首发：Panda 2011全线发布，附卸载工具

nayo

回复 160楼 hansyu  的帖子

恩，这个问题

1、从版本延续上讲，是这样的：在2008系列个人版本之前，熊猫对本地文件的监控就是采用传统的方式，即“可监控（打开文件所在目录时）识别也可通过扫描识别”，因此，在部分人看来，这是“监控灵敏”的表现；而从2008系列版本开始，熊猫安全可能考虑到这种监控方式对用户的系统性能影响，因此采用了新的监控方式（参考《对Panda Cloud Antivirus所谓“半实时监控”的一些解释》一文后半部分），所以部分人会“认为它的监控不如传统杀软“灵敏”。其实，这是因为Panda Cloud Antivirus用上述三种拦截手段取代了传统的访问时拦截。由于它们的优先级不同，针对的风险环境也不同，你可能不会马上看到监控的处理动作。”值得指出的是，目前，云版本以外的单机版本同样是采用了新型的监控方式。

2、从情况分类上讲，是这样的：①报壳问题，举个例子：
     解压SnipeSword，未报：

     运行SnipeSword，未报：

     扫描SnipeSword，报：

     由于SnipeSword使用的壳被熊猫认为是“不安全”的，因此扫描的时候会被处理掉，而另一方面，SnipeSword是符合规范的安全工具，因此在解压时和运行的时候熊猫并没有对它做出处理。

②内存地址保护问题：有的时候我们通过熊猫扫描一个恶意样本文件，熊猫做出识别和处理，当我们运行这个文件的时候，却出现文件报错的情况，这是由于熊猫对某些内存位置进行了接管和保护，这样就可以防止恶意样本的有效运行，类似视窗系统的DEP（数据执行保护），因此，这种情况也应该归功于熊猫的监控。

③危害大小问题：某些样本“初始威胁”较小，运行它，既不释放驱动，也不添加关键注册表项，仅仅是做出外联行为（下载新的恶意样本），在新样本未下载和运行完成的情况下，这种正常的程序行为熊猫就不会做出处理（如果一个软件进行外联就识别为恶意软件，就太XX了），而另一方面，通过扫描，熊猫会报壳或启发报可疑（未真正识别和命名），因此就会造成“扫描可以查杀，监控却无动于衷”的错觉。

以上就是我的看法，由于水平有限，错漏的地方，希望指正。

hansyu

回复 161楼 nayo  的帖子
在虚拟机测试样本发现样区去许多比较有威胁的样本都是扫描报可疑文件，而监控毫无反应，运行之后TP也不能完全拦截甚至没有拦截，导致样本成功运行，感染系统。在这方面熊猫云就要表现好些，尽管没有TP，但是有同步云监控，拦截率明显好于零售版。
   

buycard

回复 149楼 langzi2009  的帖子


    谁说是我用了才NO.1...

你看看番茄的测试

再自己打开CI扫一下样本包

nayo

回复 162楼 hansyu  的帖子

恩，刚才没有说到一个关键点，那就是：假如熊猫已经真正识别并命名了新的样本，那么，按威胁程度，熊猫会对其做出适当的监控反应。当然，这仅仅是我的猜测。

为什么监控（打开样本所在目录）没有反应？

这是因为当前样本威胁程度较低（你未运行它），因此熊猫不会立即对它做出处理，譬如我将SnipeSword解压后，熊猫并不会立即删除，当一段时间后，CPU空闲时，SnipeSword就会被X掉了，这是我的亲身体会，而且是多次 。

为什么样本运行之后，TP未能拦截或全部拦截？

这是因为，TP不是万能的

因此，墙是非常重要的

hansyu

回复 164楼 nayo  的帖子
其实说明白点，就是熊猫零售版的本地文件监控不支持云，而熊猫对中国区恶意软件的特征码更新不够快，大部分能查的特征都在云服务器上，所以手动扫描成绩很好，而监控很糟糕，当然也包括本地监控的启发强度可能低于扫描有关。

   

hack58wxm

界面不错

蓝博士

给个KEY啥

挥泪斩情思

不知道新版国宝还会不会卡迅雷

nayo

回复
其实说明白点，就是熊猫零售版的本地文件监控不支持云，而熊猫对中国区恶意软件的特征码更新不够快， ...
hansyu 发表于 2010.7.29 16:58

这个。。。我认为监控并不差。。。

西伯利亚渔夫

UI好像不错的样子