防病毒替代品，可确保自身安全

#1 楼

防病毒软件更危险，因为它可以在高度特权的上下文中解析由攻击者控制的复杂数据。这是特权升级漏洞的秘诀。结果，老练的攻击者经常可以滥用防病毒程序来获得SYSTEM特权。这不是罕见的事件，也不只是强大政府的敌人面临的问题。视听软件充斥着特权升级漏洞。快速浏览一下任何流行软件的CVE列表中的漏洞的严重性，将至少使您对问题的范围有一点了解。您自己的威胁模型。一个人的情况可能表明AV有害，而另一个人的情况可能表明AV是有益的。能够理解适用于您的风险以及您所拥有的对手对于做出任何与安全相关的决定至关重要，尤其是诸如此类的决定，而这些决定不一定是黑白的。
AV可能是在以下情况下非常有用：


很容易被愚弄而安装恶意软件的人使用计算机。 -提交的数据可能会重新分发给其他人。


您下载了许多不可信的程序，例如warez。


AV可能有害在以下情况下：


您的对手至少是中等熟练的或特别针对您的。


您是计算机的唯一用户并且不要下载未签名的程序。


您可以使软件保持最新状态，并且不希望别人在您身上消耗0天。威胁模型决定了是否应使用AV软件。我个人的建议是，假设您不打算下载随机的海豚屏幕保护程序，并且使软件保持最新，则可能要使用简单的默认程序（例如Windows Defender），并且仅在明确需要时使用它。每次您要求它扫描硬盘时，您都尽心尽力让它不受可能偶然发现的任何特制恶意软件的破坏。如果相反，如果您在执行特定的下载程序之前就使用它，则可以大大降低风险。仅来自官方来源的受信任的经过签名的可执行文件。这对于希望以管理员身份运行的文件尤为重要，因为这些文件最有可能损坏您的安装。确保它们已签名！永远不要以为自己的意志足以防止您在运行新程序时犯错误。这是特洛伊木马程序开发人员所依赖的！这将确保任何恶意软件都需要具有由受信任的CA签名的有效签名。虽然显然可以对恶意文件进行签名，但要困难得多，并且如果您是特定目标而不是仅是机会主义的受害者，这将更成问题。
如果进一步限制该策略，以便仅由Microsoft自己签名的可执行文件（而不仅仅是Microsoft信任的CA），则可以有效消除木马病毒感染的可能性。在这种情况下，使程序执行的唯一方法是利用操作系统中的0day，或者破坏Microsoft的内部签名密钥（这两个密钥都属于高级状态支持参与者的功能范围）。这可以帮助防止极少数（但不是不存在）恶意代码滑入受信任开发人员的存储库中的情况。
系统加固
在Windows 10之前的系统上，您可以使用增强型缓解体验工具包（EMET）来增强系统的安全性，而又不会显着增加攻击表面积，不过请注意，EMET将不再接受更新。 EMET的工作原理是注入带有可增强其抵抗利用能力的代码的进程，从而增加了利用尝试会导致目标应用程序崩溃而不是被成功利用的机会。如果您使用的是Windows 10，则其中的大多数安全功能都是本机提供的。尽管它可能存在潜在的隐私问题，这仍使其成为最安全的Windows版本。
您还可以禁用不必要的服务（尤其是网络服务，例如被EternalBlue利用的那些服务），使用AppLocker并阅读安全性Microsoft提供的指南，可帮助您进一步提高系统的安全性。系统强化的主题非常广泛。

#2 楼

这是事实，而不是事实，但答案是肯定的“也许！”。

暂时让我们将范围缩小到Windows，因为它是周围最大的防病毒市场。 br /> Windows Defender（默认的Microsoft AV）非常好； Windows Defender确实可以防御大多数（但不是全部！）威胁。但这就是问题所在，没有AV能够抵御所有威胁。您仍然必须依靠常识和其他一些保护措施。的受害者，它仍在发生。
今年，我们看到一些AV实际上搞乱了为Meltdown和Spectre修补的Windows更新。带有AV的OS，并确保一切正常（希望如此！）。

使用Windows Defender虽然不是最终解决方案，但是您仍然应该：


备份，备份，而我忘了告诉您返回向上！勒索软件仍然很普遍，拥有良好的备份策略是避免成为受害者的唯一真实方法。备份到异地位置，然后再进行版本控制-我使用Dropbox！正确执行此操作，以使勒索软件也不会加密您的备份。
确保您的软件是最新的，并且不要安装过多的垃圾。您计算机上的应用程序越多，其中一个应用程序越可能被破坏。拥有笔记本电脑后立即刷新Windows，删除所有过时的软件，并确保下载的所有内容均已自动更新-也不要从狡猾的供应商那里下载软件。
在浏览器中使用NoScript / Ad Blocker，使用Javascript进行操作的加密矿工赚的钱比您预期的要少，但是仍然存在。 ！
使用非管理员用户作为默认用户-创建一个单独的非管理员用户，并将其用于日常使用。

为了绝对安全，请断开计算机与Internet的连接，然后隐藏在洞穴！ :)

#3 楼

作为经常与AV对抗的人，我可以说他们都很烂。很多事情取决于安全级别，而您是否可以舒适地生活。

知识就是力量
我建议的第一个工具是教育。知道您要去的网站是一个很大的帮助。避免使用不受信任的站点。这包括流媒体网站和洪流。必须安装操作系统补丁，并及时了解最新的威胁，禁用闪存。我在强迫组织使用noscript等方面遇到的问题是，用户最终只会单击启用全部。

使用保存状态的VM
作为替代，我喜欢方便地使用VM来测试文件。您可以将大部分操作系统保留在VM中。我在一个网络中工作，我们都在虚拟机中工作，当它们起作用时，单击“还原”并完成。

Deepfreeze
多年前，我在我们的大学中使用过Deepfreeze，这非常好。您可以对其进行设置，并且您的操作系统每次都会恢复为原始状态。我启动了petya蠕虫，让它对磁盘进行加密，然后重新启动计算机，什么也没做。优秀的工具！

单独的网络
我在家为“来宾”保留单独的网络。他们可以携带自己的东西，而我不必担心它会进入我的网络。

拥有更安全的操作系统
我真的不喜欢使用Windows，因为我觉得它一口气就能执行所有操作。显然，这绝不是完美的，因为OSX和Linux一直都在被黑客入侵，但是我觉得拥有可以控制的东西真是不错。您可以禁用宏，仍然可以从其中的一些漏洞中获取代码执行。

我会想到更多。

最终，没有什么是完美的。但是这些东西可以帮忙。

#4 楼

杀毒软件很好-它的“我们拥有什么”

别指望它能保护您免受一切侵害-什么也做不到。否则，如果您想在没有AV的情况下保护自己，则将不得不跳很多圈来加固计算机。


应用程序白名单
检查操作系统修补程序
>禁用宏DDE
对系统上的所有应用程序进行定期修补
为每个与CVE绑定的应用程序提供一个提要
采用精简配置的Sysmon
将桌面与受信任的系统隔离开并且不受信任。例如，VM中的浏览器会话和电子邮件无法访问另一个包含银行详细信息的访问。每次会话后拆下不受信任的VM

#5 楼

我同意使用Windows的Defender，但我认为，尽管您已读过本文，但良好的（阅读：信誉良好的消息来源给予高度评价）AV程序是安全的选择。除了已经提出的建议（除了洞穴住宅），我认为将SpyBot添加到您的武器库是一个好主意。 https://www.safer-networking.org/private/compare/它不会与任何AV程序冲突，并且会增加系统安全性。您可以获取免费版本，该版本有一些限制，以便进行检查。但是，如果您觉得自己想要更多功能，则可以购买家庭版或专业版。仅供参考，免费版本必须手动更新。付费版本会自动执行。 SpyBot使您的系统免疫https://www.safer-networking.org/features/immunization/，并扫描并修复恶意软件和rootkit。

