对杀软网页监控一些个人的浅见（分析+交流+之前BitDefender帖子的回复）

嘁。不稀罕~

　　南京下雪了，可是2008年的第一场雪，天冷在只能家当宅男，随便原创个有些技术含量的帖子纪念下。。。（又是好多字）

　　网页监控，是大多数杀软具备的功能，因为各杀软采用的方式不同，设计的理念不同，所以效果自然不同，这就是大家争议的地方。比如下载病毒文件avast!弹出拦截器，BitDefender不让网页打开（高设置），kaspersky下载前报警（高设置），而有些则是页面下载完才报临时文件夹有毒。
　　常看见样本区出现”某某不让下载“，”某某手动才报“之类，然后因此得出”某某网络监控怎样“的结论，所以我就在使用过程中留意了一下，以下是我的一些浅见（可能全是错的，所以大家随便看看）

影响监控灵敏度的因素有些是技术问题，有些是设计理念。我用过的杀软中有下面几种方式：

过滤数据包
　加驱动
　　去年趋势2007在安装中加入了Trend Micro Common Firewall Driver，使自己的防火墙在07年的评测中得到不错的口碑，而今年许多杀软的08版，也都在网络组件中加入了驱动，像BitDefender，Kaspersky，Norton，Panda，ESET。效果体现在BitDefender08监控更灵敏，Kaspersky7.0效率更高（下载不拖网速了），NIS08更静默了。其实“Kaspersky Anti-Virus NDIS Filter”，“BitDefender Firewall NDIS Filter Driver”这些是防火墙的驱动，被用来截获数据包的，配合上杀软，就成了网页监控，这也就是现在一些杀软在病毒没下载到硬盘就报警的原因之一。由于驱动工作在底层能够过滤所有数据包。
　LSP劫持
　　大家都不看好，但我一直没抛弃的CA Internet Security Suite 就是通过劫持LSP实现数据包拦截的。装过CA后用金山清理专家，或者360安全卫士就会发现LSP被CA劫持，虽然和上面那些软件使用技术不同但目的是一样的。（这个帖子不是谈防火墙，所以不分析防火墙使用LSP的好坏）

监控缓存
　　最明显的特征就是下载文件时还没有指定路径就产生下载的流量，其实就是抢先下载到缓存进行扫描，当点击下载时会发现1M的ADSL会上到500~600K/秒，然后慢慢下降，但是关闭监控就不会有这种情况了，比如F-Secure。还有一种是Kaspersky6.0的时候，我用50M的LAN下载，没开监控4.5M/s，开了监控2M/s，其实这是吹毛求疵，Kaspersky本来就不是以扫描速度见长的，而且这种网速也很少出现在家用电脑...

监控IE临时文件夹
　　这就没什么说的了，太多正在进步中的杀软都守在这最后一道防线了。

ps：金山的网页防挂马是浏览器插件，监视浏览器行为的，和网页监控无关。

总结：
　　在同样的技术下，杀软出于对资源占用的考虑和系统的运行效率，会有选择的监控，最常见的就是默认不监控压缩文件，不监控超大的文件等。另外，有些杀软带壳入库，所以有些病毒一下载就报，有些杀软需要脱壳，只能下载到硬盘，扫描后才报，（就算网页监控有高启发也不能脱壳吧）。最后就是病毒样本的收集了，再好的监控技术，没有特征码（启发也需要）等于没用。所以网页监控的灵敏度和技术好坏关系不大。

　　以上是我对杀软网页监控的认识，全写出来和大家分享了，大家交流一下吧。（只谈网页监控，不涉及可以互补的HIPS和防火墙，因为发在杀软区所以就不涉及防火墙的数据包过滤驱动了）
　
    　之前都发些小白类的帖子，偶尔也原创一回技术贴，以上文字全是自己亲自使用后的猜测，未经证实，不知对错，所以仅供卡饭们灌水，禁止转帖，防止扩散。。。免得误导新人或被高手耻笑！

[ 本帖最后由 abeyl 于 2008-1-14 16:14 编辑 ]

嘁。不稀罕~

回复BitDefender Total Security 2008使用体验（优点+问题+问题分析+多图+设置解释）

      VeleSila
      以前听说它的行为模拟独步天下...还以为是个Sandbox什么的,现在有点蒙了,那玩意儿到底是啥?  - -|
B-HAVE

      cbeiyiwang
     （顺便一句，，楼主你的主题包那下的啊 ！，，给个地址好不，，我要mac os的，，有吗？？就像你那样能吧桌面图标改漂亮的！）
平时看到就收集的忘了，是用绿色wb吧，没占用什么资源。

      酷德
      楼主用的破解？
就论坛上的，很好很强大！


      loveyuwei
      Total Security进程肯定很多吧？
帖子写的很清楚，貌似4个实际5个！

      jpzy
      第一个问题，安装的时候可以定制组件吗？
      第二个问题，印象里BD的进程很多，08版精简了？
      第三个问题，资源占用似乎还算合理啊，开机PF210M？
      第四个问题，有没有破解啊？
1，不可以；2确实只有那几个；3安装前开机100M，安装后开机210M；4，有免费250天和破解！

      jick117
      解决了C++ runtime error的问题了后在考虑
我是没遇到，但是据说新版本解决了这个问题。。。

[ 本帖最后由 abeyl 于 2008-1-14 16:08 编辑 ]

wlbol

晕，南京也下雪？哈尔滨入冬下了两场雪，一场没挂住，一场人工降雪……
一般我是关了web traffic scan，就看杀软监控强不强了……

[ 本帖最后由 wlbol 于 2008-1-14 16:13 编辑 ]

panduora

lz的桌面墙纸我想要啊。。。

panduora

我用的是普通版，就是没防火墙的，他的防火墙不稳定，但他又很容易与其它防火墙冲突，比如op
所以目前还是没有墙
感觉好像除了卡巴能把杀软的所以进程关掉外，其它杀软都是不行的，几时右键推出还是继续保护着计算机，但我如果要玩游戏的话就比较麻烦了[:27:]

scclily

桌面墙纸我也想要的所。。。

hljdqzr

呵呵,很有意义.
长见识了.
楼主用过好多杀软啊,也发过很多有意义的帖子。
全面介绍一下体会吧。

lanalog

你说的虽然我自己没有亲自测试,感觉还是学习了不少,
支持一下

killerwhale

我也是南京的玄武区的 支持一下楼主  顺便问一下截图上的图标是从哪找的谢谢

jick117

1，BD不会解毒
2，BD2008 这么大的bug就放出正式版来了，和他公司不符

PS：没有鄙视他的产品意思，用他来防毒还是不错，但是及其鄙视他的服务，上报样本从来都不回复，入库时间也很长………………哎，不说多了

[ 本帖最后由 jick117 于 2008-1-15 08:25 编辑 ]