讨论：关于EAV HTTP防护的一些心得体会

diaojf

请大家指正，欢迎讨论。

以下仅讨论HTTP防护，不包括文件实时监控。就是说，病毒被HTTP防护放过下载到硬盘，在运行时也可能被文件实时监控阻挡。


ESS在默认情况下，只监控下列程序的网络数据：

1、访问网络80、8080、3128端口的程序；
2、在“浏览器列表”中的打勾程序，这时不管此程序链接那个端口，其网络数据都被HTTP防护监控。。

除了上述条件，ekrn不会过滤任何网络数据。

比如，下列2种情况，网络数据就不经过HTTP防护的过滤：
1、极端情况下：你用一个不在“浏览器列表”中的程序访问https（其端口是443）网站，而该网站带毒，你将被感染。这是由于ekrn检测到这种情况不在上述1、2条件内，未对网络数据进行扫描的缘故。

2、由于flashfxp软件访问FTP的21端口，它下载的数据将不被HTTP防护检测。
为了保证数据被监控，可以有以下2种办法：
2.1你将21端口加到端口列表中，如图：




2.2或者你将flashfxp加入“浏览器列表”且前边打勾。

注意：
如果将一个程序手动加入“浏览器列表”，ESS会自动在程序前打勾，此时，你将勾手动去掉变成空白，保存退出，等你再打开列表，就会发现刚才的程序不在列表中了，说明ESS会自动将此程序在“浏览器列表”中删除，没有任何提示。
这也从侧面说明：如果你发现程序在“浏览器列表”中，但前边是空白，则可以断定此程序肯定访问过外网的80、8080、3128三个端口中的一个。

在来一句废话，如果程序在“浏览器列表”中，前边为空白，且该程序访问的端口不是“80、8080、2138”中的一个，则ekrn不会对此程序的网络活动进行监控,因为ekrn已经自动将此程序从列表中删除。

嗯，哇哇说得对，在明确一下：
“浏览器列表”中前端空白的程序，其网络数据也被ESS监控，可套用第1条来解释，因为如果此程序未打勾，且未访问80、8080、2138，它将会被ess自动剔除出列表。


EAV HTTP防护“主动模式”的运行机理
主动模式：下载数据完毕后，EAV将其做为一个整体进行扫描。
非主动模式：数据边下载边扫描。
主动工作模式：迅雷下载数据时，数据先被ESET Smart Security保存到临时文件夹，当下载完毕后，ESET Smart Security开始扫描，如果安全，将数据返回给迅雷。此模式扫描精度最高。
非主动模式：迅雷一边下载，ESET Smart Security一边检测，扫描精度将降低，但是可以保证迅雷正常运行。

[ 本帖最后由 diaojf 于 2008-4-9 12:57 编辑 ]

ssjj1910

终于看明白了，，，谢谢楼主。

[ 本帖最后由 ssjj1910 于 2008-4-9 10:44 编辑 ]

friefrie

呵呵~   楼主可以去官方论坛发下~~~

friefrie

楼主的研究精神不错的   nod坛缺少这样的比较专业 比较深入的帖子~~~

猜不出你是谁

LZ说的非常详细，终于让我搞懂了一个模模糊糊的问题，赞一个

傻猪猪米走鸡

如果不在这几个端口内还是会被本地的扫描发现威胁……

diaojf

原帖由 傻猪猪米走鸡 于 2008-4-9 12:16 发表
如果不在这几个端口内还是会被本地的扫描发现威胁……

说的对，毕竟“文件实时防护”不是吃素的。

gho

所以这个还是

心情一隅

真是不错啊！详细教程结合个别设置的探讨可以对ESS有个更深入的了解啊！

sanhu35

LZ没有介绍网络接入保护的3个选项