标题: 一家之言 主防和扫描是如何扯皮的 [打印本页]

---

作者: lsj301     时间: 2009-11-30 11:27    标题: 一家之言 主防和扫描是如何扯皮的

我用自己微点截获的一个病毒压缩包反复做了几个测试,压缩包里有正常文件和病毒样本,发现
1.压缩包在U盘里,插入U口后
      ①主防+扫描，扫描工作删除了整个压缩包，关了主防也一样
      ②关了扫描，点击U盘里的压缩包，解压后，点击病毒，主防报警，删除，压缩     包仍在，样本仍在，（我认为主防只是拦截了病毒入侵，而没有清除病毒）。
2。压缩包在桌面上
      ①主防+扫描，开机后扫描工作，报警删除，压缩包整个删除。
      ②主防+扫描，在桌面点击压缩包，再点击样本，解压快完成时主防先报，删除，扫描后报，删除，压缩包仍在。
      ③关了主防，点击压缩包，扫描报警，删除，压缩包删除。
      ④关了扫描，点击压缩包，再点击样本，解压快完成时，主防报警，删除，病毒，仍在，压缩包完整，可重复这一项。
      ⑤主防+扫描，移动或传送压缩包，扫描报警，点删除，压缩包消失。

---

作者: lsj301     时间: 2009-11-30 11:32
看来主防对压缩包防毒能力超强，但不剥离，有毒文件，而扫描只是删除整个压缩包，剥离有毒文件的能力有限。
主防和扫描同时工作，扫描却连压缩包都不删除。
这大概就是扯皮吧。

[ Last edited by lsj301 on 2009-11-30 at 11:38 ]

---

作者: lsj301     时间: 2009-11-30 11:34
我是菜鸟，通过这种笨办法来测试，希望能对微点有所帮助。

---

作者: 我是马甲     时间: 2009-11-30 11:36

Quote:

Originally posted by lsj301 at 2009-11-30 11:32: 看来主防对压缩包防毒能力超强，但不剥离，有毒文件，而扫描只是删除整个压缩包，剥离有毒文件的能力有限。

上述说法不完全正确，楼主操作时删除压缩包的情况都是扫描，删除文件时是解压。
当你解压一个文件时，主防和实时监控报警的文件应该是生成的文件，而不是压缩文件。
楼主在看看设置里面扫描和压缩的设置有什么却别。

---

作者: 我心激扬     时间: 2009-11-30 11:44
目前杀毒软件beta版本针对rar压缩格式文件，如果此格式压缩包里面含有病毒，会直接把整个压缩包删除；
主动防御只删除您解压缩后生成的已知病毒文件，不会删除您的原始压缩包文件。
谢谢楼主的反馈和支持，欢迎您继续做深入的测试使用。

[ Last edited by 我心激扬 on 2009-11-30 at 11:45 ]

---

作者: lsj301     时间: 2009-11-30 11:45

Quote:

Originally posted by 我是马甲 at 2009-11-30 11:36: 上述说法不完全正确，楼主操作时删除压缩包的情况都是扫描，删除文件时是解压。 当你解压一个文件时，主防和实时监控报警的文件应该是生成的文件，而不是压缩文件。 楼主在看看设置里面扫描和压缩的设置有什 ...

主防删除的是在病毒解压时生成的文件，但扫描删除的却是是整个压缩包。

---

作者: lsj301     时间: 2009-11-30 11:46

Quote:

Originally posted by 我心激扬 at 2009-11-30 11:44: 目前杀毒软件beta版本针对rar压缩格式文件，如果此格式压缩包里面含有病毒，会直接把整个压缩包删除； 主动防御只删除您解压缩后生成的已知病毒文件，不会删除您的原始压缩包文件。

那主防扫描同时工作时扫描怎么连压缩包也不删除。

[ Last edited by lsj301 on 2009-11-30 at 11:59 ]

---

作者: 我是马甲     时间: 2009-11-30 11:51

Quote:

Originally posted by lsj301 at 2009-11-30 11:46: 那主防扫描同时工作时怎么连压缩包也不删除。

这个貌似需要超版解决一下了:D:D:D

---

作者: 我心激扬     时间: 2009-11-30 11:56
您说的是指“ ②主防+扫描，在桌面点击压缩包，再点击样本，解压快完成时主防先报，删除，扫描后报，删除，压缩包仍在。”这个情况吗？
如果是，因为这个报警的都是解压缩后的文件并非压缩包，所以压缩包仍在。

---

作者: lsj301     时间: 2009-11-30 12:20
如果停止主防的话，不等解压扫描就干了，两个同时工作的话，主防已删除生成文件，扫描就应该删除压缩包，而不去删除生成文件，如果不删除压缩包，好像与扫描的职能不符啊，是不是这个问题也不是主防和扫描的冲突，如果一个文件正被一个程序使用，用另一程序就删除不了这个文件，这很正常，但安全软件就不一样了，虽然病毒未运行，但毒包仍在，这一点扫描有点失职，所以我说主防和扫描应有谦让机制。

[ Last edited by lsj301 on 2009-11-30 at 12:28 ]

---

作者: 崖边鹰     时间: 2009-11-30 12:22
可能楼主没按扫描，或还没扫到，而这个时后，病毒文件被解压，于是实时监控就报杀了。接着楼主就关了扫描，来到论坛？

---

作者: lsj301     时间: 2009-11-30 12:31

Quote:

Originally posted by 崖边鹰 at 2009-11-30 12:22: 可能楼主没按扫描，或还没扫到，而这个时后，病毒文件被解压，于是实时监控就报杀了。接着楼主就关了扫描，来到论坛？

按右键扫描总算扫描了吧，一样干掉，先按右键，报警，忽略，扫描，发现病毒，完成后清除，压缩包删除。

[ Last edited by lsj301 on 2009-11-30 at 12:34 ]

---

作者: lsj301     时间: 2009-11-30 12:39
刚关了扫描的监控，重新点击桌面压缩包，只有主防报警，看来问题还是在监控上。如果主防监控到的主防只删除生成文件，而扫描监控到的删除整个压缩包，两个监控都工作，到底谁说了算，还是各干各的，目前看起来两个都工作，是以主防为主的，如果各自分工的话，主防删除了生成文件，而扫描删除了压缩包。

[ Last edited by lsj301 on 2009-11-30 at 12:56 ]

---

作者: 崖边鹰     时间: 2009-11-30 12:49
我刚才也测了几次，发现监控并不优先扫描我用鼠标点击打开的RAR文件。解压后，病毒文件被主动，再被监控了。关主动后，又试了其他的带毒RAR文件，也是不优先扫描我用鼠标点击打开的RAR文件。后来开主动，过了一会儿，4个中的2个带毒RAR文件全被监控干掉了。接着点看了下一个带毒RAR的属性，立即就被监控干掉了。还剩下第1个，也就是第1次测的带毒RAR，不动，又过了几秒，也被干掉了。

---

作者: 我心激扬     时间: 2009-11-30 12:55

Quote:

Originally posted by lsj301 at 2009-11-30 12:20: 如果停止主防的话，不等解压扫描就干了，两个同时工作的话，主防已删除生成文件，扫描就应该删除压缩包，而不去删除生成文件，如果不删除压缩包，好像与扫描的职能不符啊，是不是这个问题也不是主防和扫描的冲突， ...

