也来说说McAfee8.8的“按访问扫描”和“访问保护”。。。

显示全部楼层 · 发表于 2011-7-29 23:44:05

本帖最后由 jone_jys 于 2011-8-1 19:56 编辑

真的很久没有用过咖啡了，现在用起来感觉不太适应了。。。

在这个帖子里面讨论咖啡的二大核心功能：“按访问扫描”和“访问保护”。。。

1 按访问扫描，也即通常所说的实时监控。这个核心模块在8.8版本存在的问题咖啡迷应该都比较清楚的。就是每次启动系统进入桌面后，会自动禁用1-2分钟而后又自动开启。（windows 7系统下是如此）

特别指出的是：“按访问扫描的”读取扫描貌似有问题？因为默认的设置是勾选了“读取” “写入” “打开以便备份”，其它设置也都是默认值，没有修改过。而我在样本区下载了样本到本地后，咖啡却无动于衷，而在右键扫描时才提示有病毒。难道其他朋友么有发现此异常？（样本非压缩文件）

记得之前的8.5版本只要一进入有病毒的文件夹也会立马干掉的（即读取扫描）。。。

2 访问保护，也即咖啡企业版的最大亮点——规则防御。而这个核心模块在新版存在的问题未必有朋友注意到吧。同样也是在系统启动后的2-3分钟内，这个功能是失效的。

我在试验“访问保护”的时候，是“按访问扫描”已经自动开启的状态下，此功能依然失效，大概到3分钟钟以后所定制的全部规则保护默认规则才能生效。有兴趣的朋友不妨一试。。。

期待PATCH1能解决所有问题：比如更新时界面显示不完整；安全中心注册机制的问题，间隔几秒会闪烁；还有一些通配符的表示法；右键扫描触犯UAC默认级别等等等。。。

对于访问保护失效的问题有人提出疑问，释疑如下：

你所说的“失效”，是实机防护功能的缺失（即不能使用相关防护阻止病毒），还仅仅是由其图标显示所得出的推测？？

实验过程如下：
制定规则为：全局禁止修改DLL文件。 “阻止并报告”
启动Mechanical（CAD),因为特殊性，每次启动必然会触发这条规则，因为要写入自身的DLL文件。（除非排除）
测试：系统刚启动进入桌面，马上启动CAD，此时没有触犯规则，图标未变化，日志未记录。。。

系统启动后进入桌面等待大约3分钟以后，启动CAD，此时图标加红框，日志有记录，已触犯规则。。。

显示全部楼层 · 发表于 2011-7-30 02:49:21

这么说吧，好象是因为开机程序太多，咖啡自动调节的。你假如机器很快的话，不会有这样的情况的

显示全部楼层 · 发表于 2011-7-30 02:57:54

一双拖鞋发表于 2011-7-30 02:49
这么说吧，好象是因为开机程序太多，咖啡自动调节的。你假如机器很快的话，不会有这样的情况的

个人觉得这个跟机器快慢是没啥关系的，因为系统完全启动后，可以看见自动禁用按访问扫描，托盘图标会有禁止标志

显示全部楼层 · 发表于 2011-7-30 10:30:24

有问题并不可怕，严重的是，解决问题太慢！大概是大企业版的原因吧，个人用可以表示理解！

显示全部楼层 · 发表于 2011-7-30 10:43:10

本帖最后由 jone_jys 于 2011-10-6 16:37 编辑

墨池发表于 2011-7-30 10:30
有问题并不可怕，严重的是，解决问题太慢！大概是大企业版的原因吧，个人用可以表示理解！

双手赞成，企业版动作太慢了，，，，

而且误报上报程序繁琐，且极慢。。。

比较蛋疼的是，明明知道误报或有问题的文件，她就是不给解决（不入库）太霸道了。。。

显示全部楼层 · 发表于 2011-7-30 21:51:24

主要是误报比较多···

显示全部楼层 · 发表于 2011-7-31 23:45:16

读取扫描好像是不是那么灵敏，实际上下载样本属于写入扫描范围，这个可能和月神在不同模块中的灵敏度有关，有待详细测试。

显示全部楼层 · 发表于 2011-7-31 23:52:45

alexyangjie 发表于 2011-7-31 23:45
读取扫描好像是不是那么灵敏，实际上下载样本属于写入扫描范围，这个可能和月神在不同模块中的灵敏度有关， ...

是的，重点就是“写入”，我在旧版上还特意关闭了读取，只打开了写入扫描。
我将病毒样本特意从原下载位置复制到其它分区，咖啡都无动于衷，反而右键扫描清除病毒了。
无语。。。

咖啡的“清除修复”能力，“稳定性”都是一流。。。

PS：感谢你的经验，无穷动力啊。。。
话说瑞星其实也挺不错的的，像咖啡的徒弟。要不是瑞星最近出了状况，可能还在继续呢。。。

显示全部楼层 · 发表于 2011-7-31 23:54:25

现在单奔McAfee8.8+系统墙。。。。

显示全部楼层 · 发表于 2011-8-1 00:05:24

jone_jys 发表于 2011-7-31 23:52
是的，重点就是“写入”，我在旧版上还特意关闭了读取，只打开了写入扫描。
我将病毒样本特意从原下载位 ...

嘿嘿，经验谈不上，喜欢瞎折腾罢了～～以前扫描卡饭的病毒包，先解压出来，这时候mcafee弹出窗口报一会，等它消停了，再全选剩下的，右键扫描，往往又会报告一些，一般都是月神。

我有个推测，即按访问扫描（即监控）和右键扫描（即自定义扫描）对于文件的处理粒度(granularity)是不同的，按访问扫描追求性能，不卡CPU，不因为月神而降低扫描速度，所以对文件的扫描更加粗线条一些，把已知病毒清理出来，月神那部分的启发不是很深，有些文件就没有把指纹信息发送出去。而右键扫描则是认认真真把文件仔细过一遍，（甚至用虚拟机运行），这时能发现更多可疑代码，发送更多指纹，从而判断更多的月神结果。

这只是一种推测，还需要更多实验来判断。就目前来讲，已知病毒的检测还是十分有效的。

[讨论] 也来说说McAfee8.8的“按访问扫描”和“访问保护”。。。

评分