查看: 3795|回复: 18
收起左侧

[已解决] Panda 09的三档启发【自问自答】

[复制链接]
黑白君
发表于 2009-1-3 23:28:07 | 显示全部楼层 |阅读模式
这几天讨论熊猫的话题比较多,印象中有人说熊猫监控没有启发,还有人说下面第二幅图中的是扫描启发...




上图是扫描设置里的,打勾的话表示开启启发,而下图是未知病毒防御的设置选项里的,也有一个启发设置,从字面意义上翻译为“启发式扫描”,这里的启发跟上面的有什么不同?这个应该不是扫描启发吧???




在此请教这两处启发有何不同?
还有2个问题:
1.TP也参与扫描吗?如果把TP关了,再扫描的话会不会使检出率下降?
2.这个“protection against unknown threats”选项卡中的设置选项全部仅针对监控吗?



=======================================================

本来不想下毒包测试的,后天就要考试了,不想浪费时间,不过最后还是又忍不住自己测试一下

还是上次的73个毒,

虚拟机断网,
关闭第二幅图中的启发,解压缩病毒包,然后进入文件夹,稍等一会,等熊猫不提示后,这时剩余65个
把第二幅图中的TP打开,然后把第一幅图中的启发关闭,然后扫描样本,还是剩余65个,(这一步我的想法是测试TP是否参与扫描,结果似乎表明TP不参与扫描,也可能是样本的问题,单凭这个测试说服力似乎还还不够,根据帖子http://bbs.kafan.cn/thread-417929-1-1.html官方的说明,最终证明熊猫的TP是不参与扫描的

把这65个毒重新打包,命名为1.rar,删除解压后的文件
打开第二幅图中的启发,解压缩1.rar,剩余53个文件,由此可见第二幅图中的启发是监控启发,熊猫的监控是有启发的

然后打开第一幅图中的启发,用右键扫描包含这53个文件的文件夹,扫描结束后剩余24个文件,由此可见第一幅图中的启发是扫描启发,而且比监控的启发更灵敏(注意此扫描是在断网条件下进行)
把这24个文件重新打包,命名为2.rar

然后联网扫描,文件夹内还剩2个。说明只有联网才可以开启云启发,而且云启发的灵敏度更高。

联网状态重新解压缩2.rar,还是剩余24个,说明熊猫的云启发只针对扫描不针对监控。

然后断网,右键扫描改文件夹,最后剩余2个文件!

这说明有2种可能情况:
1.熊猫对已被云启发出来的文件有“记忆”功能
2.在联网开启云启发后,再断网,云启发仍然出于开启状态,似乎是一个BUG

为了排除第二种可能,特做如下测试:
把刚才24个文件中被云启发报的22挑出来,分成2部分,一部分10个另一部分12个,分别打包

虚拟机回滚到上一状态,
联网,解压缩前10个,右键扫描,全部被启发了出来,
断网,再次解压前10个,右键扫描,全部被启发了出来,
再解压另12个,右键扫描,没有被启发出来,说明是是第一种情况——熊猫对已被云启发出来的文件有“记忆”功能,或者说熊猫已经在本地生成了一份相应的黑白名单。

这个结论也证实了熊猫云启发的原理:先在本地开启更高灵敏度的启发,然后把扫除来的可疑文件先上传到服务器中判断,先与动态白名单核对,没有则再通过云端服务器分析判断;如果无法联网,则不会开启这个超高灵敏度的启发引擎。

引用prollblog里的一段介绍
“因为采用了云端技术,客户端可以和服务器端保持自由联通,当反病毒软件启发式扫描出“可疑文件”时,将可疑文件发送到云端服务器进行判别,当判断为“干净”,即是误报的情况时,服务器端将此文件的特征码在服务器端此用户的账户下保存后,也传输给“客户端”一份,此时客户端机器的反病毒软件根据服务器端传送来的特征码,生成一个白名单,将此特征码添加进去。以后,这位用户再扫描此文件的时候,杀毒软件不再报告“可疑文件”。”


小结:熊猫09有3档启发,按敏感度排序:云启发>扫描启发>监控启发(不含TP)>不开启发


过程就不截图了



最后自问自答:
这两处启发有何不同?
答:第一幅图是扫描启发
第二幅图是监控启发


TP也参与扫描吗?如果把TP关了,再扫描的话会不会使检出率下降?
答:TP不参与扫描,详情见帖子 http://bbs.kafan.cn/thread-417929-1-1.html



这个“protection against unknown threats”选项卡中的设置选项全部仅针对监控吗?
答:选项卡中的启发仅针对监控,至于TP,就是上面的那个问题。

[ 本帖最后由 朝闻道 于 2009-2-4 18:57 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ljh3737
发表于 2009-1-3 23:30:15 | 显示全部楼层
第一个是扫描开高启发

第二个是监控开高启发

回答完毕
嘁。不稀罕~
发表于 2009-1-3 23:33:28 | 显示全部楼层

回复 1楼 朝闻道 的帖子

不管别人说什么,相信自己的眼睛。。。
ljh3737
发表于 2009-1-3 23:35:31 | 显示全部楼层
原帖由 abeyl 于 2009-1-3 23:33 发表
不管别人说什么,相信自己的眼睛。。。



SO,不用问了,答案就在你的心中,勾上总没错的
黑白君
 楼主| 发表于 2009-1-3 23:36:32 | 显示全部楼层

回复 3楼 abeyl 的帖子

你在一个帖子里说TP参与扫描,所以就对第二幅图中的设置选项产生了一点疑问~
嘁。不稀罕~
发表于 2009-1-3 23:39:27 | 显示全部楼层

回复 5楼 朝闻道 的帖子

下个样本包,开监控解压和关监控扫描,答案自然揭晓。。。
yager 该用户已被删除
发表于 2009-1-4 00:24:41 | 显示全部楼层
看窗口的标题
sky6014
发表于 2009-1-4 10:10:55 | 显示全部楼层
不用问了,答案就在你的心中,勾上总没错的
ll123456
发表于 2009-1-4 10:47:11 | 显示全部楼层
为什么就我安装熊猫卡啊!我3G的内存啊!郁闷!
huojianxiong
发表于 2009-1-4 13:29:12 | 显示全部楼层
监控不也是扫描的一种么,只是我们习惯于将自动扫描叫监控,手动扫描叫扫描而已
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 08:10 , Processed in 0.137414 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表