WD似乎监控存在一些问题，有时候隔离整个压缩包，有时候不隔离，怎么回事？？

显示全部楼层 · 发表于 2016-6-11 01:59:43

本帖最后由月影天心于 2016-6-11 02:14 编辑

有时候下载到病毒的压缩包，WD不由分说就给整个隔离了，但有时候WD能检测到压缩包中的威胁，也提示正在处理威胁，但处理完成后压缩包还在，这是怎么回事？？

比如这个帖子中的样本（http://bbs.kafan.cn/thread-2044092-1-1.html），下载到本地后，WD监控大概有10秒左右的滞后（实在太慢了。。。），之后自动进行了处理，根据处理结果，WD处理成功，但发现并没有隔离压缩包（如图）。

然后又试了几次，发现有时候能隔离压缩包，有时候就无法隔离。。。。

如下图，这是之前试的一次，同样的压缩包，这次被成功隔离：

最无语的是我又试了很多包含不同样本的压缩包，WD经常出现这个问题，总是提示发现病毒威胁，但处理结束后压缩包仍在原地，里面的病毒文件仍在。。。

这是什么鬼？WD怎么可能有这么匪夷所思的BUG？？？@ELOHIM @HEMM @驭龙

显示全部楼层 · 发表于 2016-6-11 06:12:24

對比一下MD5碼看看

說不定是修復

显示全部楼层 · 发表于 2016-6-11 08:21:25

本帖最后由月影天心于 2016-6-11 09:52 编辑

c68111c 发表于 2016-6-11 06:12
對比一下MD5碼看看

說不定是修復

病毒体在压缩包内，WD能直接修复？
我对比了关了WD的监控后下载原始的病毒文件和经过WD“处理”的病毒文件，是一样的

显示全部楼层 · 发表于 2016-6-11 08:48:40

本帖最后由驭龙于 2016-6-11 08:49 编辑

这你需要对比修复以后的压缩包内文件的SHA1，完全没有变化，就 WD问题，如果有变化，就不是WD问题

另外WD的用户层通知与内核不匹配，也就是说表面上通知处理完成，实际上需要等几分钟甚至更长时间，WD才会处理文件本身

还有第一张图中隔离的文件，并不是你下载位置的文件

显示全部楼层 · 发表于 2016-6-11 09:36:41

本帖最后由月影天心于 2016-6-11 09:43 编辑

驭龙发表于 2016-6-11 08:48
这你需要对比修复以后的压缩包内文件的SHA1，完全没有变化，就 WD问题，如果有变化，就不是WD问题

另外W ...

额，感觉WD在病毒处理上确实有点奇怪：

这你需要对比修复以后的压缩包内文件的SHA1，完全没有变化，就 WD问题，如果有变化，就不是WD问题

WD能直接对压缩包内的病毒文件直接修复？？怎么处理同样的文件，有时候把整个压缩包隔离了，有时候又不处理呢？

另外WD的用户层通知与内核不匹配，也就是说表面上通知处理完成，实际上需要等几分钟甚至更长时间，WD才会处理文件本身

我试过很多次，WD对病毒进行隔离完全随机，都会弹出删除威胁的提示，但有时候直接隔离压缩文件，有时候原始的压缩包仍在原处

还有第一张图中隔离的文件，并不是你下载位置的文件

这个帖子就是说的这个问题啊，都是下载到同样位置的压缩包，有时候就像第二张图那样能一并把压缩包隔离成功，有时候就像第一张图那样没有隔离压缩包，这明显是有问题的吧？？

显示全部楼层 · 发表于 2016-6-11 09:42:55

月影天心发表于 2016-6-11 09:36
额，感觉WD在病毒处理上确实有点奇怪：

WD能直接对压缩包内的病毒文件直接修复？？

①我没有测试过修复压缩包内文件的情况，可你不试试怎么知道不能？

②WD有时候会受到某些程序的干扰，你系统上有没有其他东西？

③日志中是否出现错误代码？有时候WD的监控确实是有问题，经常一次错误二次才隔离，这确实是有问题的

显示全部楼层 · 发表于 2016-6-11 09:51:01

本帖最后由月影天心于 2016-6-11 09:56 编辑

驭龙发表于 2016-6-11 09:42
①我没有测试过修复压缩包内文件的情况，可你不试试怎么知道不能？

②WD有时候会受到某些程序的干扰， ...

1、回去我继续测试下，之前粗粗比对了下，似乎文件是一样的，回去仔细比较下SHA1；
2、系统只有WD；
3、日志没有错误，似乎WD在处理病毒机制上有点问题，如果上面第一点验证后SHA1变化，那就说明WD进行了修复，那么又有问题来了：对于同一个样本，怎么WD有时选择修复，有时直接隔离呢？这个压缩包我试过好几次，WD在处理上完全“随机”，其实不光这个样本，很多样本在测试中都发生了这样的情况，即WD每次处理的选择都不同

另外，还有个匪夷所思的情况，下载原始的压缩包，然后用WD扫描，竟然报安全。。。此时打开WD的监控，又报毒。。。无语至极。。。。可以直接试下这个样本：http://bbs.kafan.cn/thread-2044092-1-1.html。其实我在实际使用中发现WD在处理很多样本时都有这些奇怪的问题

显示全部楼层 · 发表于 2016-6-11 10:06:04

月影天心发表于 2016-6-11 09:51
1、回去我继续测试下，之前粗粗比对了下，似乎文件是一样的，回去仔细比较下SHA1；
2、系统只有WD；
...

自从进入16年，我基本上没有玩过WD了。

其实我之前也发现有一些奇怪的情况，对于同个样本好像有报有不报的情况，这可能跟网络稳定性有关，跟引擎优先级有一定联系，具体原因没有研究。

新引擎越来越奇怪了

显示全部楼层 · 发表于 2016-6-11 10:35:26

你給個你說壓縮檔不刪的給我試試看

显示全部楼层 · 发表于 2016-6-11 10:41:37

本帖最后由 c68111c 于 2016-6-11 10:43 编辑

另外，还有个匪夷所思的情况，下载原始的压缩包，然后用WD扫描，竟然报安全。。。此时打开WD的监控，又报毒。。。无语至极。。。。可以直接试下这个样本：http://bbs.kafan.cn/thread-2044092-1-1.html。其实我在实际使用中发现WD在处理很多样本时都有这些奇怪的问题

這個我關監控就掃到了，也移除了

[技术探讨] WD似乎监控存在一些问题，有时候隔离整个压缩包，有时候不隔离，怎么回事？？

本帖子中包含更多资源

评分

本帖子中包含更多资源