请教一个关于网页监控的问题

beyondcloud

好多杀软的网页监控不需要下载文件就判断其安全性的原理是什么？望指教，谢谢
补充：不是说文件监控的缓存

[ 本帖最后由 beyondcloud 于 2008-3-8 16:23 编辑 ]

beyondcloud

一天过去了，准备来学习一下的，咋第一页都找不到贴子了
望高人指教，偶真的很想知道额

2aaaaaa

病毒信息下到内存里了,这个以前好像有人说过.

david_sg

现在主要用两种方式来实现网页监控

有些是通过结合Firewall来控制数据，比如Kaspersky,Trend Micro,Bitdefender。安装完Kaspersky以后你会发现多了一个““Kaspersky Anti-Virus NDIS Filter"这是用来截获数据包的，再配合上防病毒软件就成了网页监控，因为这些驱动工作在OS的底层，能过滤数据包。

有些是通过对LSP劫持来实现控制数据的，比如CA,F-Secure。

还有一些其他的方式，都不常用。。我就不说了。

有些人认为有File system based AV就够了，其实这是个误解。。。因为防病毒软件能检测得到并不一定能拦截得了，因为不少malware在运行的时候已经把你的信息传出去了，防病毒软件就算把malware本身拦截到了，但是并没有能阻止它把信息传送出去。对于你的信息安全来说，防病毒软件已经算是失败了。最好的办法就是在malware到达硬盘之前就把它拦截掉，malware没有运行的话是绝对无害的。HTTP Scan有好处也有坏处，坏处就是会多多少少slow down网速，而且会跟不少VPN或者Proxy有冲突。。至于开不开HTTP Scan自己衡量吧。

[ 本帖最后由 david_sg 于 2008-3-8 01:10 编辑 ]

beyondcloud

那网页监视的流程是什么样子的呢？网页监视如果也要下载到本地查杀的话感觉效果和文件监视差不多
a.文件监控：病毒文件——互联网——下载到本地缓存——文件监控检查杀掉
b.网页监视：？

嘁。不稀罕~

b:病毒-网络-端口-数据包在驱动层前被拦截（压缩包需要数据进入缓存解压，不过缓杀软解压查杀都是加密过的不会使病毒激活或运行）

beyondcloud

多谢

Heartstrings

nod32杀软的网页监控貌是LSP劫持。。。。。。。。。。。。