楼主: j2016
收起左侧

[讨论] 杀软为啥会很大的写入?

[复制链接]
j2016
 楼主| 发表于 2017-10-20 16:41:46 | 显示全部楼层
缺缺 发表于 2017-10-20 14:00
EAV我使用下来,文件监控其实读取比较多写入少 他写入多是更新和WEB防护或者扫描,不信你可以关闭WEB一下午 ...

我理解你的意思是,打开文件,杀软关联这个文件,一起打开,当发生改变,就一起写入了?
j2016
 楼主| 发表于 2017-10-20 16:49:02 | 显示全部楼层
本帖最后由 j2016 于 2017-10-20 16:57 编辑
fireherman 发表于 2017-10-20 14:41
我的理解是:【写入硬盘】,并不一定是【写入到磁盘扇区】,而是【写入到磁盘缓存】

(硬盘的缓存, ...
而且发现ESET也会有“写入”动作(因为压缩软件会在临时目录产生临时(缓存)文件),似乎是ESET先在软件写入前,放(监控)“网”,避免有可能是恶意的代码、数据写入到磁盘……

eset要知道所有软件执行或者读取,是如何产生缓存的吗?否则它怎么事先写入一个缓冲呢?我觉得这个不太可能,我觉得是不是和6楼的说法差不多,一起去执行这个文件呢?

我只是我的看法
fireherman
发表于 2017-10-20 17:03:52 | 显示全部楼层
本帖最后由 fireherman 于 2017-10-20 17:10 编辑
j2016 发表于 2017-10-20 16:49
eset要知道所有软件执行或者读取,是如何产生缓存的吗?否则它怎么事先写入一个缓冲呢?我觉得这个不太可 ...



ESET不会【预先知道程序】写缓存;所以才需要【加驱(加载驱动程序)】和【注册服务】;说得难听一点:就是ESET劫持了系统,而svchost.exe这个系统核心程序就成了ESET“劫持”系统后的“爪牙”,负责监控系统的【一切活动,包括用户自己的读写文件(例如打开记事本新建一个TXT文本文件),以及程序自动建立的文件(如浏览器缓存)】;

当有程序准备写入缓存(新建文件)的时候,svchost.exe就会向ESET“告密”,ESET就能在文件建立前,先放网。

最显然的例子就是:你在样本区下载一个ESET已经入库的样本,一解压,ESET就隔离了样本(本地静态文件),如果不是svchost.exe“告密”,ESET怎么可能会知道这个“样本文件”的位置?

也就是说,这个svchost.exe(内存里的文件,并非Windows里那个静态文件),充当了一个间谍的角色。

4楼小Q说的其实就是这个意思,因为这个svchost.exe是由ESET注册服务后,驻留在内存的、给ESET当“告密者”的程序。

PS:比喻很猥琐,请见谅。

fireherman
发表于 2017-10-20 17:09:09 | 显示全部楼层


所以……【加载驱动程序(加驱)】,其实是一个高危行为;也就是说软件程序可以在最高权限下(R0),可以在系统里为所欲为。

因此……某些程序,例如迅雷这种单纯下载的工具加驱,行为就非常可疑(也是它耍流氓的本质和本钱)。

一般来说,一般来说,一般来说……只有:

1,【硬件】(显卡,声卡,网卡,USB接口,显示器等,你不让它们加驱,相当于每次重启都要重新设置它们,显然是不现实的)

2,【安全软件】(避免受到病毒、木马等的破坏)

才有“加驱”的资格。

j2016
 楼主| 发表于 2017-10-20 17:10:20 | 显示全部楼层
fireherman 发表于 2017-10-20 17:03
ESET不会【预先知道程序】写缓存;所以才需要【加驱(加载驱动程序)】和【注册服务】;说得难听一点 ...

是不是svchost.exe把文件位置告诉eset,然后eset去杀了,

但eset为啥先放个网呢?只要知道这个文件位置,然后eset去扫描(读取)它,发现病毒,可以杀了,也不用写入啊
fireherman
发表于 2017-10-20 17:17:47 | 显示全部楼层
j2016 发表于 2017-10-20 17:10
是不是svchost.exe把文件位置告诉eset,然后eset去杀了,

但eset为啥先放个网呢?只要知道这个文件位 ...



这个……是因果逻辑关系啊,不放网,怎么知道文件位置?

只要知道这个文件位置,然后eset去扫描(读取)它,发现病毒,可以杀了,也不用写入啊

只要知道这个文件位置……只要知道这个文件位置……只要知道这个文件位置

不写入,怎么知道这个文件的位置?

j2016
 楼主| 发表于 2017-10-20 20:38:08 | 显示全部楼层
fireherman 发表于 2017-10-20 17:17
这个……是因果逻辑关系啊,不放网,怎么知道文件位置?

只要知道这个文件位置,然后eset去扫描( ...

我还真不知道,为啥要写入才能找到文件?既然间谍已经告诉eset文件在哪里了,eset只要按照间谍所说的位置查找然后扫描就可以了啊
fireherman
发表于 2017-10-20 21:02:15 | 显示全部楼层
本帖最后由 fireherman 于 2017-10-20 21:13 编辑
j2016 发表于 2017-10-20 20:38
我还真不知道,为啥要写入才能找到文件?既然间谍已经告诉eset文件在哪里了,eset只要按照间谍所说的位置 ...




我不知道该怎么……怎么比喻……给你一个具体的比喻……

嗯………………………………

你是一种很直观的看法:就像你打开【记事本】,写了篇文章,然后【保存/另存为】,这样就是【把数据写入到磁盘】……下次,你用【记事本】打开【这个文件】就是【读取磁盘上的数据】这种直观的表达。

但实际上……除了这种直观的表达………………还有一些……

这样比喻吧。

我告诉你:XX超市 有特价商品销售;然后你就去XX超市,购买商品。(这是一种很直观的表达,而忽略了那些【你理所当然】地认为【本来就应该有的东西:路】)

不管你是走路去、跑步去、骑车去、乘车去XX超市,都需要【有条“路”】,而这条【路】是你潜意识里理所当然认为就有的东西;但实际却并不是这样……【这条通往XX超市的路】是需要搭建出来的,是【需要占用空间的,是你到XX超市的一个过程,是需要(个人/政府)去建筑出来的】

就好比你认为【eset只要按照间谍所说的位置查找然后扫描就可以了啊】,就是需要【有条路告诉ESET,那个文件在哪里,这条路是需要搭建出来的(就相当于分区表/索引/寻道),而且每次用完都要记录(空间就那么多,越建越多,硬盘再大都不够;那么下次再访问这个文件,就不需要重新建路了(缓存))】

yfdyh000
发表于 2017-10-21 02:56:12 | 显示全部楼层
因为写入可能并非来自杀软,而是其他程序写入,杀软用驱动程序或某些系统接口来“劫持”以检查,然后放行、转交、或者识别问题,使其表现为杀软进程的读写。

劫持读写比写入后再检查能更早一些发现和阻断恶意文件的写入,但技术不精则可能出问题或影响性能。
kxmp
发表于 2017-10-21 12:54:34 | 显示全部楼层
4L是对的
io不一定就是磁盘io
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 18:11 , Processed in 0.159322 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表