346的bug？

jpzy

昨天跑了一天，感觉346还是像以前的卡巴一样，时不时的卡一下。目前不清楚原因所在~~~~343因为存活时间短，所以还不清楚是不是有类似的问题！

很高兴的一点是卡巴的杀猪声回来了，原来是设置里面多了一个选项，而且默认没有选中！

还是说说卡巴的bug吧~！卡巴8.0的网页监控似乎没有以前好了，以前下载一个样本包，不用等到下载完，卡巴就会报警，现在是样本包的所有数据都已经传输完成了，卡巴才会报警。而且最糟糕的是，我已经点击了Block Download，然后去下载文件夹下一看，样本包好好的在那呆着呢！

发现这个问题纯属巧合。昨天改出了杀猪声以后，想测试一下有没有声音，所以跑去样本区下载样本，听到杀猪声以后，我就点了Block，然后就去干别的了！结果到晚上我扫描磁盘的时候，突然在我的下载文件夹下面提示发现了病毒，一看路径，就是那个样本包！我记得以前的卡巴，点击block以后，是不会看到有样本包存在的。为了验证是不是我以前下载的样本包放在下载文件夹里面忘了删掉。我特意又跑去昨天那个帖子里面又下载了一次，结果证明了卡巴没有阻止下载。

根据我的观察，卡巴现在对样本包的防护是：先下载，等所有数据下载完了，才解包监控，一旦发现异常，就弹出提示，但是即使选择了Block，样本也还在（不过因为点击了Block的缘故，打开rar的样本包时会提示样本包有损坏）。这似乎不是监控数据流，而更像是监控IE缓存了~！

change_018

楼主随卡巴的更新而更新？
不过现在看来RC2还算不错嘛。

[ 本帖最后由 change_018 于 2008-4-21 12:45 编辑 ]

wangjay1980

报警快慢和样本大小有关，这个不是什么BUG，以前也一样。一个几十K的和几百K的反应速度当然不一样。必须要你下载到有害数据时，卡巴才会提示。
你提出这个问题我还真的很意外。

你说的阻止问题，以前也是一样，因为卡巴扫到有害数据时，包已经部分缓存在硬盘上，卡巴阻止有害数据后就破坏了压缩包，所以压缩包损坏。

卡巴的WEB反病毒处理流程是没有变化的

网页监控的引擎和卡7是一样的，所以没有变强变弱说

[ 本帖最后由 wangjay1980 于 2008-4-21 13:27 编辑 ]

wangjay1980

给你个例子，验证一下。

1.样本大小49K，右键下载后，瞬间提示，阻止后如下图，确定后，样本没有被下载
样本连接：http://bbs.kafan.cn/viewthread.php?tid=239013&extra=page%3D1



2.样本大小215K，右键下载后，即将下载完毕时出现提示，阻止后，样本会继续下载到桌面，但是压缩包损坏。如图
样本连接：http://bbs.kafan.cn/viewthread.php?tid=238488&extra=page%3D1




如果对损坏的压缩包再次进行扫描，卡巴还会提示包内有毒（因为还有残留特征码），选删除后，卡巴提示无法包内清毒，只能删除整个压缩包。原因是由于此压缩文件已经被卡巴破坏了，所以没有任何危害。你可以尝试将包内的文件解压出来，你会发现这是不可能的，因为压缩包已经坏了


下载并阻止


扫描损坏压缩包，提示需要删除整个压缩包


尝试解压包内的病毒文件，出错提示如下，无法解压出病毒文件



证明过程结束，想要了解的朋友可以按照我的步骤自行测试

change_018

楼上强大，学习了。

kenhang

哈哈，正解。俺对你那样本文件的名称比较感兴趣，嘎嘎~~~~~~



感觉346已经很不错了，最多就再熬上个把两个月吧。

[ 本帖最后由 kenhang 于 2008-4-21 14:13 编辑 ]

木水流年

4楼的样本文件名实在是囧ZG

[ 本帖最后由 木水流年 于 2008-4-21 14:15 编辑 ]

wangjay1980

原帖由 木水流年 于 2008-4-21 14:14 发表
4楼的样本文件名实在是囧ZG

临时找的，对不住大家的眼睛了。

jpzy

谢谢wangjay版主的解答，不过我相信我了解卡巴的工作原理，我说的也不是乱说的！
卡巴原来的网页监控应该类似于流扫描，就是说检测到有害代码以后，就会弹出提示！

我下载的是http://bbs.kafan.cn/viewthread.php?tid=238963&extra=page%3D1这里的样本！

这里面一共22个样本，按照以前我使用的情况，下载不到10%就应该有报警，而不是99%！我是用的右键“另存为...”下载的，到99%的时候，实际上所有的数据已经传输完成了，系统将把文件从缓存移动到用户指定的文件夹。这个时候卡巴弹出提示其中的19号样本是XXX，是否阻止。点击Block以后，去下载目录查看，可以看到22.rar这个文件，双击打开，提示不可预知的末端错误（这是KIS8.0的Block造成的），但是此包仍然可以解压缩。解出来的样本卡巴全部能够查到并清除~！我想，卡巴已经改变了网页监控的模式，由数据流监控改成了缓存文件监控，这样的好处是不会拖网速。

jpzy

谁还在用7.0或者6.0的版本？帮忙做下测试，打开我回帖或者wangjay版主的回帖里面的链接，尝试下载压缩包，并且在卡巴提示的时候点Block，然后查看下载路径下面是否有样本包？！

我记得是没有！就是说，点击Block以后，样本包将不会被保存。而不是现在这样被破坏！wangjay版主的测试跟我反映的情况其实是一致的。

[ 本帖最后由 jpzy 于 2008-4-21 14:26 编辑 ]