对于费尔的扫毒方式的一些见解

我的世界

曾经看过一篇关于测试杀毒扫毒方式及能力的文章,其中说到了一点,就是说金山在扫描压缩包的时候会将压缩包里面的东西先压缩到系统的临时文件夹里面再进行扫描.金山是否如此,我没有用过,所以我不便讨论.可是对于这种扫毒方法,总是让人心理上不踏实,尽管是将东西解压到临时文件夹内,可是如文章中所说的,一旦病毒运行了,而又没有其它的什么软件可以压制住它,后果可是不堪设想的.网上的病毒不是大都下到临时文件夹内运行的吗?
好了,言归正传.话说今天一时兴起,装了个费尔,想作为对nod32的补充,毕竟以前用过,觉得还蛮不错的.为了测试新版本的能力(新的出来后就没有用过),就从样本去下了几个样本来进行手动扫描.谁知道,扫描后的结果让我吓了一跳,竟然出现了文章中的解压扫描情况.具体的请看下面:















从图上可以看出,费尔是先将病毒给解压到临时文件夹,再进行扫描的.在扫描后,费尔发现了两个,nod32发现了13个(13个都是费尔扫描后,AMON系统发现的).按照下在的说明来看,应该有14个.好,我们再看nod32的扫描情况

费尔没报,间接的说明了nod的手动扫压缩文件并不是解压后再进行扫描的.
对于费尔的这种扫描方式究竟好不好,我不是专业人士,所以不能果断的给下定论.不过就我的看法,实在是危险.
我的出发点有以下这些:
首先,在病毒猖獗的这个年代,病毒已经变得十分的具有威力,它们通常都具有自启动的功能,即在一定的条件下自我激活,发动对电脑的猛烈进攻.互连网的毒大多是这样的.如果将毒给解压了出来,一旦杀软不够强劲,那么后果实在是…………
或许有人认为，在理性的条件下，我们是不会玩病毒包的。可是认真的想一下，是真的吗？在信息时代，你不可能不上网，不可能不下东西。那么在下完东西的时候，你会干什么呢？即使是新入门的也会知道是先进行病毒扫描了。如果你下的东西带“剧毒”，又该怎么办呢？
还有，如果是经常玩电脑的同学都会经常清理电脑垃圾的，如果在扫描后有剩下一些“病毒垃圾”的话，清理垃圾的时候应该也会把毒给请出电脑。可是我们也不可否认在我们当中存在着许多的懒虫，或者是系统痴迷者（喜欢研究系统文件的），一个不留神，点了杀软给释放出来的东东。“喀什”，爱机夭折了！这种情况又该怎么办呢？
我不是nod的枪手，也不是费尔的反对者，我只是就事论事而已！
由于我对新版本的费尔还不是十分的了解，所以我的看法或许会有问题。如果我说的不对，请大家指点一二。可是千万别拍砖！
最后附上测试用的样本，恭大家参考！

[ 本帖最后由 我的世界 于 2007-5-29 13:31 编辑 ]

Filseclab

病毒文件临时释放出来后只要不去执行它是不会有任何危害的，存放在电脑硬盘的病毒文件就和普通的文件一样是一堆二进制数据，不会对电脑造成危害，病毒发生危害是自执行它的那一时刻起，因为只那时计算机才开始把它调入内存并执行其中的指令。不要有“病毒文件只在存入电脑就已经造成了入侵危害”的错误认识，不会的，这是操作系统工作原理所决定的。IE临时文件夹中的病毒体造成危害并不是因为它临时存入了电脑，而是存放后又通过IE漏洞等直接或间接执行了此文件才造成了危害。病毒破坏总会存在存放病毒体和执行病毒体的两个过程，费尔扫描压缩包后会立即自动删除这些文件，这个过程而迅速，不会去执行它。许多防毒软件在扫描时其实也会临时释放病毒体到电脑中，只不过有的可能是一个个的释放，而且他们释放时会把病毒文件名改成xxx.tmp的形式，让人看不出来，但实际上打开后就发现它仍然是病毒体文件。另外，还有的软件是内存直接解压并扫描的方式，这种方式其实是把解开的病毒文件暂存在内存中，那么如果按这种“存入即入侵”的思路考虑，病毒体暂放在内存中比放在硬盘中还要可怕，因为又离执行它更近一步。但实际上不会发生这种事情，临时解压到硬盘和内存中的技术原理都是一样的，用户实在不用担心这方面的问题。谢谢。

我的世界

谢谢回答，按照上面的说法我重新进行了测试。将nod的监控给停了，然后再用费尔进行扫描，结果将所有的毒都给找出来了。我试着不对结果进行处理，再用nod对系统的临时文件夹进行扫描，结果没有发现任何病毒，也就是说费尔将临时解压出来的东东都给清除干净了。
太好了，终于解开了心结，对费尔重新放心了。

dyw1021

楼主的精神让我很感动

zhaonimm

楼主的试验精神值得鼓励啊！！

我的世界

经过思考,我终于理解了上面的情况是啥回事了.
当费尔在扫描压缩包的时候,会把压缩包里面的东西给解压到自我创建的临时文件夹内.由于nod32的启发实在是太凶了,当它检测到有文件在创建的时候,就进行惯例的扫描,于是发现解压出来的14个文件中的12为病毒,于是进行隔离报告处理.由于处理速度相当的快,当费尔解压完毕后,要扫描的时候,其新建的文件夹内只剩下两个幸存者,于是费尔仅对这两个幸存者进行扫描(注意:费尔虽解压出了14个文件,可是其中的12个已经给nod干掉了,所以少扫描了12个),发现它们是病毒,于是把它们给报告出来了.
从这事例可以看出,费尔是在nod后对文件进行第二次的扫描(没办法,谁叫nod的启发实在是太牛了).
怎么说呢,可能是中西结合的AVK吧.不知道比喻恰当不恰当?

chow2006

也不见得NOD32的启发有多牛,只不过是利用了费尔在解压仍未对病毒扫描的这个时间间隔,费尔的解压过程就是创建文件的过程,任何一个杀毒软件都会对它进行即时扫描. 如果发现是病毒都会进行相应的处理.

laooldk

LZ的精神值得表扬，赞一个

我的世界

原帖由 chow2006 于 2007-5-29 16:32 发表
也不见得NOD32的启发有多牛,只不过是利用了费尔在解压仍未对病毒扫描的这个时间间隔,费尔的解压过程就是创建文件的过程,任何一个杀毒软件都会对它进行即时扫描. 如果发现是病毒都会进行相应的处理.

世上本没有最牛的东西,一切只是相对而已.它能在人家解压之前就做了处理,处理速度之快,而且能力还算可以,我们不能当看不到啊.

chow2006

原帖由 我的世界 于 2007-5-29 17:54 发表

世上本没有最牛的东西,一切只是相对而已.它能在人家解压之前就做了处理,处理速度之快,而且能力还算可以,我们不能当看不到啊.

解包需要一定时间.包越大需要时间越长.
楼主可以试一下用其它解包才扫描的杀软做同样测试,看费尔会不会先于该杀软报警.[:26:]