江民2013 BETA内测版-深度解析【本帖最后一次更新，第9更-窥探江民2013实时监控机制】

驭龙

本帖因我时间有限，每天只能更新一点点，但绝对是你值得期待的深度解析测评帖。

主楼先爆料几个大家非常关心的问题：

① 关于江民2013的主动防御功能，本次内测版仅是一个半吊子，真正的主防功能被融入到下一代的防火墙之中，让我们一起期待融入全新主动防御的下一代防火墙，早日公测吧。

② 关于江民2013的双引擎，除了本地的常规反病毒引擎之外，另一个新的引擎，经过我个人分析，是江民的自主研发云查杀引擎，目前处于测试阶段，因此，威力如何，只能等正式版以后，才能知道。

③ 现在的情况看，还有一个4.0版本的新引擎，不知它才是新引擎，还是以前的本地引擎，这个引擎具有强大的启发式通用机制，应该很强大。

④ 关于江民2013的架构变化巨大，其中似乎各个功能全部是模块化，这对稳定性是十分重要的，很不错！

⑤ 这里说的模块化不完全是DLL动态链接库的模块化，现在的情况看，江民2013内测版应该是部分功能的DLL动态链接库模块化，并不能达到ESET那种功能的完整模块化DLL动态链接库。内测版的部分功能需要依赖多个DLL，而不是单独的一个DLL动态链接库。

⑥ 这次的内测版应用程序模块，也就是EXE可执行应用程序，已经达到EXE的模块化程度，每一个功能都是拥有独立的EXE可执行应用程序，并不完全依赖于常驻内存的监控进程。也就是说扫描的时候，扫描进程卡死，我们通过方法强行关闭扫描程序，并不会影响到监控进程，EXE的模块化对稳定性，十分重要，这是一个不错的变化！

⑦ 关于KVFW文件夹，本帖47楼兄弟说的固然没有错，但这不代表速智版是个废材，因为通常情况下，反病毒引擎是包含动态启发式分析与静态启发式分析的，某种程度上还是有对付未知病毒的能力，大家大可放心！

⑧ 当然，现在的速智版主防能力，真的是微乎其微，但通过反编译KVFW文件夹的相关文件，可以发现以后有了防火墙的江民，主防是一定不会弱的！

⑨ 不过我的测评不会局限于界面和扫描测试，本帖不做两项测试。


今天是本帖的最后一次更新，也是最重要的一次更新，本次更新的内容是江民2013实时监控机制。

这次的内测版，监控机制没有使用SSDT钩子和SSDT HOOK钩子技术，而是采用了最通用的FSFilter（文件系统筛选）技术，也就是mini Filter驱动调用fltMgr.sys（文件系统筛选管理器）进行实时监控文件的技术。

但是，江民2013的实时监控机制，并没有那么简单，我们在mini Filter 驱动之中是看不到江民的FSFilter驱动文件KVFileGuard


我们之所以在mini Filter之中看不到KVFileGuard.sys，是因为江民2013好像是采用了更先进的技术，直接把KVFileGuard.sys引入fltMgr.sys过滤驱动的附加驱动。


这个情况是我从未见过的，具体情况，我也不清楚，还请真正的技术大牛来详细介绍吧。我的技术很差的，我还会继续学习。

这是江民2013内核线程中的其它驱动文件。


这是江民2013的全部活动驱动文件。


江民2013在系统的内核回调注册信息。


正由于江民2013实时监控机制使用了新实时监控技术，因此这个版本才不会那么卡，流畅性变得很好，实时监控也变得更灵敏了。

PS：驭龙的技术不怎么好，因为我不是学计算机的，现在只是个人爱好而已，因此，如有错误，请各位专业人士不要见笑。


注：以上全部个人分析，如有错误，请各位见谅！

驭龙

2012年8月1日 12:48:55 更新

我们先来了解一下江民的主程序文件夹内的子文件夹概况。

江民主程序文件夹大小


在系统盘Program Files\Jiangmin文件夹下存在Antivirus、Common、Data、Install、Kernel、KVBank、KVFW七个子文件夹，它们的作用是什么呢？


