微点交流论坛

标题: 微点监控问题。 [打印本页]

作者: bluenice 时间: 2007-3-28 22:19 标题: 微点监控问题。

以下2个问题和微点有关：
问题一：
相信不少朋友都在用红伞与微点这个组合, 而且很多都说两者相处的非常不错!!
但是这相处得很好是什么概念呢??是不是系统运行得流畅, 完全没出现什么异像就是相处得很好呢??相信大多数人都是这样认为的..
我经常在卡饭的样本区测试病毒, 有了微点之后, 更加是大胆到没有影子的情况下运行病毒..
结果发现了一个问题, 相信很多杀软共存都会出现的问题..
就是解压缩时, 如果红伞或者微点检测到病毒就会无声无息地把病毒文件删除了(到底是微点删除还是红伞删除的不想去研究)..解压得到的只是一个空文件,但实际上,我的设置都是提示操作的, 我试过关掉微点监控, 红伞检测到病毒就提示了.
于是我做了两个试验:
1.找了一个红伞报, 而微点就是运行也不报的病毒..解压时, 文件消失了.解压得到空文件夹..
2.这次是红伞不报,而微点运行会报的病毒, 解压时当然没反应啦..文件完好的解了出来,.. 然后运行病毒文件时, 停顿了一下,病毒原文件消失了,微点一点反应都没有..我分析可能原文件和衍生物已经被微点干掉了,只是没有提示而已..把红伞监控关掉再运行一次病毒, 这时候微点迟钝了一下就有反应了,提示操作出现了!!!
所以我觉得: 红伞与微点共存是有一点问题, 而且大家知道, 红伞的误报率是挺高的,如果每次解压缩都要先关掉一个监控, 那是挺麻烦的一件事...我研究了很久还是没有找到解决方法, 所以现在发上来让版主看看.. 问题到底出在哪里?
如果能修正这一点当然是最好不过了, 微点会更上一个台阶的, 哈哈....不过恐怕有点难度吧...杀软的双监控可不是那么好对付的...
PS:本来想做第三个试验的, 就是找一个红伞不报,然后解压微点报的病毒来测试.记得以前曾经测试过,但结果忘了, 现在无奈也找不到这样的样本,所以没有完成.

问题二：
我以前装的NOD 2.7和微点。
找了一个病毒样本测试。（此病毒样本NOD报启发，微点不报）
解压后，文件存在，没有被删除，但是2个杀软都不报。
我接连测试了很多个都是这样的。
我后来把微点服务停了后，（一定要是停止微点服务，否则在微点图标上右键停止是没用的），继续解压刚才那个病毒包，这个时候NOD报了。
所以本来想NOD+微点一起用的，可是微点和NOD不能很好的相处。

以上2个问题的帖子在：http://bbs.micropoint.com.cn/showthread.asp?tid=8239&fpage=3

这么久了，微点一个回复都没有，也不知道具体问题是什么。希望微点能回复一下！

作者: yuan8239 时间: 2007-3-28 22:52
我也是NOD和微点一起用，感觉不是很好

作者: bluenice 时间: 2007-3-28 23:02
我初步分析，是微点的虚拟环境和这2个杀软有冲突。
版主怎么不出来了？

作者: yuan8239 时间: 2007-3-28 23:07
我两个一起用，开关机速度都变慢了，可是这两个软件都不占用资源啊，不知道是怎么回事

作者: Legend 时间: 2007-3-28 23:22
楼主所提到的问题,我们已经在进行了具体的测试,请楼主耐心等待,我们将尽快给您答复.

作者: bluenice 时间: 2007-3-28 23:54
版主，我们都等了一个多星期了。你们回复的就一直是这句话，请你们尽快回复吧！

作者: yuxiaoxiao 时间: 2007-3-29 10:46
我也是NOD和微点一起用,NOD几乎不报

作者: linovo 时间: 2007-3-30 15:38
由于杀软的特殊性，冲突绝对是在所难免的。比如费尔跟江民也有冲突，费尔的开发人员已经做过很大的努力，但仍无法避免，费尔的朱雁冰说得好，要解决两个杀软的冲突，不能光靠杀软其中一方来单独解决，由于利益关系，没有源代码的支持，操作起来是非常麻烦的，想避免冲突，有可能又要委屈了自己，做一些不该做的调整。

作者: minwei 时间: 2007-4-3 15:45
我用KIS+微点就发现很多都是同时报！特别防火墙微点的报得特快！
监控当然是KIS报的多了~原因它的设置选择也多嘛~

作者: Legend 时间: 2007-4-10 14:41
关于近期部分网友反馈的美国安全软件NOD32与微点主动防御软件同时安装在同一系统上，同时开启实时监控后引起NOD32在解压文件时漏报的问题，东方微点公司非常重视，经东方微点公司深入跟踪分析测试，现已查明此现象不是软件冲突，而是由于NOD32文件实时监控系统对不同状态文件采取不同扫描策略导致。

跟踪分析结果简述如下：
NOD32的文件实时监控系统根据被扫描文件的当前状态共分为三种实时监控策略，即NOD32的AMON设置中“侦测——文件执行扫描于”选项中所标明的“开启”、“新建”和“执行”三种状态（默认设置三个选项同时启用），并且不同状态采用的扫描策略有所不同。本例主要涉及“开启”和“新建”两个状态的实时监控策略。

可能出于减少系统资源占用考虑，NOD32对状态为“开启”的文件采用的扫描策略是，仅使用已知特征扫描，并记录该文件已经被扫描的状态，而不使用启发式引擎扫描。
NOD32对状态为“新建”的文件采用的扫描策略是，同时使用已知特征扫描和启发式引擎扫描。

在同时安装有多种杀毒软件的计算机上，如其它杀毒软件（包括且不限于微点主动防御软件）实时监控优先级高于NOD32，即新解压缩生成文件时，其它杀毒软件抢先对新生成的文件进行监控检测，尔后NOD32使用文件“开启”状态的扫描策略，因此，仅使用已知特征扫描，并记录该文件的扫描结果，而不使用启发式引擎。所以此时NOD32的启发式扫描不会报警。

在其他杀毒软件检测结束后，NOD32可能出于减少系统资源占用考虑，直接查看NOD32上步检测所记录的该文件扫描结果，而不是使用“新建”策略完整地对该文件进行已知特征和启发式扫描。

对此，广大用户可以使用下列方法对上述环境进行自行测试：去掉NOD32的AMON设置中“开启”选项，而保留“新建”选项。此时解压缩文件，NOD32的启发式会正常报警。因为此时NOD32不再使用“开启”模式的扫描策略，也就不存在“新建”状态下先检查文件扫描结果的过程，NOD32会直接使用特征码和启发式引擎进行扫描。

经过对nod32分别与其他杀毒软件并存的状态下测试，皆存在用户反馈的问题。对此，由于安全软件的特殊性，我们建议广大用户最好不要同时安装使用多种安全软件（包括且不限于杀毒软件和防火墙）。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn