谁说小A网页防护不扫迅雷HTTP下载？

brynhild.ran

     虽然这是网络，但卡饭好歹也是一个以技术交流、理性沟通为基础的地方。互助分享、大气谦和。因此，在下结论前还是要为言论负责的。即使没人追究你，也不会被跨省，但这至少是一种做人的态度。      补充：7.0的更牛X了，详情参见LZ对7.0的相同测试

     说小A网页防护不扫迅雷的HTTP下载？ 我不知道做过相关考证没？还是信口开河凭经验？凭想象？凭人云亦云？

     至少我下面发的内容是经过自己考证的，并且有图有真相。

     我并不是专家，HTTP下载的专业解释我做不出来，通过GOOGLE、维基，多少有点认识。下面我会把考证过程经可能的详细阐述。

   
                          -----------------------------------------------------------------------------------------------

考证方式：

·观察迅雷进程：THUNDERPLATFORM.EXE 在下载过程中是否有链接12080端口进站。

·在毒区找两个样本，并提取下载链接。启动迅雷，复制下载链接，双击下载，观察网页防护是否报警，观察报警内容。



实验1：

毒区样本贴链接：http://bbs.kafan.cn/thread-1164489-1-1.html

结果，迅雷运行下载后，网页防护弹窗报毒。

对象：样本链接
进程：迅雷下载进程【THUNDERPLATFORM.EXE】




实验2：


毒区样本贴链接：http://bbs.kafan.cn/thread-1164405-1-1.html

结果，迅雷运行下载后，网页防护弹窗报毒。

对象：样本链接
进程：迅雷下载进程【THUNDERPLATFORM.EXE】


实验3：

在软件下载区找了个大概20MB的干净下载样本:http://bbs.kafan.cn/thread-1109730-1-1.html

CHROME提取下载链接，复制到迅雷，建立下载任务，运行并用OP墙观察迅雷进程进站链接情况。

样本下载链接：


迅雷下载过程中，OP墙进站链接实况：




考证结论：小A网页防护支持对迅雷HTTP下载进行扫描。

风葶云

LZ值得表扬~

zarkfair

支持楼主...

http扫描要在协议层或更低层扫描，不管是什么程序，只要从特定的端口出入站都会被扫描...

其实不少人都没理解网页防护和通信扫描甚至是浏览器插件的区别...其实单纯从各个杀软的组件命名来说确实不易让普通人理解

lh9135

支持楼主科普

yeow5243

只是提示，拦截不到，样本照样下载到磁盘。

brynhild.ran

yeow5243 发表于 2011-12-19 19:36
只是提示，拦截不到，样本照样下载到磁盘。

是指扩展名为：.td.cfg的文件吗？那是迅雷占位文件

yeow5243

brynhild.ran 发表于 2011-12-19 20:00
是指扩展名为：.td.cfg的文件吗？那是迅雷占位文件

完整的压缩格式，还能解压，迅雷在沙盘运行

另外，实机idm下载，还是一样，提示有毒，但不能终止样本下载。

brynhild.ran

yeow5243 发表于 2011-12-19 20:30
完整的压缩格式，还能解压，迅雷在沙盘运行

另外，实机idm下载，还是一样，提示有毒，但不能终止样本下 ...

不可能，我刚刚又测试了几次。都成功拦截，下载目录就剩个不完整的·TD文件

brynhild.ran

yeow5243 发表于 2011-12-19 20:30
完整的压缩格式，还能解压，迅雷在沙盘运行

另外，实机idm下载，还是一样，提示有毒，但不能终止样本下 ...

刚刚再去毒区弄了两样本来截图


样本1：

迅雷还没来得及建立本地占位文件就被网页防护报了



样本2：

下载途中网页防护报毒，迅雷下载失败，文件夹就剩.TD零时文件

xuewujianlee

谢谢楼主的分析