再议a2 antimalware的监控（感谢Palkia sam.to coollife的样本！）

悠柚

感谢zqx1114的提醒，让我再次注意到了这个问题，所以决定再做一次实验，来看看a2 antimalware的监控到底是如何工作的

首先说明系统情况 Windows Seven 7264 32bit系统

a2 antimalware版本（已更新到最新的病毒库）


实时监控设置中只排除了explorer.exe


其余的设置





注意：我开启了程序运行扫描

ok，测试开始

[ 本帖最后由 悠柚 于 2009-7-23 15:15 编辑 ]

悠柚

我随机选择了样本区的三个毒包，这三个毒包，a2 antimalware均可识别，且病毒名称结尾为!IK




现在我双击压缩包

嘛事也没有发生

接下来解压（为了好运行，我选择了exe文件）

依然是

接下来是双击（我是实机运行，请祝我好运）

终于出现了，我得救了，与之前扫描报的一样

[ 本帖最后由 悠柚 于 2009-7-23 13:45 编辑 ]

悠柚

之后我又做了点实验，发现复制 剪切 粘贴 查看文件属性都没有触动警报，由此可见，a2 antimalware的监控类似于Threatfire但不同于微点，微点在文件解压时就会用特征码进行监控，而TF a2 antimalware则只有当病毒程序运行时才会出动特征码进行报警，日常使用应该没有问题，如果不习惯可以搭配传统杀软，让杀软只监控写文件，而让a2进行程序运行时扫描（但是应该很难找到比a2+ik更BT的引擎了吧），好了，本次直播结束，如果有问题，可以询问

[ 本帖最后由 悠柚 于 2009-7-23 17:06 编辑 ]

Lelouch

沙发，强力支持！！！！

Lelouch

MS我现在就是A2+IK
但是依然有疑问，http://bbs.kafan.cn/viewthread.php?tid=467188&highlight=IK%2B%C9%F1%CB%C6这个帖子的情况是怎么回事？
并且，我的情况是，解压出来扫描全部识别，但是手动运行有时则是报可疑行为

[ 本帖最后由 zqx1114 于 2009-7-23 13:40 编辑 ]

悠柚

补充测试，这次不用winrar，用7z打开压缩包


依然和winrar一样，双击压缩包是不报的

liangxy

刚换a2，就看到了技术性文章
不过a2的监控模式不会导致漏掉病毒吧?

悠柚

应该不会，只要病毒运行，a2就可以阻止它的运行，并且隔离

loveitmac

你先不扫……
先运行……
看看还会报不！

悠柚

ok，我在补测一次，保险起见，开了kv的主防（文件监控关闭）
http://www.virscan.org/report/7a02acf98e3fc03fe8463f39f700abc5.html
这个文件a2是可以发现的，但是我本地没有扫描
感染性病毒，请祝我好运

好险

[ 本帖最后由 悠柚 于 2009-7-23 14:41 编辑 ]