关于小a的加强模式，用小a也请不要胡说去误导他人，请给我正名！

水墨静音

avast!的加强模式是有点类似于非白即黑的白名单拦截模式（即未知文件拦截模式），但由于其数据库名单非常不完善，即使采用中等误报率也很大，加强模式并非是HIPS单步分析行为的拦截，我想这点熟悉小a的人应该非常清楚。

由于它的误报率，经常一些常用的国内外软件都会拦截，卡饭也出现过加强模式连小a自己的文件都拦截的情况。

我从播放器时代就开始用小a，说点加强模式的事实就被小白NC粉说成对小a乱黑一通？

我先总结下此人反驳我的几个观点，可以说每个观点都是谬论。

观点1：小a的加强模式从来没有误报过任何一款正常软件

观点2：小a的加强模式是针对敏感操作的。只要软件没有篡改系统的行为，加强模式就不会拦截。

观点3：加强模式如果不是行为分析，怎么可能会有中等或激进的敏感度调节

观点4：游戏安装包双击，安装前被小a加强模式拦截，（已经被vm001确认是安装程序是白的，是正常5008游戏安装包），因为此人观点1撂下小a加强模式从来不误报，因此在此程序还未运行就被小a加强模式拦截的情况下，硬坳，反驳道这个程序有两个恶意行为：1安装程序，2隐藏自身界面（实际安装程序并无此行为），所以他的行为是下载者木马病毒，所以小a加强模式拦截。

好了
样本区某可疑安装程序：htp://www.game5008.com/DownURL.aspx?fileRpath=/down/5008GameLobby.exe   （已经确认为误报程序，大家可随便安装，看程序到底有没有隐藏自身界面，对了，按照此人观点，这个程序是一个安装包，也属于一个恶意行为）

事情起因就是这个安装程序，本来是个可疑样本，后被确认为正常的5008游戏安装文件。
没几个杀软报，然后小a加强模式拦截（安装前拦截程序包），然后我回复加强模式误报太多，没意义发图。引来此人说加强模式从来不会误报正常软件，加强模式只拦截篡改系统敏感项行为的软件，只要软件没这些行为，加强模式就不会拦截。然后我反驳加强模式根本不是HIPS单步行为分析，又引来此人观点3。之后这个安装包确认为误报，活生生打脸此人观点1，引来此人观点4胡说八道。最后把一堆乱黑小a，无知，对小a没常识，丢人现眼的帽子扣到我头上了。
以上。
我这辈子也头一次听到一个程序是安装程序，也算是一个恶意行为，哈哈哈哈哈哈哈哈，笑死我了





还有，请@BFAX 对你那些加强模式从不会误报正常软件、加强模式只拦截篡改系统的敏感行为等误导论坛小白等的观点，以及对本人抹黑的行为道歉。

不得不说楼主很搞笑逮住小A一阵乱黑，我都被楼主逗乐了:

不知道楼主是哪里来的小孩子，一点常识都没有还学别人打脸，2333别丢人现眼了

我也给楼主一耳瓜子吧，无论是不是恶意软件，这个软件有两个行为:1.安装程序2.隐藏自身产生的某个或某几个界面，这种行为十分类似当年沸沸扬扬的下载者木马

我欢迎讨论，但不欢迎完全罔顾事实，自说自话，胡说八道的讨论，我欢迎小a的用户，因为我本身也是一个忠实小a的用户，但我不欢迎把一个功能神话地完全跟事实不符，不允许任何人以事实评论小a的NC粉用户

水墨静音

既然有人放出了avast官方对加强模式和deepscreen运作方式的解释，那我就完整翻译下，让不明真相的人看看好了。
剧情也算是大反转，官方解释一出，生龙活虎胡诌乱编的终于消停了....还大家真相~
官方解释网址：https://support.business.avast.com/hc/en-us/articles/206435345-About-DeepScreen-Hardened-Mode

The two features share some “overlapping” functions and therefore there is no reason to turn them both on at the same time (if you do, the Hardened Mode will always prevail over the DeepScreen).
Simply put, the Hardened Mode is a means of “parental control” for executable files
When enabled, it is always running in the background and checking every process launched on the machine. The evaluation of files is based on their reputation coming from the cloud (controlled by the VLab).
•In the Aggressive Hardened Mode, only chosen executable files with known high ratings are allowed; the rest gets prevented from running.
•On the other hand, the Moderate Hardened Mode blocks only files which have bad ratings (and those which have no ratings at all, due to being new).

加强模式和DS有一些共同特征，所以两者无法同时运行（如果你要这么做，加强模式也永远优先于DS）
简单来说，加强模式是一种可执行文件的来源控制。
加强模式启用后，会在后台检查在机器中运行的每个进程，文件的运行判断基于云信誉。（由VLab实验室控制）
在激进模式下，只有那些高信誉的文件允许被运行，其余所有文件将被阻止运行。
另一方面，中等模式依靠其不良信誉去拦截文件（以及拦截那些还没有信誉信息的新文件）

The DeepScreen, when active, works similarly in the background and checks all the executable files being launched. It also works with the cloud data about their reputations.

However, unlike the Hardened Mode, this tool is also capable of running a file which has no rating (or insufficient number of ratings – usually below 20-50, depending on the file) in the sandbox to test its behavior (compare it with malicious patterns) and then decide whether to allow or block it.

