红伞右键扫描不杀，放进隔离区却杀，为何？

显示全部楼层 · 发表于 2014-10-10 13:36:33

本帖最后由诸葛亮于 2014-10-10 13:37 编辑

今天逛样本区时，有一个样本是用小红伞右键扫描不杀，放进隔离区后重新扫描居然杀了，这是为何？
@aaa839 给解释一下什么原因。
样本来源http://bbs.kafan.cn/thread-1777893-1-1.html

显示全部楼层 · 发表于 2014-10-12 00:19:40

本帖最后由 aaa839 于 2014-10-12 00:41 编辑

诸葛亮发表于 2014-10-11 22:41
中文版的隔离区扫描是否会触发APC我不知道，我一直在用英文版，所以这个我可能帮不了你。

我剛剛問了,APL那邊說了,是某次更新(可能是Update 6.1)後,內部安全提升時更改
這是防止當你手動右鍵掃描沒有問題,但是有可疑,而你把可疑檔案加入隔離區後,掃描後結果又是沒有問題(但事實是有),還原後結果受到感染的情況

所以APC會有三種情況可行
1.雙撃時Trigger APC開關
2.快速系統掃描
3.執行隔離區的檔案掃描

我順道解答為何要這樣設定
為何不可以不中斷地在即時防護上監控掃描,原因在於Windows Kernel的問題
因為Avira APC的上傳及分析速度相比Windows Kernel比較慢
如果任何程式當處理檔案時超過10秒鐘,Windows Kernel就會自動取替有關檔案的處理
Windows Kernel 容許由其他程式負責的期限只有10秒鐘,超過就直接由Windows Kernel負責

显示全部楼层 · 发表于 2014-10-10 19:18:33

我試試能否重現,因為這是bug,我之前曾遇過但某次更新後又解決了

显示全部楼层 · 发表于 2014-10-11 22:03:11

aaa839 发表于 2014-10-10 19:18
我試試能否重現,因為這是bug,我之前曾遇過但某次更新後又解決了

根据这几天逛样本区的经验，猜测是这个原因：小红伞右键不杀的文件放进隔离区后重新查杀时是和红伞云连着的，所以有可能是这个文件是将要更新的病毒库，在隔离扫描是和红伞云连着的，而右键扫描却不是，所以造成了右键不杀，而隔离区扫描报毒的情况

显示全部楼层 · 发表于 2014-10-11 22:16:14

本帖最后由 aaa839 于 2014-10-11 22:25 编辑

诸葛亮发表于 2014-10-11 22:03
根据这几天逛样本区的经验，猜测是这个原因：小红伞右键不杀的文件放进隔离区后重新查杀时是和红伞云连着 ...

雲與隔離區沒有關係
APC現時只有兩個情況才會有運作
1.即時防護(而且你是連撃執行)
2.快速系統掃描

當是雲鑑定的結果
病毒名稱Suffix會是有APC或Cloud字樣

显示全部楼层 · 发表于 2014-10-11 22:25:05

aaa839 发表于 2014-10-11 22:16
雲與隔離區沒有關係
APC現時只有兩個情況才會有運作
1.即時防護(而且你是連撃執行)

但是，经过我几天的病毒扫描测试发现：右键不杀的样本放入隔离区后用隔离区的扫描重新扫描，有一些会提示上传未知文件（右键扫描没有要求上传过），最后报后缀为APC的病毒，所以我以为隔离区里的重新扫描和apc是连着的。这几天在样本区的扫描测试，你看一下：
http://bbs.kafan.cn/thread-1778189-5-1.html
http://bbs.kafan.cn/thread-1777893-1-1.html
http://bbs.kafan.cn/thread-1777581-2-1.html 12楼
http://bbs.kafan.cn/thread-1777580-2-1.html 18楼
http://bbs.kafan.cn/thread-1777833-2-1.html 14楼

显示全部楼层 · 发表于 2014-10-11 22:26:22

本帖最后由 aaa839 于 2014-10-11 22:34 编辑

诸葛亮发表于 2014-10-11 22:25
但是，经过我几天的病毒扫描测试发现：右键不杀的样本放入隔离区后用隔离区的扫描重新扫描，有一些会提示 ...

因為APC的即時防護關係,只要APC能夠透過Realtime Protection感應到系統正在執行讀取動作(雙撃/拖放)
就可以啟動APC的開關,不過我不肯定是否又有更改了

掃描的Profiles,有時Avira部份改動自己都沒有寫上

我可能要詢問一下APL那邊是不是把隔離區的掃描Profiles改動至連上APC
假若是,這是好消息

显示全部楼层 · 发表于 2014-10-11 22:31:30

aaa839 发表于 2014-10-11 22:26
因為APC的即時防護關係,只要APC能夠透過Realtime Protection感應到系統正在執行讀取動作(雙撃/拖放)
...

也就是说，在隔离区重新扫描样本相当于对文件进行了你所说的双击/拖动之类的动作，才触发了Realtime Protection的APC，要求上传未知文件。是可以这样理解的吧？

显示全部楼层 · 发表于 2014-10-11 22:36:23

本帖最后由 aaa839 于 2014-10-11 22:40 编辑

诸葛亮发表于 2014-10-11 22:31
也就是说，在隔离区重新扫描样本相当于对文件进行了你所说的双击/拖动之类的动作，才触发了Realtime Prot ...

正常情況是但你留意我上方的最新變更的回覆
有可能APC的觸發方式改動了

但這都是好消息,我看了後APC效果絕對滿意

不過我想你們測試一下,到底在中文版上APC會否運作

显示全部楼层 · 发表于 2014-10-11 22:37:23

aaa839 发表于 2014-10-11 22:26
因為APC的即時防護關係,只要APC能夠透過Realtime Protection感應到系統正在執行讀取動作(雙撃/拖放)
...

额，你新加的内容我刚才回复的时候没有看到。如果隔离区扫描和APC是连着的话，我倒是希望是apc与右键扫描有联系，或者是apc加入监控而不是只有双击才能触发APC，这样保护更加全面一些，更好一些。

显示全部楼层 · 发表于 2014-10-11 22:41:05

本帖最后由 aaa839 于 2014-10-11 22:45 编辑

诸葛亮发表于 2014-10-11 22:37
额，你新加的内容我刚才回复的时候没有看到。如果隔离区扫描和APC是连着的话，我倒是希望是apc与右键扫描 ...

APC一直都有監控就是與Realtime Protection連動,只是首次觸法方式需要雙撃,
這是因為效能因素,此終不能過份消耗系統資源而達至安全,這樣客戶會不滿
最初APC V2版推出時是無論如何,每次啟動Realtime Protection(包括更新時的重設)APC都會伴隨啟動,只是後來因為避免效能或負荷因素
而把APC改為首次要先雙撃才觸發APC啟動

[讨论] 红伞右键扫描不杀，放进隔离区却杀，为何？

本帖子中包含更多资源