扫描默认监控设置不监控压缩文件，可以在微点杀毒软件主界面-设置-通用扫描-实时监控-高级设置-勾选扫描压缩文件，然后保存设置。

---

作者: 崖边鹰     时间: 2009-11-30 12:56
我估计问题是：
1 楼主开的东东较多，监控还没扫到。  
2  监控不优先扫描用户鼠标点选的文件？

我的监控里的“扫描压缩文件”的设置是默认设置。

---

作者: lsj301     时间: 2009-11-30 13:00

Quote:

Originally posted by 崖边鹰 at 2009-11-30 12:56: 我估计问题是： 1 楼主开的东东较多，监控还没扫到。   2  监控不优先扫描用户鼠标点选的文件？ 我的监控里的“扫描压缩文件”的设置是默认设置。

没有开什么，主防+扫描+QQ+浏览器
主要在测试扫描，希望能对微点有点帮助。

---

作者: lsj301     时间: 2009-11-30 13:05

Quote:

Originally posted by 我心激扬 at 2009-11-30 12:55: 扫描默认监控设置不监控压缩文件，可以在微点杀毒软件主界面-设置-通用扫描-实时监控-高级设置-勾选扫描压缩文件，然后保存设置。

我的扫描已勾选扫描压缩文件，我发现好像是升级后自动勾选的。

---

作者: 我心激扬     时间: 2009-11-30 13:13
您可以联系下微点杀毒软件管理员qq:958537376帮您远程操作下。

---

作者: lsj301     时间: 2009-11-30 13:23

Quote:

Originally posted by 我心激扬 at 2009-11-30 13:13: 您可以联系下微点杀毒软件管理员qq:958537376帮您远程操作下。

现在关键不是功能上的问题，好像逻辑上有点不通，逻辑上有问题，功能就可要打折扣了，先前在QQ和Legend说了，好像很忙。

[ Last edited by lsj301 on 2009-11-30 at 13:28 ]

---

作者: 李莫愁     时间: 2009-11-30 13:51
我被楼主无比执着的精神弄的晕头转向了。。。

监控是监控，扫描是扫描，主防是主防，不是一样的东东。。。。

楼主说的那个样本在压缩包里，放在那他自己又不会长腿跑出来，当然监控和主防不会报警，而手动扫描的话当然可以扫到包里的样本了，RAR的包被删也很正常，楼主可以换成ZIP的包再试试就没问题。

看了楼主很多层楼的帖子，楼主貌似始终没搞懂监控不等于扫描，如果直接就是病毒样本，监控肯定会直接报警删除的，但是压到压缩包里了，样本自己不会跑出来，杀软又没设置监控压缩包里的东东，那监控肯定不会报警，主防也不会报警，扫描是手动的，是会去扫包里的东西，报警删除也就正常了。

唉，无比纠结。。。。。:(

---

作者: lsj301     时间: 2009-11-30 14:12

Quote:

Originally posted by 李莫愁 at 2009-11-30 13:51: 我被楼主无比执着的精神弄的晕头转向了。。。 监控是监控，扫描是扫描，主防是主防，不是一样的东东。。。。 楼主说的那个样本在压缩包里，放在那他自己又不会长腿跑出来，当然监控和主防不会报警，而手动扫 ...

虽然我很菜，但你可晕头，不可以转向，
我的杀软监控压缩包是开的，扫描有监控，主防也有监控，或都说主防是一种更强的监控，它们各有侧重，我是说在这种情况下，单独主防，它可以删除生成文件，而不删除压缩包；单独扫描，开监控，也可删除生成文件以及压缩包，但是它们同时监控到一个文件，主防已删除生成文件，而扫描就应删除压缩包。


微点扫描正在公测，只要有助于微点进步，欢迎提出任何问题。

[ Last edited by lsj301 on 2009-11-30 at 16:10 ]

---

作者: 李莫愁     时间: 2009-11-30 14:27
折服，俺不仅晕头，更转向了，SO，俺泪奔而去了:(:(:(

---

作者: 我心激扬     时间: 2009-11-30 15:11
主防和杀毒软件同时开启监控，且杀毒软件的监控已经设置的扫描压缩文件并保存设置；您的压缩文件在右键解压缩的时候，主防报警但报警的是解压缩文件的目录位置，杀毒软件如果报警也是报警的这个目录位置，原来的压缩包文件由于微软的内置机制问题可能并没有被读取所以杀毒软件不会报警，您在压缩包被复制粘贴、下载的时候监控才会报警并处理。

---

作者: 我是马甲     时间: 2009-11-30 15:32

Quote:

Originally posted by lsj301 at 2009-11-30 11:27: 我用自己微点截获的一个病毒压缩包反复做了几个测试,压缩包里有正常文件和病毒样本,发现 1.压缩包在U盘里,插入U口后       ①主防+扫描，扫描工作删除了整个压缩包，关了主防也一样       ②关了扫描，点击U盘 ...

