Panda 09的三档启发【自问自答】

显示全部楼层 · 发表于 2009-1-3 23:28:07

这几天讨论熊猫的话题比较多，印象中有人说熊猫监控没有启发，还有人说下面第二幅图中的是扫描启发...

上图是扫描设置里的，打勾的话表示开启启发，而下图是未知病毒防御的设置选项里的，也有一个启发设置，从字面意义上翻译为“启发式扫描”，这里的启发跟上面的有什么不同？这个应该不是扫描启发吧？？？

在此请教这两处启发有何不同?
还有2个问题:
1.TP也参与扫描吗？如果把TP关了，再扫描的话会不会使检出率下降？
2.这个“protection against unknown threats”选项卡中的设置选项全部仅针对监控吗？

=======================================================

本来不想下毒包测试的，后天就要考试了，不想浪费时间，不过最后还是又忍不住自己测试一下

还是上次的73个毒，

虚拟机断网，
关闭第二幅图中的启发，解压缩病毒包，然后进入文件夹，稍等一会，等熊猫不提示后，这时剩余65个
把第二幅图中的TP打开，然后把第一幅图中的启发关闭，然后扫描样本，还是剩余65个，（这一步我的想法是测试TP是否参与扫描，结果似乎表明TP不参与扫描，也可能是样本的问题，单凭这个测试说服力似乎还还不够，根据帖子http://bbs.kafan.cn/thread-417929-1-1.html官方的说明，最终证明熊猫的TP是不参与扫描的）

把这65个毒重新打包，命名为1.rar，删除解压后的文件
打开第二幅图中的启发，解压缩1.rar，剩余53个文件，由此可见第二幅图中的启发是监控启发，熊猫的监控是有启发的

然后打开第一幅图中的启发，用右键扫描包含这53个文件的文件夹，扫描结束后剩余24个文件，由此可见第一幅图中的启发是扫描启发，而且比监控的启发更灵敏(注意此扫描是在断网条件下进行)
把这24个文件重新打包，命名为2.rar

然后联网扫描，文件夹内还剩2个。说明只有联网才可以开启云启发，而且云启发的灵敏度更高。

联网状态重新解压缩2.rar，还是剩余24个，说明熊猫的云启发只针对扫描不针对监控。

然后断网，右键扫描改文件夹，最后剩余2个文件！

这说明有2种可能情况：
1.熊猫对已被云启发出来的文件有“记忆”功能
2.在联网开启云启发后，再断网，云启发仍然出于开启状态，似乎是一个BUG

为了排除第二种可能，特做如下测试：
把刚才24个文件中被云启发报的22挑出来，分成2部分，一部分10个另一部分12个，分别打包

虚拟机回滚到上一状态，
联网，解压缩前10个，右键扫描，全部被启发了出来，
断网，再次解压前10个，右键扫描，全部被启发了出来，
再解压另12个，右键扫描，没有被启发出来，说明是是第一种情况——熊猫对已被云启发出来的文件有“记忆”功能，或者说熊猫已经在本地生成了一份相应的黑白名单。

这个结论也证实了熊猫云启发的原理：先在本地开启更高灵敏度的启发，然后把扫除来的可疑文件先上传到服务器中判断，先与动态白名单核对，没有则再通过云端服务器分析判断；如果无法联网，则不会开启这个超高灵敏度的启发引擎。

引用prollblog里的一段介绍
“因为采用了云端技术，客户端可以和服务器端保持自由联通，当反病毒软件启发式扫描出“可疑文件”时，将可疑文件发送到云端服务器进行判别，当判断为“干净”，即是误报的情况时，服务器端将此文件的特征码在服务器端此用户的账户下保存后，也传输给“客户端”一份，此时客户端机器的反病毒软件根据服务器端传送来的特征码，生成一个白名单，将此特征码添加进去。以后，这位用户再扫描此文件的时候，杀毒软件不再报告“可疑文件”。”

小结：熊猫09有3档启发，按敏感度排序：云启发>扫描启发>监控启发（不含TP）>不开启发

过程就不截图了

最后自问自答：
这两处启发有何不同?
答：第一幅图是扫描启发
第二幅图是监控启发

TP也参与扫描吗？如果把TP关了，再扫描的话会不会使检出率下降？
答：TP不参与扫描，详情见帖子 http://bbs.kafan.cn/thread-417929-1-1.html

这个“protection against unknown threats”选项卡中的设置选项全部仅针对监控吗？
答：选项卡中的启发仅针对监控，至于TP，就是上面的那个问题。

[ 本帖最后由朝闻道于 2009-2-4 18:57 编辑 ]

显示全部楼层 · 发表于 2009-1-3 23:30:15

第一个是扫描开高启发

第二个是监控开高启发

回答完毕

显示全部楼层 · 发表于 2009-1-3 23:33:28

不管别人说什么，相信自己的眼睛。。。

显示全部楼层 · 发表于 2009-1-3 23:35:31

原帖由 abeyl 于 2009-1-3 23:33 发表
不管别人说什么，相信自己的眼睛。。。

SO,不用问了，答案就在你的心中，勾上总没错的

显示全部楼层 · 发表于 2009-1-3 23:36:32

你在一个帖子里说TP参与扫描，所以就对第二幅图中的设置选项产生了一点疑问~

显示全部楼层 · 发表于 2009-1-3 23:39:27

下个样本包，开监控解压和关监控扫描，答案自然揭晓。。。

显示全部楼层 · 发表于 2009-1-4 00:24:41

看窗口的标题

显示全部楼层 · 发表于 2009-1-4 10:10:55

不用问了，答案就在你的心中，勾上总没错的

显示全部楼层 · 发表于 2009-1-4 10:47:11

为什么就我安装熊猫卡啊！我3G的内存啊！郁闷！

显示全部楼层 · 发表于 2009-1-4 13:29:12

监控不也是扫描的一种么，只是我们习惯于将自动扫描叫监控，手动扫描叫扫描而已

[已解决] Panda 09的三档启发【自问自答】

本帖子中包含更多资源

回复 1楼朝闻道的帖子

回复 3楼 abeyl 的帖子

回复 5楼朝闻道的帖子

[已解决] Panda 09的三档启发【自问自答】

本帖子中包含更多资源

回复 1楼 朝闻道 的帖子

回复 3楼 abeyl 的帖子

回复 5楼 朝闻道 的帖子

回复 1楼朝闻道的帖子

回复 5楼朝闻道的帖子