关于备份，备份，备份等。 ，我还建议您在每次对系统进行重大更改时都设置“还原点”。暴涨。当时我不很担心备份数据，但是经过一些油炸的硬盘驱动器后，我已经吸取了教训。已经完成了，但是我觉得应该提一下。

我没有森​​林那么多的经验，但是经过20多年的努力，我已经通过遵循我的方式来避免恶意软件建议。

#6 楼

AV只是使用Windows的任何人都应部署的许多安全层之一。用户只需要记住，就没有100％有效的防病毒软件，这不是万灵丹。而且大多数时候这样的新闻都是FUD，甚至您引用了Daily Mail，按任何标准这都是垃圾。因为AV本身就被破坏了。
如果您反对一个主权国家，并且您已经失去了自己的视力，则应该只担心AV受到破坏。

#7 楼

以下所有可互换的可能性可能首先降低了感染病毒的机会。


始终更新和升级您的OS和应用程序。
使用防火墙。 />没有互联网。
没有USB。
基于Unix的操作系统（Mac OS或Linux发行版）。
定期更新，高度开发的互联网浏览器（Chrome或Edge）。

#8 楼

选项1）您可以考虑将尽可能多的计算机迁移到Linux。如果这是不可能的，那么请至少将一些关键计算机迁移到linux。

选项2）如果在某些计算机上可能只需要Windows，则可以将linux部署为hostOS，然后使用rdesktop登录进入瘦的Windows客户端计算机；否则，您可以使用Windows VM执行某些任务，而其余任务则使用Linux主机。

选项3）在无法使用选项1或2的计算机上，然后将所有上述方法，如其他答案中所述。

#9 楼

今天，防病毒比过去复杂得多，它可以涵盖很多方面，例如：

文件防病毒
电子邮件保护
网络保护
应用程序启动控制
防火墙策略
Web策略–限制和记录用户活动
密码管理
数据加密
进程探索
管理控制台对于上述所有内容，我个人都不使用防病毒软件（但我建议所有普通用户都使用一种防病毒软件），因为我使用了大量会触发警报的文件和工具，为了做到这一点，从理论上讲，以上内容应该用其他方式涵盖。
[文件]
了解自己的文件在OS中非常重要。过去非常简单-直到XP时代，许多人最终才知道OS文件夹中是否必须存在文件。现在事情变得更加复杂，操作系统可以拥有成千上万个无法手动处理的文件。因此，我们将不得不使用备用工具来检测未经授权的更改。有一些工具可以执行此操作，并且如果更改了目标文件，则会触发更改。保护操作系统和其他类似的关键文件的工作正常。任何未经授权的更改都可能产生更改，甚至更改+撤消该操作的可能性。在电子邮件方面比任何安全工具都重要。如果培训了用户不要单击链接和打开来自不受信任来源的附件，那么与过滤工具相比，该部分的覆盖方式会更好，无论如何，过滤工具都会使很多危险内容通过。当然，默认情况下通过电子邮件系统拒绝危险的扩展也很有帮助。我的结论很简单：用户培训比电子邮件过滤更重要。
[网络]
在网络端，有许多工具可以执行监视，入侵检测，共享访问检测。这些工具无法抵御使用漏洞的高级攻击。一个好的防病毒软件可以解决这个问题，但是很难解决。如果可能的话，我宁愿让防病毒软件来管理这部分。从UAC之类的基础知识开始，到以控制和监视程序启动后可以执行的操作的工具结束，您可以很好地涵盖这一方面。以及使用那个。尽管防病毒软件可以通过自己的策略来控制它，但实际上是一回事：如果您进行了正确的配置，则在两种情况下都可以使用：是在OS防火墙中还是在防病毒防火墙中。 br /> [Web]
这是反病毒软件可以提供很多帮助的领域；一个好的防病毒软件已经将数据库列入黑名单，可以实时扫描在加载网站时对其进行过滤的功能。要在没有任何防病毒功能的情况下解决此问题，可能会非常困难且耗时。我认为任何普通用户都不会在其浏览器上保留配置的黑名单。而且由于浏览器有很多漏洞和利用，所以这是我宁愿让防病毒程序覆盖的一部分。像电子邮件一样，培训可以帮助您覆盖其他部分。无需打开严格已知和需要的页面，没有问题。对于像g00gle这样的大型网站，它极不可能发生。一些防病毒解决方案也可以涵盖它。
[加密]
在许多情况下，对敏感数据进行加密非常重要，某些防病毒解决方案对此提供了支持。但这不是问题，如今的OS可以做到，并且非常好的通用工具（如TrueCrypt和VeraCrypt）可以在容器级别和系统级别都可以做到。防病毒解决方案将具有良好的过程监控，并立即发现异常情况和不良的过程行为。但是也有一些工具可以涵盖这一方面。甚至旧的流程浏览器也可能足以发现一个不好的流程，然后您可以终止它。一切。你这样做吗？当然有可能。单独控制事物可能会变得困难且耗时。我使用改良的高级文件管理器来集中上述各个方面的命令和控制。我可以直接从中启动所需的任何内容，而无需使用操作系统自己的UI或功能。即使OS UI或OS自身的shell关闭，该shell也可以工作。如果某些操作系统出现问题，这将使其很好并且可行。
根据特定的情况/情况，您可能希望使用上述某些甚至全部方法。

