杀软为啥会很大的写入？

j2016

缺缺 发表于 2017-10-20 14:00
EAV我使用下来，文件监控其实读取比较多写入少 他写入多是更新和WEB防护或者扫描，不信你可以关闭WEB一下午 ...

我理解你的意思是，打开文件，杀软关联这个文件，一起打开，当发生改变，就一起写入了？

j2016

fireherman 发表于 2017-10-20 14:41
我的理解是：【写入硬盘】，并不一定是【写入到磁盘扇区】，而是【写入到磁盘缓存】

（硬盘的缓存， ...

而且发现ESET也会有“写入”动作（因为压缩软件会在临时目录产生临时（缓存）文件），似乎是ESET先在软件写入前，放（监控）“网”，避免有可能是恶意的代码、数据写入到磁盘……

eset要知道所有软件执行或者读取，是如何产生缓存的吗？否则它怎么事先写入一个缓冲呢？我觉得这个不太可能，我觉得是不是和6楼的说法差不多，一起去执行这个文件呢？

我只是我的看法

fireherman

j2016 发表于 2017-10-20 16:49
eset要知道所有软件执行或者读取，是如何产生缓存的吗？否则它怎么事先写入一个缓冲呢？我觉得这个不太可 ...

ESET不会【预先知道程序】写缓存；所以才需要【加驱（加载驱动程序）】和【注册服务】；说得难听一点：就是ESET劫持了系统，而svchost.exe这个系统核心程序就成了ESET“劫持”系统后的“爪牙”，负责监控系统的【一切活动，包括用户自己的读写文件（例如打开记事本新建一个TXT文本文件），以及程序自动建立的文件（如浏览器缓存）】；

当有程序准备写入缓存（新建文件）的时候，svchost.exe就会向ESET“告密”，ESET就能在文件建立前，先放网。

最显然的例子就是：你在样本区下载一个ESET已经入库的样本，一解压，ESET就隔离了样本（本地静态文件），如果不是svchost.exe“告密”，ESET怎么可能会知道这个“样本文件”的位置？

也就是说，这个svchost.exe（内存里的文件，并非Windows里那个静态文件），充当了一个间谍的角色。

4楼小Q说的其实就是这个意思，因为这个svchost.exe是由ESET注册服务后，驻留在内存的、给ESET当“告密者”的程序。

PS：比喻很猥琐，请见谅。

fireherman

所以……【加载驱动程序（加驱）】，其实是一个高危行为；也就是说软件程序可以在最高权限下（R0），可以在系统里为所欲为。

因此……某些程序，例如迅雷这种单纯下载的工具加驱，行为就非常可疑（也是它耍流氓的本质和本钱）。

一般来说，一般来说，一般来说……只有：

1，【硬件】（显卡，声卡，网卡，USB接口，显示器等，你不让它们加驱，相当于每次重启都要重新设置它们，显然是不现实的）

2，【安全软件】（避免受到病毒、木马等的破坏）

才有“加驱”的资格。

j2016

fireherman 发表于 2017-10-20 17:03
ESET不会【预先知道程序】写缓存；所以才需要【加驱（加载驱动程序）】和【注册服务】；说得难听一点 ...

是不是svchost.exe把文件位置告诉eset，然后eset去杀了，

但eset为啥先放个网呢？只要知道这个文件位置，然后eset去扫描（读取）它，发现病毒，可以杀了，也不用写入啊

fireherman

j2016 发表于 2017-10-20 17:10
是不是svchost.exe把文件位置告诉eset，然后eset去杀了，

但eset为啥先放个网呢？只要知道这个文件位 ...

这个……是因果逻辑关系啊，不放网，怎么知道文件位置？

只要知道这个文件位置，然后eset去扫描（读取）它，发现病毒，可以杀了，也不用写入啊

只要知道这个文件位置……只要知道这个文件位置……只要知道这个文件位置

不写入，怎么知道这个文件的位置？

j2016

fireherman 发表于 2017-10-20 17:17
这个……是因果逻辑关系啊，不放网，怎么知道文件位置？

只要知道这个文件位置，然后eset去扫描（ ...

我还真不知道，为啥要写入才能找到文件？既然间谍已经告诉eset文件在哪里了，eset只要按照间谍所说的位置查找然后扫描就可以了啊

fireherman

j2016 发表于 2017-10-20 20:38
我还真不知道，为啥要写入才能找到文件？既然间谍已经告诉eset文件在哪里了，eset只要按照间谍所说的位置 ...

我不知道该怎么……怎么比喻……给你一个具体的比喻……

嗯………………………………

你是一种很直观的看法：就像你打开【记事本】，写了篇文章，然后【保存/另存为】，这样就是【把数据写入到磁盘】……下次，你用【记事本】打开【这个文件】就是【读取磁盘上的数据】这种直观的表达。

但实际上……除了这种直观的表达………………还有一些……

这样比喻吧。

我告诉你：XX超市 有特价商品销售；然后你就去XX超市，购买商品。（这是一种很直观的表达，而忽略了那些【你理所当然】地认为【本来就应该有的东西：路】）

不管你是走路去、跑步去、骑车去、乘车去XX超市，都需要【有条“路”】，而这条【路】是你潜意识里理所当然认为就有的东西；但实际却并不是这样……【这条通往XX超市的路】是需要搭建出来的，是【需要占用空间的，是你到XX超市的一个过程，是需要（个人/政府）去建筑出来的】

就好比你认为【eset只要按照间谍所说的位置查找然后扫描就可以了啊】，就是需要【有条路告诉ESET，那个文件在哪里，这条路是需要搭建出来的（就相当于分区表/索引/寻道），而且每次用完都要记录（空间就那么多，越建越多，硬盘再大都不够；那么下次再访问这个文件，就不需要重新建路了（缓存））】

yfdyh000

因为写入可能并非来自杀软，而是其他程序写入，杀软用驱动程序或某些系统接口来“劫持”以检查，然后放行、转交、或者识别问题，使其表现为杀软进程的读写。

劫持读写比写入后再检查能更早一些发现和阻断恶意文件的写入，但技术不精则可能出问题或影响性能。

kxmp

4L是对的
io不一定就是磁盘io