同一杀软监控与扫描的关系！（本人彻底糊涂了~）

deadcarl

问题如下：
1.同一杀软监控与扫描是否使用同一个引擎创建的同一进程？
2.如果是两个进程，那么使用的算法是否相似？
3.用的算法相似，说明监控与扫描对病毒查杀差不多？（同一病毒库下）
4.病毒过了监控，一定能过扫描吗？（同一病毒库下）
5.监控使用资源少，扫描用的资源一定低吗？
6.监控灵敏，（即出现病毒，立即报警），扫描的速度一定快？反之，扫描的速度一定慢？

370341844

应该是两个进程
算法肯定不同
过了监控不一定过的了扫描
好像其他也没有必然联系

deadcarl

个人觉得同一杀软的监控，扫描实现算法上会有多多少少的相似！注意不是相同！
因此，监控的表现多多少少会反映出扫描的表现~~~！

夜.忆铭

1.不一定，不同杀软机制不同。
2.文件监控肯定会采取例如只扫描某些区域，或者关闭启发引擎一类的方法来降低资源占用，提高效率。也或者是只在文件新建时，访问时扫描。还有的是只扫描某种类型的文件。
3.应该是差不多的，但是按第二条，肯定是有差距的，差距大小不同杀软不同差距。
4.过了监控也分什么监控，带有主动防御或者HIPS功能的，过的了文件监控未必能过他们。过监控也不一定过扫描。
5.同第二条，这点也是不一定的
6.监控灵敏不代表扫描速度快，这要看扫描的设置

监控和扫描是两个动作,因此他们的算法肯定不一样.举个例子,监控就是门卫加个摄像头,每个进来的人都要查一遍身份.扫描相当于查房,但是他们两个的检查依据是一样的,就是你的脸和身份证上的照片是不是一样,身份证信息是不是真实的,这就是病毒库查询.
看你走两步,跟你聊聊,判读你是好人还是坏人,这就是启发式.
具体到门卫和查房的是不是一个人,同一个进程就不一定的,早期的杀软就一个进程.近来社会治安每况愈下,同时为了增加就业率就可能多个人一起干活,同时消耗的粮食空气,水,电也多了制造的垃圾也多了,咳咳,说的有点远了.
但是他们判读好人坏人的标准是统一的.但是查房的时候,你躺在床上,不需要走两步,也不需要聊天,所以没法启发,后来警卫聪明了,站在门口喊人,你不得以,只能自己下床,走两步还要和官老爷客气客气,得启发了.后来你也学聪明了,官老爷来的时候,就规规矩矩的,等小妞来的时候就.......
所以有的病毒就躲过了虚拟机查毒.
如果你干坏事的时候警察都没发现,去你家里在没有赃物的情况下,是不会请你躲猫猫的,强制请你多猫猫,不可能,一定是收了黑钱的.这就是假冒杀软
摄像头坏了,和身份证数据库不全都会造成反映迟钝,但是这两个之间没有直接联系.摄像头检查到了,数据库里没有,监控出来了,扫描没出来.
数据库里有,摄像头没检查到,基本不太可能

jempidon

现在我也不明白了

[ 本帖最后由 jempidon 于 2009-7-15 21:21 编辑 ]

嘁。不稀罕~

扫描是对监控的补充。
考虑到效率问题，监控可能忽略一些文件格式。
另外，一个新威胁，进入电脑时未入库，监控未发现，但可以在下次升级后，通过扫描发现。

deadcarl

这么理解对吗？
对于查杀率:监控 小于或等于 扫描
对于系统资源：监控  小于或等于 扫描
如果扫描的设置相似，监控灵敏意味着扫描速度快。
如果扫描，监控的设置相似，监控使用资源少，扫描用的资源相对低~

悠柚

a2free是没有监控的
a2antimalware在程序运行时才会调用ik引擎监控，有点像微点

easybeing

绝大多数监控查杀率等同于扫描，但是表象往往是监控更多点