关于AVG的监控和启发

snic

原帖由 穿越星空 于 2009-9-15 21:50 发表
　　假定卡饭的病毒样本分析是无误的，那么我的理解是开了启发应该能够侦测到更多的病毒（这部分就是未入库的），可是结果没有，所以我觉得AVG的启发作用不大。

照你的说法应该是红伞启发才用处不大吧?

AVG Anti-virus Free[8月非正式测试]
Avira AntiVir Personal V9 [8月测试]

八月查杀測試	AVG启发查杀数	红伞启发查杀数
1	3	1
2	--	0
3	1	0
4	--	0
5	1	0
6	--	0
7	2	1
8	6
9	4	0
10	3	1
11	2	0
12	--	0
13	6	0
14	--	1
15	4	1
16	---	0
17	1	4
18	---	0
19		0
20		0
21		1
22		0
23	---	0
24	1
25	---
26	4
27	1
28
29	1
30	---
31	3

怎么看都是AVG的启发对查杀率提升帮助来的比红伞大
所以反过来我是不是该说其实是红伞的启发帮助不大?
根本就不是这样看的~

[ 本帖最后由 snic 于 2009-9-15 22:59 编辑 ]

snic

原帖由 edwardcl 于 2009-9-15 21:29 发表
我试过AVG的网页防护，红伞报警对话框都出来了，点击删除之后， AVG的视窗才出来，这个说明。。。。

你的测试方法是错的~

AVG的网页防护基本上是防漏洞和恶意代码但不太抓垃圾档的
而avira是事后吃药型的，也就是说文件已经在写状态时，它才判断的
所以如果判定条件是在漏洞执行核心代码之后并且你电脑中也存在着该漏洞的话
那就等于白拦顶多算作清扫垃圾，实际上已对你的系统造成伤害
不然你以为红伞收费版的网页防护是干麻的？
有兴趣的话你可以参考这篇"LinkScanner体验之旅"写的蛮详细的

所以你的测试虽然红伞视窗先出来，实际上AVG已经察觉到了漏洞跟恶意代码并阻止了(只是弹的慢)
这里你可以注意看AVG的警示视窗所显示的资讯一定跟红伞不同，一个是阻止漏洞一个是警示档案
因为红伞只会删除也总是喜欢删除 *.js *htm，实际上他们都是上述的垃圾档

不相信你可以试试看单奔AVG跟单奔小红伞上挂马网站来测试
你会发现AVG基本上只会跳一次视窗，因为漏洞跟恶意代码已被阻止，不会再对系统造成伤害
但是红伞会一直弹一堆视窗，并且让你按删除按到手软

[ 本帖最后由 snic 于 2009-9-15 23:24 编辑 ]

edwardcl

请你先想想，我没装avira的网页防护；

snic

原帖由 edwardcl 于 2009-9-16 00:00 发表
请你先想想，我没装avira的网页防护；

怪了我有认为你有装avira的网页防护吗?

wanchen

原帖由 snic 于 2009-9-15 23:22 发表

你的测试方法是错的~

AVG的网页防护基本上是防漏洞和恶意代码但不太抓垃圾档的
而avira是事后吃药型的，也就是说文件已经在写状态时，它才判断的
所以如果判定条件是在漏洞执行核心代码之后并且你电脑中也存在 ...

写的不错，是这个道理

吃石头

AVG作辅杀不错。监控就算了。

大漠胡杨

楼下不要口水啊  希望看到一个有技术含量的帖子

jpzy

AVG的监控我个人认为主要是引擎效率的问题。
从8.0时代整合了EWIDO开始，AVG的引擎效率一直都不高。打开一个样本多的文件夹，可以看到瞬间CPU满载，然后样本图标和监控报警窗一个一个慢吞吞的跳出来。CPU满载是因为AVG的监控在分析样本。

至于解压缩不报，进入样本文件夹才报。这个我好像没遇到过。如果真的如此，那么只能说AVG为了资源占用和流畅性在监控上做了妥协，写入磁盘是不监控的，等到程序尝试载入内存和执行的时候才报。貌似我以前测试瑞星的时候也遇到过类似的情况，解压缩毒包的时候没有报警，进入解压缩路径才报。

bluewave0607

avg的启发和监控个人觉得还不错。只不过监控有点卡，在打开exe文件多的文件夹。

穿越星空

原帖由 dongsheng01 于 2009-9-15 22:22 发表
AVG 弹窗确实慢  之前还会卡一会

　　卡一下也算了，可是弹窗慢难以接受。