关于AVG2011的监控。

jpzy

JP前几天闲来无事，于是在Vbox里面安装了AVG2011 free，准备看看free版本的IDP是否给力。结果测试的时候发现了一些问题。
AVG2011 free的监控策略很诡异。首先JP通过共享文件夹从主机拷贝样本到虚拟机。样本6枚，5枚是rar打包的，一枚是exe（安装包捆绑流氓插件的）。结果拷贝的过程中，exe格式的文件拷贝失败，AVG的监控有提示。其它5枚rar顺利进入虚拟机。

在虚拟机存放样本的路径下，用rar解压缩。结果无一报警。这个结果让人很意外。

左键选中解压出来的一个exe。无法直接双击，等待一会儿以后，文件消失，AVG监控弹出提示（自动处理了，监控的处理方式我设置成自动了，不是询问）。每个样本都这样，选中即消失。

这样的监控策略，JP以前也见过。即，不实时监控所有文件活动，只监控当前explorer准备调用的。这样可以减少系统在日常监控方面的资源开销。

问题出在前面解压缩的部分。一般这样的监控策略，会只监控写入硬盘的新文件。也就是像前面从共享文件夹拷贝样本的情况那样，当监控发现写入的文件有害时，会进行处理。而硬盘上原有的文件，除非用户扫描，否则监控不检查。但是问题来了，从rar解压缩文件，本身应该也是个写入新文件的过程，为什么AVG的监控没反映呢？！谁对AVG有研究的，能否解释一下！

AVG这样的监控策略，可能会给人一种慢吞吞的感觉。用有些朋友的话说就是：监控太迟钝！其实这样的策略并不会降低安全性，只是如果一个样本不发作，AVG可能就会置之不理，导致有病毒尸体残留罢了！

默许

沙发支持

jsbxsolo

要的不仅是不发作，还得果断不残留

jason_jiang

感觉跟panda cloud antivirus的监控很像（参考我以前某帖）
panda的理论是，“复制文件”这个操作本身并不构成什么威胁，所以有大量文件要写入时，监控先予以放行；如果暂时没有程序试图调用这些文件，就用不定时的后台扫描检查之；如果有程序试图调用它们，就立即检查之
可能是因为AVG对IDP的能力有自信，于是也采用类似的策略

jinlaofei

所以坚决不用AVG

change_018

哦 找到地址了

另外问句 2011的还能否像9一样用任务管理器就否结束进程

zhanyuchenbobo

9系列是就是这样，习惯就好

heroboy0923

我这里用AVG2011情况还好
从样本区下载病毒到本机，解压后即报毒

heroboy0923

刚刚又在样本区下了几个样本，只要是入库的，都是解压后立即告警

止战之殇

支持一下