收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 杀软收集病毒会扫描全部网页么?
12下一页
返回列表 发新帖
查看: 2832|回复: 11
收起左侧

[求助] 杀软收集病毒会扫描全部网页么?

[复制链接]
OutofRain
发表于 2014-5-16 20:57:43 | 显示全部楼层 |阅读模式
本帖最后由 OutofRain 于 2014-5-16 20:59 编辑

杀毒软件公司收集病毒、木马的主要方式应该是通过全球全天候的实时监控来收集的吧(这种做法是不是叫mi-guan?),那么它的引擎会扫描所有存在于互联网上的网页么?比如一个国外的杀软它会扫描国内的所有网页么?会不会有一种木马或病毒在网络上存活几个月甚至半年以上呢,如果它不是大面积挂马的话?

现在还经常看到国内的一些杀软参与国际的测评比如av-c,结果还不错,难道它们现在也会去扫描全球范围内的网页?

回复

举报

panzhitian
发表于 2014-5-16 21:06:40 | 显示全部楼层
应该是扫描本地网页缓存和扫描流量
回复

举报

Hertz
发表于 2014-5-16 21:18:22 | 显示全部楼层
Norton社区防卫的理念能解释这个问题,通过云端技术监控全球的文件。至于第二个问题的解释就是特征码扫描了,这个是杀软的基本功,地域影响不算太大
回复

举报

OutofRain
 楼主| 发表于 2014-5-16 21:51:29 | 显示全部楼层
panzhitian 发表于 2014-5-16 21:06
应该是扫描本地网页缓存和扫描流量

哦。那它所监控的范围是互联网上所有的网页所产生的缓存和流量么?
回复

举报

panzhitian
发表于 2014-5-16 22:33:22 | 显示全部楼层
本帖最后由 panzhitian 于 2014-5-16 22:36 编辑
OutofRain 发表于 2014-5-16 21:51
哦。那它所监控的范围是互联网上所有的网页所产生的缓存和流量么?


怎么可能,是每个个体组成一个云社区,共享黑白名单之类的。
由厂商来扫描全部网页根本不可能,而且还存在时效性。
每台电脑或者叫每个授权的杀软既是该数据库的创造者,也是使用者。请看3楼。

也就是说,你所问的问题的回答,如果没人浏览一个挂马的网站,那么一般是不会被发现该样本的,也就是它会一直存在着,
但是,没人浏览的话那么没人会因此而感染,它根本就无效,还需要担心吗?
回复

举报

OutofRain
 楼主| 发表于 2014-5-16 22:53:02 | 显示全部楼层
panzhitian 发表于 2014-5-16 22:33
怎么可能,是每个个体组成一个云社区,共享黑白名单之类的。
由厂商来扫描全部网页根本不可能,而且还 ...

谢谢你回答得这么详细。不好意思啊,我是个新手,可能问题有点业余了,呵呵。

不过我觉得不是所有的云都会上传用户的文件吧……比如像麦咖啡的artemis云,只是发现可疑文件后把MD5的一些代码(体积很小的指纹)上传然后和云端的库进行比较,那么在这种情况下,它只是提供一个快速查杀的功能(缩短了定义和发送病毒库所要用到的时间),但用户的电脑并不构成一个提供病毒样本的探测器。
如果库里没有对应的特征码,那么这个可疑文件也不会被进一步分析。也就是说,如果他确实是一个木马,并且这个木马所感染的网页又没有被麦咖啡扫描到,那么这个木马就被放过了,对么?会存在这种情况么?还是我在理解上存在错误?
回复

举报

panzhitian
发表于 2014-5-16 23:13:07 | 显示全部楼层
OutofRain 发表于 2014-5-16 22:53
谢谢你回答得这么详细。不好意思啊,我是个新手,可能问题有点业余了,呵呵。

不过我觉得不是所有的云 ...

首先,杀软不会上传用户的文件,上面我也没这样说吧。会传的就是流氓软件。
没有扫描到就肯定是过了该时刻的杀软。除了网页挂马这个之外其它都是这样理解。
(木马怎会到感染网页呢。。是该站点被hack了或者被钓鱼流失了管理权,然后才能到后台修改放置木马。
而这些东东就等着下一个肉鸡,缓存到机子上就发作开始折腾了)
回复

举报

OutofRain
 楼主| 发表于 2014-5-16 23:24:46 | 显示全部楼层
panzhitian 发表于 2014-5-16 23:13
首先,杀软不会上传用户的文件,上面我也没这样说吧。会传的就是流氓软件。
没有扫描到就肯定是过了该时 ...

哦,我的意思就是网页挂马。你说的“每个个体组成一个云社区,共享黑白名单之类的。”是什么意思啊?
是不是只要你上网浏览网页,你所有那个用到的杀毒软件就会自动检测你浏览的网页中的威胁并自动上传威胁或者说它认为是可疑的程序进行分析?
回复

举报

panzhitian
发表于 2014-5-16 23:31:35 | 显示全部楼层
OutofRain 发表于 2014-5-16 23:24
哦,我的意思就是网页挂马。你说的“每个个体组成一个云社区,共享黑白名单之类的。”是什么意思啊?
是 ...

不一定会上传吧,看具体的策略是怎样咯,可能有些会加入些云社区,就自行获取发送特征。
而都是能拦截到的,一般是
1. 该网页进了黑名单(已知的,由其它用户提供了证据)
2. 该网页扫描出了有威胁,例如木马,恶意脚本。(未知的,靠杀软自行分析)
所以上面2种情况都不是的话,就是这种情况
3. 过了杀软,漏杀
回复

举报

OutofRain
 楼主| 发表于 2014-5-17 00:13:59 | 显示全部楼层
panzhitian 发表于 2014-5-16 23:31
不一定会上传吧,看具体的策略是怎样咯,可能有些会加入些云社区,就自行获取发送特征。
而都是能拦截到 ...

哦,明白。那杀软收集并识别病毒和木马的主要途径是什么呢?利用强大的引擎全天候地扫描网页么?毕竟用户上报还是有限的啊。特别是在以前还没有云的情况下。

而你说的2. 该网页扫描出了有威胁,例如木马,恶意脚本。(未知的,靠杀软自行分析)。是指靠杀软这个软件本身设定的规则进行分析么?杀软本身应该没有识别大多数未知病毒的能力吧。
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-19 13:46 , Processed in 0.123566 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表