（6月6日更新）卡巴上网高CPU占用率（卡网？）的原因找到啦！

hushuai

更新一下测试2: 网页加载速度的数据记录。

测试方式：使用edge自带的开发者工具的“网络”记录网页的加载速度，测试包括删除缓存后点击同一个链接（冷加载）和不删除缓存的情况下重新点击同一个链接（热加载）的速度。此次加上了部分情况下关闭“脚本注入”的加载速度。



这个结果跟上次目测差别不大，但可以找出真正拖慢卡巴拖慢网页加载速度的组件----反钓鱼启发
完全关闭卡巴和卡巴默认设置在冷加载速度上差距高达一倍
而网页启发对加载速度并没有明显拖慢。
脚本注入对加载速度也没有明显拖慢。
自此卡巴安全浏览兼顾速度和安全最优解已经找到了--只关闭反钓鱼启发
--------------------------------------------

目前对于卡巴卡网的讨论和访问网站高CPU占用率的讨论越来越多，现在大家讨论可能的原因有以下几个：
1. https扫描。关掉后确定不卡网，CPU占用率骤降，安全性降低。
2. 关掉卡巴脚本注入。目前效果众说纷纭。

作为卡巴卡网节奏的主要发起人之一，我进行了进一步实验，有了新的发现

太长不看：卡巴上网高CPU占用率的罪魁祸首很有可能是：启发扫描！但跟卡网是否相关有待观察


本人机器配置：


网络：加拿大Bell 1.5Gbps有线。（插了个1G的网线，骚瑞）


网页选用在我当地有CDN的网站，这两个网站的ping值在我这是20ms左右。



这些网站都是使用国外流行购物网站平台Shopify构建。Shopify使用了流行的Javascript framwork，在初次打开这些网站的时候卡巴瞬间会有一个很高的CPU占用率。而关闭卡巴的时候这些网站的连接在我这里是瞬间开启的（不到一秒）

测试流程：打开这两个网站某一产品详情页面（详情页卡巴CPU占用率最高），在edge设置里清除缓存，关闭edge，打开edge，等待卡巴CPU占用率降到0%，恢复之前标签页，然后回到产品浏览页面打开任意产品链接测试打开速度。以下测试均测试至少2遍。
因为都是瞬间数值所以不好截图，我只说我观察到的结果。

测试1：卡巴默认设置（开启https扫描，开启脚本注入，Safe Browsing选项默认）。

CPU瞬间最高占用率：11.3%，连接打开速度：等待一秒进入产品页面。

测试2：关闭https扫描，Safe Browsing选项默认。
CPU瞬间最高占用率：1.4%，连接打开速度：瞬间进入产品页面。

测试3：打开https扫描（默认选项：按组件需求扫描），Safe Browsing关闭。
CPU瞬间最高占用率：3.5%，连接打开速度，感知上比测试1快，比测试2慢0.2秒左右。

测试4：打开https扫描（默认选项：按组件需求扫描)，Safe Browsing开启，关闭反钓鱼组件。Safe Browsing启发默认（中）。
CPU瞬间最高占用率：7.8%，连接打开速度：感知上与测试3相似。

测试5：打开https扫描（默认选项：按组件需求扫描)，Safe Browsing开启，开启反钓鱼组件，关闭反钓鱼组件的启发。Safe Browsing启发默认（中）。
CPU瞬间最高占用率：7.9%，连接打开速度：感知上与测试3相似。

测试6：打开https扫描（默认选项：按组件需求扫描)，Safe Browsing开启，关闭反钓鱼组件，关闭Safe Browsing的启发扫描。
CPU瞬间最高占用率： 2.8%，连接打开速度：感知上与测试3相似。

测试7：打开https扫描（默认选项：按组件需求扫描），Safe Browsing开启，关闭反钓鱼组件，Safe Browsing启发开到轻度。
CPU瞬间最高占用率：7.6%，连接打开速度：感知上与测试3相似。

