关于杀软的文件监控

bbszy

现在很多杀软的文件监控都是使用的File System Filter Driver，也就是FS Filter 技术，中文名可以称为文件系统筛选驱动技术。用PCHunter就可以看到其在文件系统中的过滤点。

如图，诺顿的过滤点明显比卡巴多（诺顿的一页没有显示全），那是不是意味着诺顿的文件监控比卡巴厉害？（本帖不讨论查杀能力）。印象中诺顿好像可以在文件写入硬盘时（还未写入）拦截。

狴犴睚眦

谁厉害不知道

但是卡巴也可以在文件写入前拦截

尘梦幽然

谁厉害不知道。但是我知道赛门铁克（诺顿）的自动防护引擎的特点就是高效稳定。所以，在更小的资源消耗下，诺顿能比其他防病毒软件监控更全面。这点优势和国产比最明显。
诺顿基本默认上是除了压缩包外全格式监控，而国产基本只有监控PE文件和文档文件。当你把大部分国产的监控等级开到诺顿这个级别，那卡得简直丧心病狂

驭龙

写入前拦截？那好像是一个传说中的事情。

文件系统筛选器是分层过滤文件的吧，具体不清楚，不过在文件未写入硬盘的情况下，那是在内存，应该是内存类型的监控吧。

本人很菜，不是专业人士，如有错误，请大牛们一笑而过吧

bbszy

驭龙 发表于 2013-11-10 16:54
写入前拦截？那好像是一个传说中的事情。

文件系统筛选器是分层过滤文件的吧，具体不清楚，不过在文件未 ...

诺顿提示"已阻止"就是文件写入前阻止的，不是到内存，比如解压病毒文件，有时候就显示已阻止。

Liub

我就是知道  诺顿确实比卡巴流程。。

但是诺顿确实不如eset  小红伞 avast等流畅。。

驭龙

bbszy 发表于 2013-11-10 17:05
诺顿提示"已阻止"就是文件写入前阻止的，不是到内存，比如解压病毒文件，有时候就显示已阻止。

天啊，你是这样理解的，我告诉你，那个显示已阻止，不是文件没有写入硬盘的意思，而是写入硬盘的过程中被诺顿发现，并且拦截，实际上已阻止的意思就是威胁已经被处理的意思，完全不是什么写入硬盘前拦截，没有写入硬盘的话，好像文件系统筛选器是不会过滤的

bbszy

尘梦幽然 发表于 2013-11-10 16:53
谁厉害不知道。但是我知道赛门铁克（诺顿）的自动防护引擎的特点就是高效稳定。所以，在更小的资源消耗下， ...

我承认诺顿的引擎十分高效。

卡饭开了版区的杀软我都用过，不得不说诺顿的引擎效率是数一数二的高，eset的也高效，但开了高启之后效率就下来了

bbszy

驭龙 发表于 2013-11-10 17:11
天啊，你是这样理解的，我告诉你，那个显示已阻止，不是文件没有写入硬盘的意思，而是写入硬盘的过程中被 ...

我本意是在写入过程中，也就是一个文件没有完全被写入。好吧，我没讲清楚。

尘梦幽然

Liub 发表于 2013-11-10 17:08
我就是知道  诺顿确实比卡巴流程。。

但是诺顿确实不如eset  小红伞 avast等流畅。。

推荐你试试最新的诺顿21.x版
不过也得看个人机子环境了
丫的ESET在我机子上用着特别不爽快