#10 楼

您对防病毒软件的局限性和可能增加的风险非常正确。它不仅是计算机上最大的软件组件，会导致I / O缓慢，从而导致整体运行缓慢，而且建立一个包含所有恶意软件的日益庞大的数据库的概念存在缺陷，因为在恶意软件被发现后，它始终充其量可以追赶发布并发现。

还应该提到，防病毒软件主要扫描I / O，以防止将任何恶意软件转移到永久存储或从永久存储转移。防病毒软件不会扫描网络连接或其他非文件I / O来源的软件漏洞。漏洞利用可以通过网络连接进入，利用一些正在运行的软件，现在可以在系统上执行代码。然后，该代码可以禁用防病毒软件，然后继续将其自身安装在系统上。

您的Web浏览器是一款庞大而复杂的软件，鉴于其广泛使用，它可能是最大的攻击即使不使用插件，也不下载随机软件的用户也可以使用矢量。不幸的是，对于当前符合标准的浏览器，实际上只有四种代码库可供选择。 Microsoft的Internet Explorer，Microsoft的Edge，基于Mozilla或Gecko的开源浏览器（Firefox和许多其他浏览器）以及开源WebKit / Blink浏览器（Konqueror，Safari，Chromium）。 Opera无法跟上Java脚本，而转而使用Blink作为其渲染引擎。

如果Java脚本还没有足够大的攻击面和安全问题，那么正在开发一种名为WebAssembly的新型Java脚本。现在已添加到FireFox。考虑像这样在FireFox中禁用它：转到about：config，然后设置javascript.options.wasm = false。

其他人提到使用防火墙或未启用不必要的系统服务，因此我将提及其他东西。

编辑：有不同类型的攻击。有些攻击是针对目标的，而另一些则是旨在针对大量系统的通用攻击。某些安全措施对于防止一般攻击非常有效，但对于阻止定向攻击却无济于事。其他方法可以抵御一般攻击和典型的定向攻击，但是无法抵御那些愿意分析您的特定配置并花时间弄清楚如何进行攻击的攻击者的直接攻击。通常，在应用程序开发过程中，较小的代码库和对安全性的强调会减少程序中的安全漏洞。如果程序是开源的，并且很流行，则将发现大量漏洞，并最终予以报告或公开。这样可以减少程序中的所有安全漏洞，但是在大多数情况下，由于公众发现和发现漏洞的频率更高，因此增加了使用程序的风险。另一方面，由于该程序的受欢迎程度和补丁程序所导致的漏洞数量减少，这意味着故意搜索代码以发现新漏洞的人获得的成功将会较少。总而言之，如果存在一个漏洞但未被任何人知道，则该漏洞在被发现之前将保持无害。因此，增加软件的普及度和发现错误是有利弊的。

