Avast加强模式详解，错的就是错的，不容胡说！

BFAX

请看完这个帖子以及2楼和置顶的7楼、16楼、37楼、38楼，我支持大家还是自己测试，我好不容易休息几天，想逛逛B站A站，抽空和老友们一起玩一天，错过这几天可能就要等半年，我不会把时间浪费在论坛里，所以各位如果没看完主贴以及2楼和置顶的7楼、16楼而回复我的恕我一概不回

8.8新动态|Avast论坛来自斯洛文尼亚的大大@RejZoR 对于小A加强模式的解释，在本帖已置顶的37楼查看

8.8新动态|饭友@qftest 与Avast首席技术官（现任COO)的VLK的对话以及其对我们可怜的"伽利略"小朋友那本已红肿不堪的小脸蛋施虐的全过程，在本帖已置顶的38楼查看

先概述一下，Avast的加强模式吧:

加强模式(一般)：
在正常情况下，Avast如果认为一些文件有可疑的特征,deep screen会进行进一步扫描。 如果启用加强模式,在大多数情况Deep Screen仍会对文件进行检测,如果没有找到明显的恶意的行为,Avast就会使用强化模式的分析模块进行更严格的分析，如果仍然无法识别，才会将云端查询结果作为基本

加强模式(激进)：
其实这才是真正的半白名单机制，在Avast认为一些文件有可疑的特征但deep screen没有找到明显的恶意的行为时会向Avast云端进行查询，如果这个程序不在可信任的软件里，那么Avast就将阻止其运行，并警告用户，这种模式是在极端环境下才开启的，一般用户不要犯神经开这玩意儿

我这里要说明一下，有很多人拿着小A的帮助文件里两个模式都依赖云说事儿，但实际上他们根本没明白人家的意思，强化模式的普通模式和激进模式对云的依赖程度是不同的，Avast官方之前也在Avast论坛进行过说明(帖子好像没了)，并且这也是在Avast官方论坛得到一致承认的(实际上这已经算是个很普通的常识)，各位可以去Avast论坛发帖问一下里面的大大们，甚至Avast论坛里的普通网友都可能知道这个常识，另外之所以在云端看不到这个模块，是因为他调动云端数据并不是独立调动的

起因我就不说了，我想国外区有不少人已经看到了，如果不知道的话，请看这个帖子:http://bbs.kafan.cn/thread-2051060-1-1.html

版主或者管理员如果认为我这是引战贴，扣经验减魅力封我ID随便，但是如果悄无声息的把帖子移动到回收站同时上面那个帖子依旧存在，那么这就是包含恶意目的言论封锁
在帖子中，它引用了官方的资料，并且将之解释为加强模式无论是普还是激进都是基于云信誉的。
想反驳这一点很容易，那就是断网（关于这一点如果怀疑是不是云缓存请看我置顶的7楼）

我已经听到了啪啪啪的耳光声顺着网线传来

英语没学好回小学好好读书，别在这里学别人啪啪啪，拿了四六级在学人家翻译文件吧

我本来想挂着这货在那里养成大XX呢，不过他这样引战，我就不得不反击了

关于我对那个病毒样本的分析，它是这么理解的:


然而我的原话是这么说的：

无论是不是恶意软件，这个软件有两个行为:1.安装程序2.隐藏自身产生的某个或某几个界面

我想他可能认为所有安装程序都会存在隐藏自身产生的某个或某几个界面这个行为吧或者是这货理解能力有问题

还有，这货说我是A粉。其实我是最近在帮我妹妹的电脑找杀软时，才在我妹妹电脑上深度接触Avast的，一开始是选定了Emisoft，但是我妹妹英语水平很烂，是那种高二了做初中试卷都全靠懵的，Emisoft汉化不完整，她执意不用，所以只好给她试试小A，测试楼主的样本也是为了测试小A的能力，我前段时间我发的找杀软的帖子也在这里各位去看看:http://bbs.kafan.cn/thread-2049497-1-1.html,实际上我是不折不扣的B粉，虽然现在用的是电子版KEY，但是以前买BD的盒子还在老书柜里，给各位来张照片：




好了，这台电脑是我妹妹迫于我的淫威才借给我用的（为了小A的截图），我也不想太费口舌，其实我的说法，如果想强行不信的话也可以以各种方法和角度解释为假话，也无所谓


如果是我还上着高中的时候，我一定会和这货死磕到底，但是现在好歹是个成年人，在学校里学法学还有一门辅修，所以时间不多，我不想口水，但我也不会因此而避事，还望某人好自为之

BFAX

另外这是我在样本贴里的言论，挂出来以便大家读贴：

BFAX

饭@avast 发表于 2016-8-2 20:45
小A是有云缓存的.

请楼主开个虚拟机装小A, 更新完小A就断虚拟机的网, 再把那程序拖进虚拟机, 再双击试 ...

