以访问的项目。

错误的结论

但是让我们看看你给出的报价。

坦率地说：我拒绝在我的大多数计算机上安装任何类型的防病毒或个人防火墙软件（但请参阅下面的 2012 年 1 月 1 日更新。）这包括我的孩子用作网络的 Windows XP Home 系统冲浪/电子邮件/游戏系统。在此期间，我的感染率为零。

这清楚地表明被引用的人对该主题不是很了解。没有人，包括 AV 供应商，可以 100% 肯定地告诉您您没有被感染。这是一个愚蠢的主张。没有感染迹象并不意味着没有感染。恶意软件可能会长期处于休眠状态，例如，只是为了在某个特定时间点启动（想想Michelangelo 病毒）很少有方法，通常涉及实时 CD/DVD（例如Qubes），可以防止大多数攻击向量，但通常可以想出一个失败的场景。最实用的是将程序彼此分开的沙箱，这就是 Qubes 使用的方法。

我要说的是这个人使用了错误的理由并得出了错误的结论——并不是说不使用 AV 程序有什么问题。

AV 不一定会保护你，尤其是纯 AV

我的问题是，是否有任何记录在案的研究证明或反驳这些声称能够仔细浏览互联网并且与使用防病毒软件浏览互联网具有相同的感染风险？

同样，浏览并不是恶意软件可以进入系统的唯一攻击媒介（Windows 中的自动运行机制以及链接文件的图标处理程序中的漏洞允许 Stuxnet 传播）。这就像将闪存驱动器插入计算机一样简单。接下来是纯 AV 解决方案不会过滤您访问的网站，并且只会在有东西撞击磁盘时触发（不过也可以是浏览器缓存）。因此，这清楚地表明，纯粹的 AV 解决方案首先不能很好地防止与浏览相关的感染。

但是，我们可以假设大多数恶意软件需要持续存在于用户的计算机上才能对其作者有用 - 不像过去恶意软件作者通过创建病毒等来证明他们的知识，现在恶意软件编写非常准- 商业活动 - 例如浏览银行数据或使用 GPU 进行比特币挖掘或勒索等等。

所以当它碰到磁盘时，AV 可以捕捉到它。前提是 AV 知道它。毫无疑问，大多数 AV 供应商早已背离了克服基于签名的检测或仅将其用作补充检测方法。这与我一次又一次地看到配音的普遍看法相反。我只知道一个供应商基本上坚持使用基于签名的检测的旧方法。大多数供应商使用的检测通常会一次捕获数百或数千个相关的恶意软件样本。尽管如此，反病毒公司必须遇到恶意软件才能检测到它。它为一个家庭找到的样本越多，它就越能更好地调整其启发式方法以避免误报。

这是一场竞赛，最终也是一场军备竞赛。恶意软件编写者正在使用VirusTotal和其他类似网站（以及这些服务的暗网版本）来确定他们的创作是否被检测到。由于可以赚钱，无论是直接赚钱还是通过将受感染的机器作为机器人出租，都有足够的动力保持低调。

破除神话...

仅对于那些相信 AV的人来说，您在许多（如果不是大多数）认证中看到的结果都严重歪曲。这与两件事有关：

他们中的一些人想要付款，这当然会为不满（付费）AV供应商创造和障碍
大多数测试允许被无情滥用以支持测试结果的漏洞在供应商的相应营销报告中炫耀

在我看来，更好的测试之一是 RAP（反应式和主动式）测试，它衡量 AV 对“过时”病毒签名的表现如何。但是为了使这些测试更加客观，肯定还有更多的事情需要改进。

由于我最初写了这个答案，因此正在进行一项名为AMTSO的工作，以使测试对反恶意软件解决方案的客户更有意义。目前我不确定它是否会带来承诺的改进，但未来会证明一切。至少很明显，由于供应商的数量超过了测试人员，因此决策和指导方针似乎存在固有的偏见。但至少存在对该问题的认识。

