关于杀软的监控！

袋鼠吱吱

还有这个资料：

⑶假病毒。一些类似于病毒行为的文件，程序等。测试的时候病毒库被置空（就是杀毒软件试图调用病毒库时采用程序方法向其返回一个空结果），在这种情况下进行测试。如果有人有兴趣，可以到病毒论坛上搞点新手写的小病毒（一般也就100-200行），弄上几十个拿自己的杀毒软件试一试，就会发现在平均状态下，从Norton病毒库被置空时起，对未知病毒判断能力还是挺强的。对于其他许多杀毒软件，就没有那么好远了，尤其在对付比较复杂的蠕虫病毒时，某些厂商的产品近乎全军覆没。

jpzy

有这个疑惑是因为我某次听某个高手说了一句：现在监控都不是全病毒库监控…………

然后联想到Norton 360扫描时候的资源情况，就产生了这样的疑惑！

有没有可能这样，比如毒库当然是完整的，包含了从DOS到Vista的所有病毒，但是监控的时候采用近几年的病毒库，而扫描的时候才会调入一些不常见的病毒库！

jpzy

或者，监控依靠引擎和小部分特征来进行防护，当发现可疑的时候再调用全库来进行比对。

袋鼠吱吱

原帖由 jpzy 于 2008-7-17 18:50 发表
或者，监控依靠引擎和小部分特征来进行防护，当发现可疑的时候再调用全库来进行比对。

貌似是这样的？

[ 本帖最后由 袋鼠吱吱 于 2008-7-17 18:54 编辑 ]

T-G001

呵呵,如果我用的杀软平时监控不用全部毒库,我就把他扔掉,不听他任何解释.

woai_jolin

这应该不会
监控和扫描的引擎是不一样的 例如FS FS的监控带有norman的sandbox
再例如eset eset的网络监控 文件监控都有不同的启发
号外：某些AV的监控对文件的大小有限制 并且某些AV是读写扫描 某些则是全盘监控

jpzy

原帖由 woai_jolin 于 2008-7-17 18:58 发表
这应该不会
监控和扫描的引擎是不一样的 例如FS FS的监控带有norman的sandbox
再例如eset eset的网络监控 文件监控都有不同的启发
号外：某些AV的监控对文件的大小有限制 并且某些AV是读写扫描 某些则是全盘监控

可是，即使引擎不同，即使监控和扫描的对象有差别，那也不能解释，Norton 360在扫描的时候，进程的虚拟内存会飙升啊！一般杀软的毒库应该都是在虚拟内存里面的，不是吗？只要监控用到全部的毒库，那就应该读入到虚拟内存中了！

难道Norton扫描的时候保护当前的现场了？把当前的数据压入自己的虚拟内存保护起来？

woai_jolin

原帖由 jpzy 于 2008-7-17 19:12 发表


可是，即使引擎不同，即使监控和扫描的对象有差别，那也不能解释，Norton 360在扫描的时候，进程的虚拟内存会飙升啊！一般杀软的毒库应该都是在虚拟内存里面的，不是吗？只要监控用到全部的毒库，那就应该读入到 ...

当你监控中设定监控压缩包 资源占用也会升高

caolizhen

原帖由 袋鼠吱吱 于 2008-7-17 18:02 发表
我想上面这段是有帮助的，转过来。

我一次回复分两次，其实用心相当良苦的，楼主感谢我啊。。。论坛管理员在背后哭了，靠，就这么消耗我的资源啊，嘎嘎。

囧。。。。我刚开始还以为是袋鼠自己写的来。。。老人家打字不容易。。。。

caolizhen

其实一般的监控的话，杀软是会减少启发甚至不进行启发等高资源占用方式进行扫描的，这样能加快我们的系统运行速度，当然安全性能也会降低一点，但是杀软的监控应该不可能仅仅用一部分病毒库（当然不排除不使用比较古老的库这一看法），当然说实话，只有极少数的病毒能让杀软在低启发下无法发现，而高启发可以发现的（我用卡巴测样本多年，说实话还真没见过这种现象），感觉有时候，特定的环境下，有些很占资源的，但带来效果不大的功能完全可以在监控中省略，毕竟杀软不能太拖累我们的系统吧~~~~~