红色为讨论、目前测试结果
转载注明 卡饭/jimmyleo 整理
1.监控使用端口
将avguard.exe监控所用的TCP端口18350封掉,监控状态变成unknown未知。但似乎监控机制仍然在运行。它的运行机制究竟是什么呢,为何要使用端口。
2.网页监控
脚本类威胁(HTML/JS/VBS/EXP)
并非实时监控脚本的执行,只对下载到缓存盘的临时文件进行判断。
经实验与浏览器内核无关,与其缓存结构有关。
IE/Maxthon、Opera 都是直接文件做为缓存。
而Firefox采用了独特缓存结构,将多个文件组合成无后缀名文件。
如果设置中并没有设置成所有类型则不报。
网页上的恶意代码反复报。
个别网址第二次进入不报应该是代码段问题。
并没有学习机制。
测试网址
http://ew.gqjy.net/soft/aqxg/bdfz/200608/229.html
http://www.54r.cn/
下载文件威胁
EXE和自解压包 报。RAR 不报。
RAR对电脑没有威胁,对RAR不监控也是特色之一。
可以看作是节省资源。二来也可以下载样本包了。
测试地址
http://www.kpfans.com/bbs/attachment.php?aid=32565
3.解压缩
游客,本帖隐藏的内容需要积分高于 20 才可浏览,您当前积分为 0
下载火星代码,然后建立个忽略文件夹。
在该文件夹操作,把ZIP解压后打包成RAR格式。
确定你的监控激活状态。
然后两者拖出文件夹,以任意方式解压。
皆报。
个别RAR包不报原因未明。
4.监控间隙
Only the application (service) is stopped and restarted. So as you say it is just the Icon that closes and opens not the Guard so this is not a bug.
只是托盘服务关闭再重启(即图标伞表现为合开),而并非监控的重启,故不存在监控的间隙。[官方解释]
5.排除无效
将其中一个区域或者文件排除之后,隔段时间排除就失效了,但是你的设置没有变。然后再将排除设置删了重新排除,于是之前的排除又生效了。。。并且不会因为重新启动而失效。
大家就这些个问题讨论下吧。
如果还有新的问题可以追加啊~
多指教~多板砖
[ 本帖最后由 jimmyleo 于 2007-2-27 19:25 编辑 ] | 
发表于 2007-2-16 09:14:36
发表于 2007-2-16 10:09:36
楼主
