关于小A监控问题的研究

siwang28

      今天晚上有几个帖子讨论关于小A对DLL文件监控问题，我想说以下几点：

      第一，小A文件防护的监控，为了保证流畅性，所以当打开文件夹时，几乎不会扫描。注意，是几乎而不是完全！所以，当病毒下载到本地后放入文件夹，打开文件夹小A几乎不会报毒。


      第二，小A的防御思想是御毒于外，这与金山所谓的边界防御差不多，即对所有写入严格监控，所以小A分成了许多模块，控制每一个写入口。当然，个人认为金山那个不过是个噱头而已。因为金山本地引擎不行，只监控几个下载软件和浏览器下载，是不可能完全防御病毒的，因为有的木马病毒会利用零日漏洞进行偷渡式下载或后门下载，这样不经下载软件，而金山对写入的监控几乎为零。（当然，现在金山有了K+和KSC了，还有标准监控，但是标准监控卡的要死，经常抽风）因为这个原因，所以小A的网页防护很灵敏，对DLL文件报毒。

        第三，小A的文件防护是最后一道防线，但可能是小A的引擎还不够完美，至少比小红伞的本地监控差了不少，比较卡，所以小A通过两个手段来进行优化。一个是上面第一条减轻文件扫描，另一个就是缓存。但是小A在文件执行和写入时还是很灵敏的。所以有毒压缩包下载到本地后，解压文件夹小A会报，因为这是写入磁盘，而执行病毒，小A也会报，因为这是执行！

      第四，小A对已经执行的文件几乎没有监控能力，如果你临时关闭监控，然后运行病毒，在打开监控，那么小A也几乎不会报毒（别拿感染性病毒做实验，因为他会写入）。似乎小A对执行的监控是基于程序启动项的。

      第五，我建议大家使用小A的时候你配合着国内的卫士网盾使用，可以大量的减少病毒感染的可能性。当然，也要做好排除。      



      另外，加一条常识，DLL文件本身是无法运行的，他必须依托于exe文件。当exe文件运行时，会调用DLL文件，这样病毒才会激活。


    另外参考：8楼、9楼、11楼

青春虎

学习下……加个山山卫士，呵呵

yeow5243

a7行为防护会扫描打开存放exe的文件夹，但记录永久缓存后，下次不再扫描了，文件防护几乎不扫描。

书生剑客

青春虎 发表于 2012-3-17 23:51
学习下……加个山山卫士，呵呵

虽然数字口碑XX，但说老实话，配金山卫士不如配360杀毒（开BD引擎）（360杀毒含有BD引擎以及网盾）

siwang28

个人感觉没必要，小A+360卫士+系统墙其实已经足够了，我想不出还有什么漏洞可钻。小A的防御启发等配合着360的行为防御和网盾，再加上系统墙隐身，几乎没有什么担心的必要。

萧逆水

楼主没有仔细看昨晚的帖子吧，现在的情况是，两个单独的dll文件分别打包成zip，扫描它们都报毒，解压dll1号不报，dll2号报，如果从网上下载它们，dll1号不报，dll2号报。。。而扫描监控的敏感度设置是一致的。所以目前的猜测是小a扫描监控还是有差异，即使设置了相同敏感度。

哀酱俏佳人

楼主请修改标签，这贴不符合原创标准

siwang28

书生剑客 发表于 2012-3-18 00:48
虽然数字口碑XX，但说老实话，配金山卫士不如配360杀毒（开BD引擎）（360杀毒含有BD引擎以及网盾）

不建议多种杀毒软件同时监控，因为这可能会造成某一款杀毒软件将另一款杀毒软件的内存病毒库识别为病毒的可能！大家都知道，杀毒软件截取病毒的一部分代码（特征码）存入内存中，然后监控时用这些特征码进行扫描，但是另一款杀毒软件可能会误报这些代码！别跟我说GD，他的两款监控引擎代码是经过加密的，所以可以安然无恙的共处，但是大部分杀毒软件是不会加密的

siwang28

萧逆水 发表于 2012-3-18 11:12
楼主没有仔细看昨晚的帖子吧，现在的情况是，两个单独的dll文件分别打包成zip，扫描它们都报毒，解压dll1号 ...

肯定是有差异的，因为他们的监控原理是不一样的，这有什么可讨论的，即使是小红伞，也是一样。

萧逆水

siwang28 发表于 2012-3-18 11:17 肯定是有差异的，因为他们的监控原理是不一样的，这有什么可讨论的，即使是小红伞，也是一样。

好吧，我以前一直认为像小a这种防御型杀软监控灵敏，扫得到监控也能查到，看来以后还是要右键一下。。。