卡网？卡EXE？从原理来讨论：红伞与小A的两大模块_WG&网页防护、AG&文件防护

brynhild.ran

本帖的缘起：

      前不久升级电脑，换装X64系统，OP+小A时不时抽风，终于受不了了。由于老婆电脑上的红伞也用了快两年（她喜欢那图标··· ），一直对其感觉不错，索性就买了大P版3年合约·······。
  
      于是乎问题就来了······WebGuard，让我的Chrome彻底崩溃，默认999MB缓存的设置下开网页比乌龟还慢。电驴和迅雷直接像吃了安定一样毫无效率。虽然可以设置例外，但由于专业原因，经常需要开MetaStock以及TradeStation等东西捣鼓系统，接收境外服务器数据，经常轻功翻阅很多境外论坛等需求，于是乎终于受不了了。

     于是乎装上小A，开网页防护+脚本防护，终于一切回归正常。更多了一些惊喜。

     现在我的设置是OP墙（防火墙+主防,反泄漏开高级）+小A（只开网页防护+脚本防护）+红伞大P（只开AntiRootkit 和AntiVir Guard ）。
     个人的理解，这个设置是分工比较明确的。3款软件分别只注重其优势板块，OP负责防火墙与主防监测反泄漏、小A利用其智能流技术的优势负责网页扫描，红伞利用高启发优势负责本地的实施防护。互不干扰，互补优势。
     实际结果也是让我惊喜的，上网不卡了，下载不卡了，以前小A时代的开某些程序延迟的现象也解决了，目前运行也稳定。
      这种惊喜勾起了我的好奇心，于是就扒了下帖子，想了解导致这种变化的原因，于是就有了这个帖子。同时，这也是抛砖引玉，以我这个好折腾的新人胡扒一气写成的帖子，望得来众高手们的探讨。


卡网？让我们从运作原理说起：红伞的WebGuard(以下简称WG）与小A的网页防护

      其实WG与网页防护的运作机制在原理上都是一样的：都是基于HTTP代{过}{滤}理下，截取WEB数据加以扫描，如果判断有威胁则拦截，如果判断无威胁则放行。我们来看两者官网的原文说明：

      红伞：AntiVir WebGuard（对于 Avira AntiVir Personal 版本的用户，只能与 Avira SearchFree 工具栏组合使用）在网上冲浪时，会使用 Web 浏览器向 Web 服务器请求数据。从 Web 服务器传输的数据（HTML 文件、脚本和图像文件、Flash 文件、视频和音乐流等）通常直接进入浏览器缓存，从而显示在 Web 浏览器中，这意味着，AntiVir Guard 无法进行访问时扫描。这样，病毒和恶意程序可以访问您的计算机系统。WebGuard 称为 HTTP 代{过}{滤}理，它监视数据传输端口（80、8080 和3128），并扫描传输的数据中是否有病毒和恶意程序。根据配置，该程序可以自动处理受感染的文件或提示用户执行特定操作。
                           
     
      小A： 网页防护. 它能够监测和过滤所有互联网站点的 HTTP 流量. 它可当作您计算机上的HTTP代{过}{滤}理. 网页浏览器的连接将被转至网页防护模组. 网页防护连接请求的网页服务器,在下载网页内容的时候扫描病毒和木马.只有安全的数据才可以传送到浏览器, 恶意软件在到达计算机以前被阻止.
                          


    OK，大家明白了吧。这实际上就是一层网络筛子，通过本地代{过}{滤}理的方式在你点击了浏览请求之后预先把内容扫描一次。这当然会形会影响访问速度。
    而这个机制对访问速度造成多大影响？我个人认为取决与以下方面：
     首先这是与基础网络环境无关的，因为是本机代{过}{滤}理，并不是网路服务器代{过}{滤}理，因此无论是小A饭还是小伞F，把责任全归于客观网络环境都是不负责任的言论。
     跟运作机制有关，这直接造成了WG明显卡网与小A的影响不大。
     跟机器硬件有关，硬件性能会在一定程度上影响这个处理速度。
     跟系统设置有关，改变系统服务或改变相关设置会影响HTTP本地代{过}{滤}理的访问速度。
     跟关联软件设置有关，这方面帖子很多，功能重叠，扩展名装枪口等，这里就不多说了。

     那为什么WG卡网速就明显，小A卡网速就不明显呢？我们在这里就谈谈运作机制的问题。

运作机制导致了小A在这个板块优于红伞。
     红伞的WG在截取数据流以后的扫描也是基于特征+启发的，并且功能模块的可定制性小。只要你不直接排出，那么其对访问速度的影响就不会有多大改善。
     小A的网页防护截取数据的方式是通过他们的核心技术智能流扫描来实现的，直接对HTTP流扫描，只有在可能的威胁出现的时候再开启代码模拟，通过一个虚拟的空间模拟运行运行可疑数据，最后来判断。
     因此，在绝大多数情况下，小A的网页防护造成的延迟要比WG小得多。另外，可定制水平也比WG友好得多，你可以选择扫描敏感度，以及开不开启代码模拟，如果选择关闭代码模拟，则会更进一步降低延迟，而脚本防护的加入也进一步提高了网页浏览的安全性。这也是为什么在此方面我仍然选择小A的原因。下面则看看本地的实时扫描板块，我为什么转而选择了红伞，而放弃小A。



卡EXE启动？让我们从运作机制说起 小红伞AntiVir Guard与小A的文件防护

       小红伞：AntiVir Guard 在后台运行。如果可能，它将以“访问时扫描”模式在进行文件操作（如打开、写入和复制）时监视和修复文件。只要用户执行文件操作（例如加载文档、执行和复制），AntiVir 程序就会自动扫描文件。重命名文件不会触发 AntiVir Guard 扫描。
       小A：对已打开/已执行的文件进行实时扫描。允许在两个内核之间拆分较大的文件，进而加速全新多核 CPU 扫描进程，使 avast! 运行速度更快。（官方对这个模块的介绍比较少）

       我们来看一看运作机制：当你执行一个操作的时候
              红伞：特征码+启发扫描你的目标文件，1：有可疑？弹窗提示下一步 。2：无可疑？直接放行。
              小A： 特征码+启发扫描你的目标文件，1：有可疑？  1.1很可疑？弹窗提示。 1.2不确定？转入代码模拟状态。  1.2.1：模拟有威胁？弹窗提示。  1.2.2：模拟无威胁？放行。  2：无可疑？直接放行。
      
       从以上我们就能看出二者的运作机制特性所导致的结果：
              红伞：扫描快，通常不卡启动，但误报高（对比AVAST）
              小A ：对多核CPU的线程优化带来了更快的扫描，但因为代码模拟状态而造成某些程序会卡启动，但误报比较低（相对红伞）
       但，红伞针对AntiVir Guard的特性在用户设置上做了充分的自定义项目，你可以根据可选设置调整出一个自己满意的扫描状态，再加上启发引擎是小红伞的核心竞争力，同时目前版本已经针对可疑项目排出做了友好的用户操作优化。而小A在这方面则显得自定义设置不足。要么关掉代码模拟（这确实可以让以前卡启动的项目变得不卡，甚至比红伞快）要么调低敏感度开代码模拟？（这只会让卡EXE的项目更多）。
      基于以上，通过对AntiVir Guard的自定义项充分设置后高启发带来的个别误报是可以手动简单排出的（附加的贴心功能是：上报与在线鉴定. 你可以把这一切看成是一种友善的提醒）；而小A，你必须选择要么关代码模拟而残废掉实时扫描，要么继续开代码模拟，忍受某些程序卡启动。在这一切的结论下我在此方面选择了小红伞。


PS：综合全文，我个人认为不难得出两个结论：
      单纯讨论两个方面（网页扫描与实时扫描）的机制上
      网络浏览防护——平均处理速度：小A》红伞   自定义性：小A》红伞  界面友好：小A》红伞 防护强度：无数据。
      文件实时防护——平均处理速度：红伞》小A   自定义性：红伞》小A  界面友好：小A》红伞 防护强度：目前数据显示红伞》小A。


以上············我个人经验得出的分析报告。抛砖引玉，希望众高手多多指点，多多讨论。


附加：
OP墙+AVAST网页防护+小红伞文件防护的占用：
       这其实是一个很“技术洁癖”的问题，在当前动辄双核四核CPU，4G内存起步的硬件性能过剩时代，过分对资源占用纠缠，个人绝对是一件很自虐的心态。（并不针对早期电脑，已经对当前应用捉襟见肘的朋友）
以下是结果是用ProLassoPRO对三者在进程与IO上设置了高优先级。

        

对WG/网页保护卡网的一些优化办法。
    除开在设置中添加例外以外。还可以利用工具提高他们的进程优先级与IO优先级。
    很多朋友反映设置了例外却没起作用？请检查是不是路径扩展没有对。以小A举例：
    例如排除卡饭，正确的格式是【http://bbs.kafan.cn/*】在主域名路径后面加,这样就会排除所有基于这个域名的所有扩展路径。排除某文件格式也是同理，请大家举一反三。
         
关于文件扫描，小A与红伞区别的举例：
      我有几款常用软件，其扩展文件夹经常需要填充新东西，不打算设置例外。（金融类应用软件）。
               红伞：点击后秒开，瞬间弹窗提示威胁。
               小A： 点击后延迟大概10秒后开启，无提示威胁。

wwdboy

写的不错，支持一下

wzhyhw

这个怎么都要支持一下！难得的前排！

ppy0606

从不装带网页监控的杀软··

多余

brynhild.ran

ppy0606 发表于 2011-11-13 08:42
从不装带网页监控的杀软··

多余

网页监控的必要性红伞的WG里说了，虽然通过主机防护的设置也可以达到相同的效果，但不能从原理上否定他的价值

UDady

学习了，感谢分享经验

ppy0606

brynhild.ran 发表于 2011-11-13 08:45
网页监控的必要性红伞的WG里说了，虽然通过主机防护的设置也可以达到相同的效果，但不能从原理上否定他的 ...

WG 对于我来说 就是一废物

一直就无爱

qynubf

不错文章，看看

wakin

红伞的WG真的卡。。。

122693882

网页要感染不是也得入硬盘  本地加强就好