Avast应该没有云缓存，本来不想折腾，不过既然你都说了，懒得弄虚拟机，我干脆在另外一台我的老电脑上装小A测试，自己看吧

1.首先安装Avast并且更新后这个电脑已经断网，直到测试都没有联网
2.这个电脑以前都没安装过Avast，不可能有缓存
3.病毒样本是直接U盘拷贝过去的，不存在差别

BFAX

icedream89 发表于 2016-8-2 21:53
所以你的意思封锁你认为是因为 触发了敏感性为所以封锁对吧？比如FS的DG
其实官方说明很清楚了，就是 ...

想想也并不是敏感行为，而是属于可疑行为链

我认为这个程序可疑的行为是在进行安装行为的同时隐藏了自己产生的某个界面，我一开始还以为是国内盛行的下载者木马

当然我并不确定是不是恶意程序，因为隐藏程序产生的界面的行为其实在软件上也经常被应用

但我认为正是这个行为链导致的小A加强模式的报警

其他的除了看完主贴外，再看一下我置顶的7楼吧

BFAX

水墨静音 发表于 2016-8-4 12:56
原来发张破图就是所谓实验哈哈哈哈哈哈哈，你们这些打肿脸还要充胖子的人真是一副德行啊，你好厉害哦，跟 ...

呵呵，你很激动吗？还是被打脸了怕了？打肿脸充胖子的人是你自己，而且还是被打肿的，2333，你除了一堆空话和拿官方的帮助文件用你那小学都没学好的英文胡乱的翻译在写一大堆自认为很专业很能耐的空话来搪塞之外，你有能拿出什么有力的证据证明你说的话呢？真是好笑

BFAX

水墨静音 发表于 2016-8-4 12:56
原来发张破图就是所谓实验哈哈哈哈哈哈哈，你们这些打肿脸还要充胖子的人真是一副德行啊，你好厉害哦，跟 ...

别人都是错的就你是对的行了吧，我的截图是P的，我有世界上最好的PS技术P图重来不留痕，我发图没用，你说两句一点都不靠谱的空话就是真理对吧，这样的人我也懒得理了，就把你挂在这里养成大XX吧

BFAX

新动态|Avast论坛来自斯洛文尼亚的大大@RejZoR 对于小A加强模式的解释:
https://forum.avast.com/index.php?topic=142172.0某个伟大的伽利略的脸又要挨打了，真心疼

BFAX

@qftest 饭友@qftest 与Avast首席技术官（现任COO)的VLK的对话，VLK肯定了加强模式具有行为分析的观点:


以及其对我们可怜的伽利略那本已红肿不堪的小脸蛋施虐的全过程

BFAX

我要打十個 发表于 2016-8-8 11:53
我看官方已经说的很清楚了吧，为什么非要执着民间大神呢，他们又不是参与开发的技术人员。

The eval ...

你非看帮助文件我也没办法，我也说了，很早以前（Avast7的时候）小A官方人员在官方论坛也解释过加强模式(普通)是存在恶意行为分析的，我也不是不尊重官方，但显然官方的帮助文件只是为了帮助一般用户，而不适用于现在我们所讨论的问题，如果你非要用不是一个级别的资料来解释这种有些复杂的专业问题，那么很抱歉，你的一切观点在这里我都无法接受

BFAX

我要打十個 发表于 2016-8-8 11:53
我看官方已经说的很清楚了吧，为什么非要执着民间大神呢，他们又不是参与开发的技术人员。

The eval ...

我38楼你可能没看见，我想Avast首席技术官（现任COO)的话要比一个简单的帮助文件有意义的多

饭@avast

小A是有云缓存的.

请楼主开个虚拟机装小A, 更新完小A就断虚拟机的网, 再把那程序拖进虚拟机, 再双击试试? 这样也报的话, 就能证明那位楼主错了.


已测试, 按照上述方法, 小A无反应. 但可能是虚拟机的原因.

workhardsam

雙方都冷靜,冷靜,

Gecko88

喝杯茶，消消火气      有事好商量

icedream89

听过云缓存？~

BFAX

icedream89 发表于 2016-8-2 21:20
听过云缓存？~

看置顶的7楼吧

HEMM

好高森！竟然布吉岛你们在讨论些什么，插不上话儿，又怕别人笑我土。
其实吧.....官方说什么就是什么吧，真相只有一个！但我们都不是柯南，别闹了！争赢了又怎么样嘛......
都少说一句吧，管它是信誉还是分析= =.....以自己用的时候为准，自己觉得是信誉就是信誉，觉得是分析就是分析，任性一把又可以不伤害别人。

只把自己的心得说给听的进自己的话的人听，别浪费时间和互相听不进去的人墨迹了，你们不在一个频道。
只把最好的留给欣赏你的人

欧阳宣

有个说法可以将你俩的说法都综合起来：

加强模式所基于的白名单是根据云端白文件库的信誉确定的，但是却下载到了本地，因此断网一样有效。

基于云端不一定要时时联网
断网拦截不一定要行为分析