红伞访问下局域网的带病毒的机器,为何不检测有毒文件?内详

宝贝要升天了

大家可以做个实验,都在局域网上.
两机都开C$的共享.有完全控制的权限.
结果装有红伞的机器去访问他机,结果不能发现病毒.反正就是没任何反应.如果将远程的病毒文件复制到本机磁盘,红伞立刻报警.为啥.难道红伞没有网络监控吗?试了下同期的NOD32,发现不存在这个问题,只要查看远程C$目录下的病毒文件,NOD32立刻可以删除.
但,红伞不可.我想不是设置问题,是红伞默认不检测远程的病毒文件.但是实际情况如何呢,大家来讨论下.

另外,红伞运行远程主机的病毒文件.运行后,伞也不报毒.
大家可以试下.
刚才我用实体机运行了下.的确伞不报毒.只有在本机运行病毒文件才报毒,远程运行病毒文件不报毒.

[ 本帖最后由 宝贝要乖乖哦 于 2007-12-29 14:52 编辑 ]

周杰伦

红伞c版，p版，w版都是没有网页监控的
只有文件监控啊

milk860

不在自己的机器上病毒当然不在红伞的保护范围之内

宝贝要升天了

原帖由 周杰伦 于 2007-12-29 14:15 发表
红伞c版，p版，w版都是没有网页监控的
只有文件监控啊

抱歉,以后我的贴子你就不要回复了,谢谢.

我看到你这个名字我就想锅盖都砸过来..

讨厌这个明星...

宝贝要升天了

原帖由 milk860 于 2007-12-29 14:15 发表
不在自己的机器上病毒当然不在红伞的保护范围之内

虽然病毒文件不在本地磁盘,但是.
你想,卡巴,NOD32都有局域网的文件扫描功能.就伞不行.

youthfire

这个倒是没有注意到,因为家里两台LAN里的机器都装了红伞了.也不太会故意放个病毒上去试验:)
PS:感谢楼主上次在关于VISTA内红伞的兼容性问题给的意见.翻旧帖不好,所以就在这里一并说了.我后来仔细看了下,用的不是IVT的驱动,而是WIDCOMM的,所以蓝牙驱动导致的,就不太好说.此后,我在用DELL笔记本内置的出厂还原了一次,竟然刚恢复就碰到蓝屏.(未更新,未装任何东西,但开着蓝牙开关--因为它和无线上网开关是一个).第三次恢复系统的时候,我连这个开关也关了,先控制面板卸载MCAFEE, 后用MCAFEE专用卸载工具再清一次,打好补丁后装红伞,然后至今还没有问题,目前只是配合着windows defender.希望今后的SP能解决些问题,更好的少遇到这样的蓝屏尴尬.这里再次顺道谢谢上次的讨论和意见.

宝贝要升天了

原帖由 youthfire 于 2007-12-29 14:33 发表
这个倒是没有注意到,因为家里两台LAN里的机器都装了红伞了.也不太会故意放个病毒上去试验:)
PS:感谢楼主上次在关于VISTA内红伞的兼容性问题给的意见.翻旧帖不好,所以就在这里一并说了.我后来仔细看了下,用的不是IVT ...

客气客气.
如果不是IVT,那WIDCOMM的驱动更有问题了.虽然WIDCOMM的驱动和功能特多.但是总觉得不算稳定,我的IBM的笔记本用的也是这个驱动,后来换用了IVT驱动,然后改下inf文件,不然会说找不到蓝牙.现在我已经2个多月没蓝屏了.基本上也算是成功了.

至于LAN环境下的例子,这个看起来似乎没什么好说.但是你再想下,那意味着什么,要是病毒在服务器端运行,那么红伞就要被完全撕破.

现在很多病毒都是先下载到本机然后运行.但是我想,远程的病毒运行还是有可能碰到的.

[ 本帖最后由 宝贝要乖乖哦 于 2007-12-29 14:46 编辑 ]

mofunzone

antivir的监控我想已经写的很清楚了，read or write
那么远程电脑上的文件，只要不下载到本地，就不满足read or write的条件，如果病毒只是在远程电脑上，那么访问文件文件通过IPC$共享文件是不会复制到本机上的（同ftp原理，只是获得目录，但是并没有下载，即不满足可以对病毒文件的读行为），在远程电脑运行之后，也只是在远程电脑上进行病毒的读和写操作，不会影响到本地计算机，故antivir不会监测到read or write行为
但是当你把文件用IPC$共享从远程方拖到本地的时候，就满足了read or write条件，所以报警
这种情况完全是和antivir监控的原理有关的

[ 本帖最后由 mofunzone 于 2007-12-28 22:46 编辑 ]

宝贝要升天了

原帖由 mofunzone 于 2007-12-29 14:44 发表
antivir的监控我想已经写的很清楚了，read or write
那么远程电脑上的文件，只要不下载到本地，就不满足read or write的条件，如果病毒只是在远程电脑上，那么访问文件文件通过IPC$共享文件是不会复制到本机上的（同 ...

的确,通过IPC的方式是没有满足read&write的原理的.
但是换句话说,伞是不是要加个内存监控呢?
而且.假设远程服务器运行病毒,那么是不是伞也要被撕破了?呵呵.虽然现在病毒都是运行于本地磁盘的缓存.

另外NOD32都有IPC$的检测功能,伞这么强大,居然没有?

mofunzone

不明白为什么要内存监控
远程电脑运行病毒又不会感染到本地，没有病毒可以直接加载在内存中运行，这是不现实的，一定要下载到硬盘，形成完整文件，进行内存映射才可以执行，（如果不这么做，只是加载到内存，只要电脑从新启动，内存断电，病毒自动消失，因为内存断电之后是需要从新加载数据的）在下载到硬盘这个步骤，antivir能杀的就可以查杀了。。
p.s nod32的IPC$查杀是一项愚蠢的行为，没有杀毒软件可以在本地查杀到远程电脑的文件（例如你本地的软件永远不可能查杀到ftp服务器文件），故，nod32的IPC$查杀是把远程电脑的文件下载到本地，扫描之后报的病毒的，不管事后是不是nod32会删除下载的文件，这本身就一种愚蠢的行为，既然和自己没有关系，在用户选择下载文件并运行之前不会对自身产生任何威胁，为什么还要把文件下载扫描帮助别人杀毒？多此一举罢了，而且如果查杀后没有删除文件（我不知道），漏掉的病毒文件就留在了本地硬盘了

[ 本帖最后由 mofunzone 于 2007-12-28 23:02 编辑 ]