结论：你买不到安全

自动驾驶汽车将为外行甚至专家提供额外的安全层。时期。但是 - 这是一个很大的问题 - 这种增加的安全性永远无法抵消缺乏安全意识计算机使用方面的教育。相反，我认为，是的，如果您是偏执狂和足够勤奋的人，那么您就不需要像必须拥有的 AV 一样。保护的技术层不会抵消您从尽职调查、偏执狂和最重要的意识中获得的保护。

AV 提供的安全性可以与机场安全性进行比较。有很多安全表演，但也涉及一些实际增加的安全性。但不要相信 AV 会 100% 保护您或其他人免受感染。这也可以被解读为任何备份解决方案的无耻插件（例如，确保备份脱机，这样它们就不会被勒索软件擦除）。

在我看来，迄今为止最好的保护是意识和勤奋。但不幸的是，使用计算机或互联网不需要驾驶执照。因此，除了常规的离线存储备份之外，下一个最佳保护措施将是沙箱、白名单方法以及 AV 和其他反恶意软件解决方案。他们永远无法为您提供 100% 的保护（好吧，白名单可能），但他们可以保护您免受各种多产的威胁。所以当有疑问时，当然去那个 AV（或一般的反恶意软件）解决方案。但这就是困难的地方。它们的质量不同，甚至测试——正如我在上面指出的——经常严重歪斜。添加另一个 AV 引擎可能会有所帮助，但不能保证。如果在单个产品内部，多个引擎的集成可能会很好，并且不会增加太多开销。但是，如果您同时安装多个 AV 产品，您就是在自找麻烦。事实上，现代 Windows 版本只允许您在 Windows 操作/安全中心中查看每个类别的单个安全解决方案的统计信息。

至于白名单，最近的 Windows 版本非常酷。您可以在软件限制策略和应用程序控制策略中自己有效地实施（运行gpedit.msc）（或者，如果您在某些托管环境中运行，您的管理员可以这样做）。我认为它至少是从 Windows 7 开始引入的，但这些功能甚至可能存在于 Windows Vista 上。不幸的是，此功能可能取决于您的 Windows 版本，这是一种耻辱。还有一个问题是，如果您将规则建立在代码签名的基础上，那么对于仅使用 SHA-2 签名的可执行文件，这可能会失败。

还：

请记住：严格来说，我们永远无法判断一个系统是否干净，而我们可以说我们没有找到 任何东西。每一个相反的说法要么是营销人员，要么将迅速淘汰整个 AV 行业。

（来源：我在这里对 SuperUser 的回答）

一个更好的安全网是备份和频繁回滚到已知干净的状态——但这只是我的看法。

商业化的恶意软件不需要特权访问，即使在 Linux、FreeBSD 或 macOS 上也是如此

在超级用户上我写了这个：

还有一件事。许多 Linux（也包括 MacOSX）用户都认为没有特权访问的恶意软件不会伤害您（这也经常被引用为 unixoid 系统“没有”恶意软件的原因，这也是不完全正确）。这与事实相去甚远。虽然这会阻止它建立一个系统范围的据点，但它不会阻止恶意软件从您的个人文件等中窃取数据。安装在您自己的个人资料中的流氓浏览器扩展程序对您的帐户仍然会像可以做的那样危险它到所有帐户。如果您在安装了流氓扩展程序的情况下进行网上银行业务，那么无论您是 root还是joe.

Answer 3

我要打个比方：当我在做爱时非常小心时，我需要安全套吗？是的，你这样做是因为即使你是安全的，即使他或她说他们是安全的，你也不知道所涉及的另一方是。所以你需要使用避孕套/抗病毒吗？当然可以，最好是安全而不是抱歉，因为摆脱病毒非常困难。

请注意，即使使用防病毒软件，即使您是安全的，也可能出现问题！如果您怀疑出现问题，最好从备份中恢复或执行全新安装。

如果我很注意浏览的位置，我真的需要防病毒软件吗？

几个角度看问题

被低估的潜在攻击

错误的结论

AV 不一定会保护你，尤其是纯 AV

破除神话...

结论：你买不到安全

商业化的恶意软件不需要特权访问，即使在 Linux、FreeBSD 或 macOS 上也是如此