关于应用程序版本：很少谈论此版本。通常，为了成功利用漏洞，必须知道程序和操作系统的确切版本。不幸的是，每次连接到站点时，您的Web浏览器都会报告其确切版本以及所使用的操作系统。考虑在浏览器和任何其他显示太多有关其自身信息的应用程序中更改UserAgent。

使用操作系统的用户级别安全性。使用不是管理员帐户的受限用户帐户（最好与常规用户帐户不同）运行浏览器。仅此一项就提供了比任何防病毒软件更高的安全性。请记住，这种方法的效果取决于您的操作系统。在Windows上，即使会话中与其他窗口一起运行的受限制程序也可以监视所有键盘输入，专门的全屏系统密码输入窗口除外。使用X Window系统的* nix上的客户端也可以监视键盘输入。

确保启用DEP和ASLR。 Windows可能不会为非Windows程序启用DEP（非可执行内存），以防止由于兼容性问题而导致崩溃。对所有内容启用DEP，并根据需要免除崩溃的程序。可以使用WehnTrust将ASLR添加到Windows NT5版本中（https://archive.codeplex.com/?p=wehntrust掩埋在其中的安装程序）。使用晦涩的操作系统。 Windows，OS X和Linux变得相当流行。仍然有其他选择，例如BSD和Solaris。如果将浏览器或其他应用程序配置为依赖其操作系统，则攻击者可能会尝试利用您的应用程序，并导致其崩溃而不起作用。编辑：如上所述，这取决于情况。与BSD相比，在2004年左右，Linux中发现的安全漏洞数量大大增加，在此之前，发现的漏洞数量是相似的。我相信这是由于与BSD相比Linux越来越受欢迎。 BSD和Linux都可能包含大量漏洞，但由于BSD缺乏普及性，因此其安全性似乎要高得多，导致公开发现的漏洞少得多。根据DEF CON 25-Ilja van Sprundel的介绍，对BSD内核源代码的分析揭示了许多漏洞。我仍然坚持我所说的，运行晦涩的操作系统更加安全。但是，如果您是某人愿意花费大量时间分析晦涩的配置的定向攻击的目标，那么您的安全性就会降低！不要忽视嵌入式系统！您的wifi芯片具有CPU和固件！您的防病毒软件无法阻止嵌入式系统受到恶意软件的攻击。 Wifi芯片组具有自己的CPU和固件，因此可以受到远程攻击。在2017年夏天，他们在Defcon上展示了Broadcom wifi芯片组中的远程缓冲区溢出漏洞！该演示不仅改变了Broadcom固件中的功能调用，而且使它发送了“自有”数据包，但是这种利用可以完全取代wifi芯片组固件。 Broadcom用于许多智能手机和Apple产品！有人可以对您的系统内存进行DMA，然后使用正常wifi频谱之外的通道将数据发送回去。他们还可以写入您的RAM并安装root套件，同时绕过所有内容。他们还可以直接写入计算机的系统管理模式内存。由于芯片组可以锁定SMM内存（CPU处于SMM时除外），因此任何内存扫描都无法检测到它。拥有多少安全程序或计算机拥有多少虚拟机都没有关系。这是对环0 / -1 / -2的直接攻击！！！那里没有防病毒软件或其他软件可以检测到这种攻击。对于熟悉嵌入式系统开发的人来说，为其编写恶意软件并不比在常规计算机操作系统上难得多。

编辑：我对我的回答有很多否定的回答，但是请记住，最初的问题是关于防病毒的替代品，任何有知识的IT安全人员都知道正确无用的防病毒有时可能无效。因此，我的一些建议（例如使用晦涩的操作系统）实际上与防病毒功能一样，这使病毒编写者修改其恶意软件以避开该防病毒软件。我提供的安全解决方案效率不高，而不是基于数据库的防病毒软件，效果更差！