Thus:
•all files with known good or average ratings are automatically allowed;
•all files with known bad ratings are automatically blocked as malware (even if they are not in the VPS yet and therefore not blocked by the webshield) and the data on such incidents are sent to the VLab (to include in the VPS, if appropriate);
•lastly, files which are “unknown” or “not known well enough” are tested in the sandbox, allowed or blocked accordingly, and the rating resulting from the DeepScreen testing gets added to the cloud of reputations.

当DeepScreen运行时，同样在后台检查被加载的可执行文件，DS的运行同样基于这些文件的云信誉。但是，跟加强模式不同的是，DS可以在沙箱环境中运行那些没有信誉的新文件（或信誉值低的文件，通常信誉值在20~50，取决于文件的不同）来测试这些文件的行为，之后再决定是否允许其运行或拦截。

因此
所有高信誉文件或平均信誉值的文件将会被允许运行
所有低信誉的文件将会被作为恶意软件拦截，其数据将被发送到VLab
最后，那些未知文件或流行度不高的文件将会在沙盒中运行，根据情况放行或拦截，其结果将由DS加入云信誉数据中。
----------------------------------------------------------------------------------------------------------------------------------------------
整篇下来我给大家总结下
即，加强模式完全靠云信誉拦截
中等模式：不良信誉和没有信誉信息的新文件会被拦截
激进模式：只允许运行信誉高的文件，其余文件将被拦截

另外关于DS，我想，用过小a的应该是很清楚了，之前小a的DS如果要启用，双击文件后，会弹出正在分析（而不是拦截），通常DS弹窗出来后要转圈，等个几十秒甚至一分钟，最后才会出来DS的分析结果。（顺便说下，现在的小a已经没有本地DS了）


可以看到，加强模式本身没有任何行为分析和拦截的功能，所以之前qftest在那声称加强模式检测到了软件异常动作，不是在鬼扯是什么？还编造一堆根据官方对加强模式的解释，根据某某官人对加强模式的解释，来给自己胡说的加强模式可以检测行为的说法找论据，被驭龙亲自打脸加强模式不是行为后好像自己很高尚，懒得争论一样，难道不对自己的胡诌道歉？我坚持真相，给大家普及真相反倒要讽刺我。


与其认定自己所认定的在那鬼扯误导别人，不如承认下真相，让更多人知道如何？

星云劫

http://bbs.kafan.cn/thread-1962880-1-1.html 支持楼主。话说小A版区的这个帖子都没有人去看的吗？  加强模式，小a将只运行被小a确认为安全的东西，其他文件都将被封锁。无论是否有风险。

小a通过使用我们的国际检测网络，将会只允许运行那些已被认为是安全的文件，其他文件被锁定不允许运行。

水墨静音

星云劫 发表于 2016-8-2 11:48
http://bbs.kafan.cn/thread-1962880-1-1.html 支持楼主。话说小A版区的这个帖子都没有人去看的吗？  加强模式，小a将只运 ...

没错~
就是我所说的，类似于非白即黑的拦截模式（未知文件拦截），跟行为分析无关。

但是被人硬说成是，加强模式从来不会误报正常软件，加强模式是拦截篡改系统项的行为拦截，而且把exe安装文件也说成是恶意行为之一

我反倒被扣上对小a乱黑一通，无知地对小a一点常识没有。

这种颠倒黑白还要把黑小a的名字扣我头上的黑锅我可不背。

巍巍泰航

小a的主防还是算了吧，感觉官方对主防的研发并不上心

水墨静音

巍巍泰航 发表于 2016-8-2 12:09
小a的主防还是算了吧，感觉官方对主防的研发并不上心

本帖讨论的是加强模式~并非小a的单步HIPS，也不是小a原来的deepscreen

猥琐大叔

他连我的手心输入法 百度输入法都报毒，这个加强模式误报很多正常文件

qftest

讲道理，小a这个增强模式有两档开关，一个是“中等”一个是“激进”，需要区别开来看
据我所知，中等会检查目标是否存在恶意行为特征，只要存在疑似恶意的行为就阻止运行，我个人将之理解为“最高敏感度的基础行为分析”；而“激进”就完全是非白即黑，没有任何行为分析，直接查询云端白名单，不在该名单内的就阻止运行
一家之言仅供参考。。

水墨静音

qftest 发表于 2016-8-2 12:54
讲道理，小a这个增强模式有两档开关，一个是“中等”一个是“激进”，需要区别开来看
据我所知，中等会检 ...

敢问

在一个安装包还未安装，仅双击此exe就立马拦截不让安装的情况下，小a的中等加强模式，是如何分析这个exe的恶意行为的。还是说，你也认同此人因为是安装包，所以也算一个恶意行为的观点？（此人很明显是用的中等模式就把exe安装前就拦截了）

驭龙

qftest 发表于 2016-8-2 12:54
讲道理，小a这个增强模式有两档开关，一个是“中等”一个是“激进”，需要区别开来看
据我所知，中等会检 ...

没意思，编辑掉，不关我的事

pal家族

有的 大人 比较喜欢教育别人，这样很可笑，类似于未成年的心理，太不成熟。不管是非对错都是不可取的。




诶诶，说道小a
其实你们都说我是一个坚定的卡巴党，不过你们不知道的是，我用的第一款外国杀软，其实是小A哦！
当时小a可流畅了，我也很喜欢 当当当！
不过，后来小a就开始疯狂误报了，根本没法上网，，，，我又不想为此关闭一个好的功能，就只好忍痛割爱了。

一段时间之后，冒出来了68三年的卡巴，我想起来了当年的avp。。。那是家里人的办公电脑，我只偷偷把玩过
就入了卡巴坑

之后，诺顿 趋势 伞，，，，雨露均沾，真是一段美好的回忆