【转帖】关于卡巴斯基软件AVP.exe存在上传以及下载流量的说明

explorer

avp.exe进程作为卡巴斯基软件系统驻留进程存在，在系统进程列表中一共存在两个同名进程，一个隶属于system，一个隶属于用户，两个进程相互驻守。卡巴斯基网络监控模块通过卡巴斯基软件申请1110端口作为卡巴斯基流量监控端口，凡是所有进出系统的网络流量都会经过卡巴斯基的流量监控端口1110进行扫描，然后在发向具体访问网络的应用程序所使用的端口，使应用程序获取所需的信息。当然，这个讲法需要有个条件就是在“设置”的“网络端口”的设置内设置为“监控所有端口”，如下图所示：



当我们设置成了这样后，我们再用卡巴斯基的网络监控功能来查看下，当前网络访问情况，如下图所示：




我们发现以下几个特征：

1，第一行 360se.exe（360浏览器）通过本地端口3997向服务器81.176.69.85（卡巴一族论坛服务器）的80端口建立了链接并且传输了7KB的数据；
2，第二行 avp.exe通过本地端口3998同样向服务器81.176.69.85（卡巴一族论坛服务器）的80端口建立了链接并且传输了7KB的数据；
3，第三行 avp.exe通过本地端口1110（卡巴斯基网络监控端口）监视着本地端口3997（360浏览器所使用的端口）并且扫描了4.6KB的数据。

综上的行为，我们可以这样理解卡巴斯基的网络监控的思路。360se.exe程序本身通过3997向外发送数据，实际上这个3997端口已被卡巴斯基转向，被转向到了卡巴斯基的端口3998中进行出站流量扫描，而当外部网站发送流量入360se.exe的3997端口时，卡巴斯基也将这个流量目标端口转向，由使其由3997转向进入通过卡巴斯基网络监控模块端口1110进行入站流量扫描。

那么，至此大家就会理解了，为什么卡巴斯基avp.exe会出现网络访问流量，如果卡巴斯基遇到下载软件运行时，同样也会采用如上的方法来监控出入站流量，当拉BT、电驴等需要开启众多端口的情况的话，avp.exe的流量也会随着下载与上传的量的大小同倍增加。

还有一点也要说明，卡巴斯基2009、2010系列软件有“卡巴斯基安全网络（KSN）”技术，这个技术也会上传或者下载一点数据用作分析与查杀。一般不会超过5KB，而且也仅仅在您使用扫描或者第一次启动程序时发生流量，流量的目标地址指向KSN服务器。

除了以上情况外，卡巴斯基软件不会下载或者上传任何用户数据，我在这里在强调下，卡巴斯基上传与下载数据的计算原理：

条件：网络设置的端口设置中选择了“监控所有流量”，指定端口监控的话，仅涉及指定端口出现流量时才发生流量。

公式：所有软件下载与上传流量之和等于卡巴斯基软件显示的上传与下载流量（排除卡巴斯基安全网络产生的流量）。

原帖：http://bbs.kaspersky.com.cn/thread-382139-1-1.html （略有删减）

逍遥东华

卡巴比qq好多了

fj88aa

现在知道了，为什么卡巴用这么多流量！

仙女棒

不管流量多还是少，偶是受够了卡巴的卡，再这么样也不想再用了。

iippuiui

妈呀!卡我宽带玩网游啊!还想用流量监控管它~　我已经放弃它了~唉

拔丝冰棍888

我说那天看到avp.exe的上传流量那么高呢，当时就想应该没有那么大的可疑文件吧，这下就明白了

Wesly.Zhang

哟，帖子已经被转到这里了。其实说起来一句简单的，卡巴斯基网络流量监控就是“代理模式”的。

127920

很多杀软都是这样，像ESET

卡卡洛夫

学习了

y0305y

可以 不要 卡巴监控浏览不  ·