测试8：打开https扫描（默认选项：按组件需求扫描），Safe Browsing开启，打开反钓鱼组件，关闭反钓鱼组件的启发扫描，Safe Browsing启发关闭。
CPU瞬间最高占用率：2.5%，连接打开速度，比测试3快，基本与测试2相似。
测试9：打开https扫描（默认选项：按组件需求扫描），Safe Browsing开启，打开反钓鱼组件，关闭反钓鱼组件的启发扫描，Safe Browsing启发默认（中），关闭脚本注入。
CPU瞬间最高占用率：7.8%，连接打开速度：感知上与测试3类似。

注：虽然连接打开速度速度全靠感知，但其实差别还是肉眼可见的。没经历过卡网，且不在意这零点几秒的朋友们可以完全无视。
注2：Safe Browsing启发扫描开到轻度后在卡饭样本区下载无密码Magniber压缩包时无法通过启发提前提示拦截。


注3：关闭脚本注入后第一次重启edge首页会加载缓慢，推测是脚本第一次加载时会保存至缓存里，打开新的网页会在本地加载脚本，而edge首页缓存并没有更新。

--------------------------------------------------------------------

结论：启发扫描是导致卡巴浏览网页CPU飙升的关键原因，关闭“反钓鱼”的启发扫描 或 Safe Browsing的启发扫描均会降低CPU占用，且能够提升页面加载速度。启发扫描开“中等”还是“轻度”影响不大，开启反钓鱼本身与否影响不大。脚本注入跟网页加载速度和CPU占用率关系不大。

这个测试我觉得算是找到了卡巴访问网页时瞬间高CPU占用率的核心原因，也可以解释为什么BD和ESET也有同样的https扫描，CPU占用率却远低于卡巴。但卡巴卡网是不是跟启发扫描有关并不能确定。毕竟卡巴卡网是偶发性事件，只能撞到了再测试。所以恳请各位有卡网经历的朋友们在遇到卡网的时候尝试仅关闭启发来验证。

而关闭Safe Browsing的启发扫描会降低安全性，请各位酌情关闭。

Jirehlov1234

有意思。反钓鱼确实可以关，只要有基本的安全意识钓鱼网站一般过不了肉眼杀毒。但整个网页反病毒的启发还是尽量不要关闭了。

jone_jys

楼主辛苦了，测试了那么多，总结起来的“罪魁祸首”，其实就是“加密链接扫描”。

hushuai

jone_jys 发表于 2022-6-3 23:34
楼主辛苦了，测试了那么多，总结起来的“罪魁祸首”，其实就是“加密链接扫描”。

我测试结果罪魁祸首不是“启发扫描”吗。
关掉所有启发扫描也总比直接关掉加密链接扫描安全一些把。

luodeyezifeiwu

学习了。KIS之前web防护把我IDM杀了，等大版本更新

jone_jys

hushuai 发表于 2022-6-4 12:41
我测试结果罪魁祸首不是“启发扫描”吗。
关掉所有启发扫描也总比直接关掉加密链接扫描安全一些把 ...

“加密链接扫描”不影响“安全浏览”。
换言之，关闭加密链接扫描，一了百了，而且不影响“安全浏览”功能（默认设置）。

jone_jys

我这最蛋疼的不只是卡网，是视频压根就不能播放。

火雪心

21.6不止卡网，还会莫名其妙卡顿、

hushuai

jone_jys 发表于 2022-6-4 00:46
“加密链接扫描”不影响“安全浏览”。
换言之，关闭加密链接扫描，一了百了，而且不影响“安全浏览”功 ...

nonono，现在的网站没有几个不是https的了，何况还有些远控也用https连接宿主机。关闭加密链接扫描在实际使用中基本跟关闭安全浏览区别不大了。
如果关闭安全浏览的所有启发选项，在卡巴病毒库里的连接还是会杀的，并且网速跟关闭加密链接扫描已经没有感知上的差别了。

lvseqiji

我反正直接不扫描浏览器的https流量了，现代浏览器安全的一比