都快打起来了，版主还不详细解释下？
首先我很佩服楼主的精神，哈哈（奉承的话就不说了）！
根据我的经验我解释下吧:lol::lol::lol::lol:
1.主防是没有监控压缩文件的功能，所以对于存在于压缩文件内的病毒，只有解压时主防才会报警，并且报警的文件是解压出来的病毒文件，并不是压缩文件内的病毒文件，因此，主防不具备监控压缩文件的功能。
2.关于杀毒软件，请楼主先确定一下实时监控的设置是否开启监控压缩文件（主界面扫描、右键扫描、实时监控这三个功能的设置是分开的。）。根据楼主的叙述推测好像没有开启实时监控设置里面的扫描压缩文件，否则楼主右键点击压缩文件就应该报警。
3.楼主说了主防和实时监控报警的对象是同一个文件（解压缩生成的文件），都点击删除，主防删了报警文件，杀毒样该删除压缩文件。------请问杀毒报了压缩文件是病毒了么？应该没有吧？那为什么要删除呢？

---

作者: newduba     时间: 2009-11-30 15:45
如果带毒就删除整个rar文件似乎欠妥哦！
这样会将我的重要资料一起删除了：（
用户中毒在无意间，
文件被删除也在无意间，
太恐怖了。。。！

---

作者: lsj301     时间: 2009-11-30 16:07

Quote:

Originally posted by 我是马甲 at 2009-11-30 15:32: 都快打起来了，版主还不详细解释下？ 首先我很佩服楼主的精神，哈哈（奉承的话就不说了）！ 根据我的经验我解释下吧:lol::lol::lol::lol: 1.主防是没有监控压缩文件的功能，所以对于存在于压缩文件内的病 ...

我自己都晕了
我的意思是主防和扫描监控都开，扫描监控压缩的功能都开，在点击桌面病毒包时，主防和扫描都先后报了毒，都选择删除，而桌面上的包很完整，也没删除里面的有毒文件，如果关了主防，单独开扫描，它会干了整个包，而在主防和扫描都开的情况下，扫描为什么不干了。

---

作者: 盯标目     时间: 2009-11-30 16:12
所以目前应该先设置为手动删除.

---

作者: lsj301     时间: 2009-11-30 16:18
版主锁了吧，都没啥意思了。
看来是主动防御和扫描不可完成的任务了。
扫描须加快完善，主防和扫描必须整合。

---

作者: 盯标目     时间: 2009-11-30 16:22
1：在点击桌面病毒包时------请看24楼。“原来的压缩包文件由于微软的内置机制问题可能并没有被读取所以杀毒软件不会报警。”-----“监控”是不理会没有被系统读取的文件的。

2:单独开扫描，它会干了整个包------手动扫描或监控扫到这个包（比如你点看它的属性时，系统就会去读取？），那就会删了这个包。

目前来看，好像是这样的了。

---

作者: oksoft123     时间: 2009-11-30 22:29
哎呀……我理解是这样的：
杀毒根本就没检测到RAR文件里面有毒，因为在检测到之前该毒被主防中止了。
就好像我的压缩包里面有一百个文件，其中一个是病毒。我解压缩，当解压到病毒的时候主防给拦住了并删除了，杀毒也给发现解压出来的这个文件，也给删除了，但是从整个过程来看，杀毒不知道那个病毒文件是从RAR里面解压出来的，因为关键的地方被主防给“抽条”了。
不懂，胡思乱想的，呵呵。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn