问一个技术性问题

fljoan1

看了卡巴的说明文档，对它的ichecker和iswift技术有点兴趣。
那两个技术意思是说在扫描过程中，如果发现该文件已前被卡巴扫描过，而且该文件至今尚未被改动过，那这次就不再扫描了。
请问一下，它跳过已扫描过的文件的凭据是什么？是把那些文件的信息摘要记录在自己某个文件里，还是在那些文件身上做上某种记号来识别？如果是用前一种方法，如果某个病毒伪造某扫描过的文件的信息摘要，用自身病毒体把那个已扫描过的文件覆盖，那卡巴不是就不会对病毒文件进行扫描了么？如果是是用后一种方法，即在文件上做上记号，会不会破坏文件的结构呢？比如MD5值会不会改变？
请大虾指教，谢谢~

Whkroran

对这个问题我早就有疑问,,网上搜索,问论坛里的高手同时仔细阅读卡巴帮助,,,,终于明白了 ,,
那2个技术是用你说的前一方法, 已扫描的文件信息放在卡巴特殊的信息库,如果文件一改动卡巴就会扫描,没有改动不会扫描,,,你所说的: "用自身病毒体把那个已扫描过的文件覆盖" 这个方面不要担心,,如果卡巴病毒库一次更新了,那个特殊信息也更新,这样的话,,,更新后卡巴会所有的文件再一次扫描,

Cypress

每次卡巴更新都要重扫一遍？ 我怎么觉得不大可能，可否再清楚一点。

rcbblgy

原帖由 Cypress 于 2007-8-17 01:12 发表
每次卡巴更新都要重扫一遍？ 我怎么觉得不大可能，可否再清楚一点。

以前认为安全的，以后未必就认为是安全，如果开始时病毒库里没有这个病毒，扫描这个文件当全是安全的，当升级病毒库后这个文件也没有被改变，你说应不应该再扫一遍？

天才杨威利

这主要是以用ntfs的数据流功能进行的文件访问记录，默认的情况下系统对于ntfs格式分区中的文件（尤其是系统文件）的每次改动都是会做记录的，这种纪录是内核级别的，也就是非常低层的。所以不是其他的软件所能够更改的，当然如果你的时钟不准的话或者是时钟被改变另当别论，卡吧就是利用这个记录来判断这个文件是不是被修改过了。淡然卡吧不可能仅仅利用这个原理我先可能卡巴在每次扫描的事后都会将所扫描嘚文件进行检验，就好像是得到一个md5的数值，而每次如果这个数值和前次的数值相同的话文件就没有被修改，否则的话就说明文件被修改需要从新扫描并得到一个新的特征值。

fljoan1

同时我注意到一个细节。我同学机器上装有卡巴，然后他通过寝室局域网共享一些文件，我从他机器上复制粘贴文件到我机器上时，会说有什么流信息丢失。当时上网查，说那些丢失的信息就是是卡巴附在那些被扫描过的文件后面的。这貌似说明卡巴是用后一种方法来识别已经扫描过的文件。
各位对此有什么见解？

听雨醉

如2楼朋友所说，简单地讲，这个特殊的信息库的创建和修改只有卡巴能够做，比如说，这个锁只有我能开、锁。它绝不像修改MD5值那样简单。

也因此，安装卡巴后，在NTFS分区上你会发现剩余空间越来越少，就是因为那个特殊信息库在持续增加的缘故。网上的解决方法一般是：要么改NTFS分区和FAT分区，要么关闭卡巴的这两个技术。

其实，国产杀软中也有卡巴类似的功能，不过他们都叫什么智能扫描。不过有可能了他们的技术远远比不上卡巴的这两项技术，也有可能是还没有给这个智能扫描起个好听的名字。

以前在网上搜索过有关卡巴的这两项技术的资料，内容太多，所以就打包上传吧。你下载后可以用这两项技术为关键字来快速查阅。