[疑问]为什么从论坛下载RAR病毒样本，WEB防护不报警？

diaojf

在“WEB访问防护”的“ThreatSense 引擎参数设置”中，已经将“压缩文件”选中，“高级启发”选中，并且IE在主动模式下，按道理来说，IE不管从哪下载RAR病毒样本，都应该被ekrn扫描到，并弹窗报警。
可是测试多次，发现只要从论坛下载，ekrn均放过，病毒包成功保存到硬盘。
可是，将RAR病毒包传到静态网站上，再用IE下载，ekrn肯定弹窗报警。
研究多天，不得要领，请官论高手指点一下。

注意，这里只谈论“WEB访问防护”，不涉及“文件系统实时防护”，我也知道“文件系统实时防护”默认不扫描RAR压缩包，而且可以修改注册表开启这个功能。

我更近一步来测试：
我将*.RAR加入“黑名单”，按理来说，就不可能从网上下载任何RAR文件，但实际情况是，只要此RAR文件在论坛上，均可顺利下载到硬盘。

看起来好象动态页面的网站出现此类问题，静态页面网站可以被ESS截获，这个是不是ESS一个重要缺陷呢？

测试样本在样本区
链接地址：http://bbs.kafan.cn/viewthread.php?tid=255747&extra=page%3D1%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D39

hanyu6382 研究得如何了？可有心得？


[ 本帖最后由 diaojf 于 2008-5-22 17:05 编辑 ]

心情一隅

这些天虽都在论坛上，但都在忙些……呵呵
再次尝试，跟上次我俩讨论的一样。
在用迅雷下载网站病毒时，迅雷安全提示中心也会自动检测出来

用迅雷从论坛下载病毒同ESS一样，也没有提示。
论坛和其他网站我不知有什么区别。
PS：在这是不能发病毒文件和链接的。转到样本区，然后再给个链接吧！

可能在动态网页监控上，ESS真的存在问题。

[ 本帖最后由 hanyu6382 于 2008-5-22 13:31 编辑 ]

心情一隅

动态网页是与静态网页相对应的，也就是说，网页 URL的后缀不是.htm、.html、.shtml、.xml等静态网页的常见形式，而是以.asp、.jsp、.php、.perl、.cgi等形式为后缀，并且在动态网页网址中有一个标志性的符号——“?”，如有这样一个动态网页的地址为:

　　http://www.pagehome.cn/ip/index.asp?id=1

　　这就是一个典型的动态网页URL形式。

　　这里说的动态网页，与网页上的各种动画、滚动字幕等视觉上的“动态效果”没有直接关系，动态网页也可以是纯文字内容的，也可以是包含各种动画的内容，这些只是网页具体内容的表现形式，无论网页是否具有动态效果，采用动态网站技术生成的网页都称为动态网页。

　　从网站浏览者的角度来看，无论是动态网页还是静态网页，都可以展示基本的文字和图片信息，但从网站开发、管理、维护的角度来看就有很大的差别。网络营销教学网站将动态网页的一般特点简要归纳如下:

　　(1)动态网页以数据库技术为基础，可以大大降低网站维护的工作量;

　　(2)采用动态网页技术的网站可以实现更多的功能，如用户注册、用户登录、在线调查、用户管理、订单管理等等;

　　(3)动态网页实际上并不是独立存在于服务器上的网页文件，只有当用户请求时服务器才返回一个完整的网页;

　　(4)动态网页中的“?”对搜索引擎检索存在一定的问题，搜索引擎一般不可能从一个网站的数据库中访问全部网页，或者出于技术方面的考虑，搜索蜘蛛不去抓取网址中“?”后面的内容，因此采用动态网页的网站在进行搜索引擎推广时需要做一定的技术处理才能适应搜索引擎的要求。

[ 本帖最后由 hanyu6382 于 2008-5-22 13:22 编辑 ]

looklover

KIS7拒绝访问..提示有病毒

kiki

卡7好像是绑定那个◎！＃￥……％……％……※※……


所有可以（进站时候），所有在装的时候网会断。

nod可能工作原理跟卡7不一样