原来，A2的监控没那么简单——揭秘，A2监控模式

Lelouch

因为之前与悠柚讨论过A2的监控模式，仍然有一些问题没有解决。就是有些就算能扫描出来的病毒运行的话仍然报的是该程序行为异常。随后想到了一个优先级的问题，就能解释这个古怪的A2了。
测试环境：
实机，XP SP2
首先，从六月的大包里面挑选出了几个病毒。分为两组。组一为运行直接报毒，而组二是提示该程序行为异常。
组一为
090601-2-1.exe，090601-8-0.exe，090601-8-7.exe。
这时设置为

首先我们分别运行这三个



直接报出病毒名。
更改设置

再运行这三个病毒。
首先，090601-2-1.exe
刚运行之后没有反应，几秒钟之后，

因为知道这是病毒所以没有允许就直接阻止了
090601-8-0.exe

阻止了
090601-8-7.exe
运行过了十几秒

可以看到，关掉了开启程序运行扫描后，不再报毒，报的也不是该程序行为异常，而是别的一些。
第二组，090601-1-0.exe，090601-1-5.exe，090601-1-3.exe
设置

分别运行



可以看到，就算开启了程序运行扫描，依然报的是程序行为异常
关掉程序运行扫描

依然




因为MAMUTU模块是一个智能HIPS，有丰富的内置规则。根据上面的可以想到。
第一组的三个病毒，运行之后没有触发提示程序行为异常的规则，所以启用了扫描，所以才报毒。
第二组的三个病毒，运行之后直接触发了提示程序行为异常的规则，所以没有启用扫描，直接提示程序行为异常。
所以，可以得出，在MAMUTU的内置规则里，提示程序行为异常的规则有最高优先级。其次是那些提示修改浏览器设置，后台联网之类的规则。
然而，A2的扫描的优先级又在那些提示修改浏览器设置，后台联网之类的规则之上，只要运行程序没有触发程序行为异常那条规则，就会自动调用A2扫描，也就出现了上面一部分病毒报毒而一部分病毒报程序行为异常的原因了。


简单的说，假如某一程序触发了最高优先级规则（我们称它为X规则，也就是会报程序行为异常的规则），那么则不会调用扫描。如果某一程序触发除X外的其他规则，也就是优先级低于X规则的其他规则，那么就会调用扫描。
A2的机制与其他不同，是以主防模块为主，特征码为辅的防毒软件

码字辛苦

[ 本帖最后由 zqx1114 于 2009-7-25 13:11 编辑 ]

人民

沙发支持楼主
支持A2

耍花剑的猫

规整一下

LZ是说，非行为监控报的，将调用扫描，可能扫描报毒

行为监控报的，则不调用扫描？？？

也就是，任何一个APP，只要运行，不是行为监控会管，就是扫描会管

但两个不同时管？？？

[ 本帖最后由 耍花剑的猫 于 2009-7-25 11:08 编辑 ]

bbsx

胡言

耍花剑的猫

原帖由 bbsx 于 2009-7-25 11:06 发表
胡言

理由呢？同志！

LZ发帖不是让你来喷的

SONGLEI

支持一下。优先级好象与众不同，一般的优先级都是特征码优先，行为防御垫后。

耍花剑的猫

原帖由 SONGLEI 于 2009-7-25 11:20 发表
支持一下。优先级好象与众不同，一般的优先级都是特征码优先，行为防御垫后。

LZ的分析，好像说的 A2这两个是反着来

Lelouch

假如某一程序触发了最高优先级规则（我们称它为X规则，也就是会报程序行为异常的规则），那么则不会调用扫描。如果某一程序触发除X外的其他规则，也就是优先级低于X规则的其他规则，那么就会调用扫描。

耍花剑的猫

原帖由 zqx1114 于 2009-7-25 11:24 发表
假如某一程序触发了最高优先级规则（我们称它为X规则，也就是会报程序行为异常的规则），那么则不会调用扫描。如果某一程序触发除X外的其他规则，也就是优先级低于X规则的其他规则，那么就会调用扫描。

原来是规则分等级啊，我是把MAMUTU内置的规则和调用扫描分开看了

那么，全部的规则走了一遍没有问题，但是程序还是要运行，是否这时候就调用扫描器?

Lelouch

原帖由 bbsx 于 2009-7-25 11:06 发表
胡言

请问为什么呢？莫非有技术纰漏？