关于杀软的监控！

jpzy

前一阵子用Norton 360的时候，我发现，当我启动手动扫描的时候，Norton 360的一个进程的虚拟内存会飙升到超过1G，扫描结束后，这部分资源会被释放。

而我也听说，目前很多杀软为了控制平时的资源占用，监控使用的都不是完整的毒库，只有扫描的时候才会使用完整病毒库！

想跟大家讨论一下，到底这种现象是不是意味着，杀软为了控制资源而采取了监控只使用部分病毒库的措施呢！

这种监控方式，会不会造成什么危害呢？如果只使用部分病毒库，那么如何保证监控的有效性呢？！

polly5771

诺顿没用过。但从红伞来看，scan和guard的检出率似乎没有区别。

最好的办法是做个测试我也想知道，扫描和监控用的毒库一样否（猜想是一样）

引用:
<扫描的时候一般启发式啊，rootkit这些技术都是最大模式，而监控为了让我们系统流畅，一般这些技术都是尽量开小甚至关闭~~~很多杀软亦是如此>


PS:监控还有个主防的问题.

[ 本帖最后由 polly5771 于 2008-7-17 14:32 编辑 ]

从f-secure来看，监控比扫描完整

gho

不是吧，监控应该使用全部病毒库

袋鼠吱吱

这个应该是不可能的。

一些杀软是直接把病毒库读入物理内存，好像F-Prot就是这样，所以内存占用虽多，但是貌似比较流畅（道听途说，自己没有用过）

事实上监控和扫描的差距只在于一些细节上，比如是否支持压缩包，当然像咖啡这样的杀软，故意把监控的启发式阙值调低，属于特例。

就传统特征码而言，我认为监控=扫描，但不敢确定。不完整的病毒库的说法我不赞成。但也不敢确定。我和楼主有着同样的疑惑，持续关注+帮顶，感谢提供这么好的话题，搬个板凳来学习。

袋鼠吱吱

这个话题应该涉及到杀软引擎的原理。因为好的引擎不依赖病毒库也可以侦测到不少威胁。太深奥了。。。高手请赶快解答疑惑吧。

嘁。不稀罕~

嘎嘎。。。木有听过不使用完整病毒库之说。。。
如果是和扫描有区别的话，就是排除一些低风险文件类型，跳过超大文件，忽略加壳文件之类的。。。上次看见赛门铁克区也有人说什么2009测试版用不完整病毒库。。。这是不可能的。。。

sound886

F-secure特殊一点，貌似好像是上次扫过的发现一些特殊的文件下次就会自动跳过去（比如很大的文件）

袋鼠吱吱

⑴非自身程序行为的程序行为捕获。包括来自于内存的程序运行，来自于给定文件的行为虚拟判断，来自于网络的动态的信息等等。一般情况下，我们称之为引擎前端。捕捉的方法非常多，除Norton以外的杀毒软件采用的都是行为规范代码化的方法。Norton由于与微软有远远高于其它厂商合作关系，其实现过程比较独特，另有叙述。
⑵基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平，一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为，存而避免进入下一个判断环节。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术，即在文件中寻找特定的十六进制字符串，如果找到，就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒，相继开发了所谓的虚拟机，实时监控等相关技术。这个环节被叫做杀毒软件引擎工作的核心层。

⑶引擎与病毒库的交互作用。这个过程往往被认为是收尾阶段，相对于前两个环节，这个阶段速度是非常慢的，杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符（包括静态代码等），然后与病毒库中所存贮的行为信息进行对应，并作出相应处理。当然必须承认，当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到，如果在核心层阶段就可以结束并清除病毒程序，那么杀毒软件的工作速度将会大幅提升。“很可惜的是，当前我们没有足够聪明的杀毒引擎来完成这个过程”，这就是为什么有病毒库的原因。

袋鼠吱吱

我想上面这段是有帮助的，转过来。

我一次回复分两次，其实用心相当良苦的，楼主感谢我啊。。。论坛管理员在背后哭了，靠，就这么消耗我的资源啊，嘎嘎。