Antivirus文件夹：江民杀毒软件的核心进程以及核心模块等等主程序文件夹。

Common文件夹：整个江民软件的重要部分，包含各个对话框的表皮以及注册信息管理等内容。

Data文件夹：程序的数据存储文件夹，各种日志、注册信息、特征库滚回数据等等，以及对程序的设置信息全部在此文件夹。

Install文件夹：卸载程序的所在文件夹，包含更新功能。

Kernel文件夹：真正的核心，包含本地特征库、反病毒引擎、启发式分析规则等等。

KVBank文件夹：网银专防保护功能的文件夹。

KVFW文件夹：速智版没有防火墙，该文件夹内只存在一些主防的DLL动态链接库和防火墙的过滤驱动。（注：真正的主防需要安装防火墙才能拥有，速智版的主防很薄弱）

========================================================
2012年8月3日 18:39:31 更新

先说一说Antivirus文件夹（江民杀毒软件的核心进程以及核心模块等等主程序文件夹）文件夹下的应用程序！

KvCheat.exe           江民防骗墙的主程序
KVCloudClient.exe     江民云鉴定的主程序
KVCloudPreScan.exe 江民云加速的主程序
KVHistory.exe         江民历史记录主程序
KVInfoBarUI.exe     网站名片的设置程序
KVMonXP.exe         用户进程监控等功能（包含系统托盘功能，常驻内存进程）
KvPad.exe             江民速智版界面程序
KVPreScan.exe       实时监控的加速扫描（加速实时监控性能绕过被云鉴定的文件，常驻内存进程）
KvpViewer.exe        江民进程查看器程序
KVRunDll32.exe       本程序与运行DLL动态链接库有关，具体功能未知
KVSrvXP.exe          江民核心服务主进程（实时监控依赖此进程，常驻内存）
KVTrustMan.exe     江民黑白名单管理器
KVXp.exe              杀毒扫描的核心程序
UploadProcess.exe  更新本地进程的程序
VirusBox.exe          病毒隔离区的主程序
VistaSpiReg.exe      在高于Vista系统上注册信息

再说Common文件夹（整个江民软件的重要部分，包含各个对话框的表皮以及注册信息管理等内容）下的应用程序。

JMReport.exe       江民技术支持反馈程序
KvTrustUI.exe     信任进程的查看器程序
LicenseUI.exe      软件授权信息查看程序
ShowSS.exe         江民说说建议反馈程序
SymCheck.exe      Symbol检测程序


接着说Data文件夹（程序的数据存储文件夹，各种日志、注册信息、特征库滚回数据等等，以及对程序的设置信息全部在此文件夹）下的应用程序。

JMReport.exe       江民技术支持反馈程序


继续说Install文件夹（卸载程序的所在文件夹，包含更新功能）

KVOL.exe           江民的更新主程序
SetUp.exe          江民的安装和卸载主程序


然后说Kernel文件夹（真正的核心，包含本地特征库、反病毒引擎、启发式分析规则等等）下的应用程序。

KVFix.exe            清理威胁时修复系统或文件的程序
WhiteListMgr.exe   写入列表管理器主程序


最后说KVBank文件夹（网银专防保护功能的文件夹）下的唯一应用程序KvBankUI.exe江民网银专防功能的主界面


另外说一下，本次内侧的速智版没有防火墙程序，因此，KVFW文件夹下没有应用程序。

驭龙

2012年8月2日 07:55:54 更新

现在来说一说江民2013的特色功能：

① 网站名片功能，可以分析所访问的网站的流量，以及各种相关信息，并且可以防止误入假网站。


② 网银专防功能，分为四个新功能，其中的U-Key功能十分突出，可以防止病毒穿U盾，这是相当不错的功能，对于网购用户来说真的很好。


③ 防骗墙功能，可以防止虚假信息等等，保护用户不会上当受骗。


④ 云加速功能，分析本地系统的文件路径、MD5、文件名、应用功能等等信息，与江民云安全中心的私有云服务器的数据对比，如果信息匹配，杀毒软件将不对该文件进行扫描，提升系统性能。如果文件被修改或感染，与云端服务器信息不匹配，杀毒软件将重新扫描文件。

lmsa613

前排占座 等待楼主更新

释然的心

很期待~
希望新江民能给力翻身:13:]

happywangxl

等待LZ的测试

超现实主义

      拭目以待！

wwqq

没申请成功，前来支持～！

billgates1996

占位支持驭龙大哥~

esetavnod32

拭目以待，期待新亮点