关于卡巴的几个问题（Update!）

zwl2828

Q：卡巴的启发式是虚拟机启发还是机械式启发？
A：是虚拟机启发。

Q：为什么扫描IE临时文件夹会发现病毒，而监控没有发现？
A：设置问题或更新问题。

Q：卡巴的防御体系是由哪些组件构成?
A：特征码，壳侦测，启发式，HIPS，PDM五重防御。

Q：卡巴可以侦测的附加威胁有哪些？（比如黑客工具、色情拨号器、SPR之类的）
A：能想到的基本都有。

Q：卡巴经常更新自己的查杀引擎吗？
A：卡巴主要有两个引擎，一个是扫描引擎，一个是启发引擎。扫描引擎基本是不更新的（卡巴8用的是新的），启发引擎经常更新。

Q：为什么好多个DLL文件，Avira认为是Adware，但是上报KL，却说没有发现威胁？
A：只能说两者的定义不同，这个每个厂商都有自己的标准。其实常在样本区就会知道，这样红伞认为有问题而上报卡巴认为没问题的情况很多。

Q：QQ包含有木马的特征，为什么卡巴不认为QQ是木马？或者说有风险的软件？
A：早就白名单了

[ 本帖最后由 zwl2828 于 2008-5-1 05:20 编辑 ]

change_018

第一个肯定是了，其他的知道的模模糊糊，不敢误人子弟，我也很想知道这些问题的详细答案。

zwl2828

有人吗？

尤金卡巴斯基

谁知道解答一下

wangjay1980

1是
2.原因和1有关，请问卡是如何定义的？
3.设置问题或更新问题
4.特征码，壳侦测，启发式，HIPS，PDM五重防御
5.能想到的基本都有

欢迎提问

zwl2828

原帖由 wangjay1980 于 2008-4-19 20:55 发表
1是
2.原因和1有关，请问卡是如何定义的？
3.设置问题或更新问题
4.特征码，壳侦测，启发式，HIPS，PDM五重防御
5.能想到的基本都有

欢迎提问

非常感谢你的回答哈~
卡，就是扫描到一个文件，会停顿
类似于ESET和我早上的那个样本

change_018

还在揣摩。

wangjay1980

你所谓的“卡”，说白了就是长时间扫描，只是特定文件会出现，与特别的壳，免杀方式和干扰虚拟机有关。虚拟机启发需要不断的完善，卡巴的虚拟机也一样需要不断完善，使其更有效，更流畅。扫描绝大多数文件都不会出现此问题的。早些版本的启发引擎出现卡的问题更为严重，最新版的启发引擎已经基本很少出现此问题了。由于我一直在样本区活动，所以对此有一定的认识，其实也就是最近几个星期，我才发现了会导致新引擎长时间扫描的病毒样本。

change_018

原来如此

zwl2828

原帖由 wangjay1980 于 2008-4-19 21:36 发表
你所谓的“卡”，说白了就是长时间扫描，只是特定文件会出现，与特别的壳，免杀方式和干扰虚拟机有关。虚拟机启发需要不断的完善，卡巴的虚拟机也一样需要不断完善，使其更有效，更流畅。扫描绝大多数文件都不会出现 ...

呵呵，比ESET快多了
希望以后有问题能继续和你交流，谢谢！