情况下U盘查杀策略问题 （截止8.7.1002h问题仍存在）

jefffire

众所周知断网情况下U盘是最大的威胁来源，今天对断网情况下360卫士对u盘的查杀进行一些测试，发现了卫士对多引擎的使用策略上存在一些问题。
首先当然是断网，并且打开四引擎


为了说明情况，特意选用了三个样本，这三个样本分别能被启发式引擎，QVM引擎以及小红伞引擎独立检出。




接着先将1-5号能被启发式引擎检出的样本放入U盘根目录，然后重新拔下再插上
结果，成功检出


然后将1-1号被本地QVM检出的的样本放入U盘根目录，然后重新拔下再插上
结果显示未知


再将1-10号被红伞检出的的样本放入U盘根目录，然后重新拔下再插上
结果也显示未知




对于这个结果，本人表示不太满意。本来本地QVM和红伞引擎就是为了断网而准备的，如果本地QVM和红伞引擎在断网情况下不能发挥其检出U盘病毒应有作用，仅仅作为一个扫描器，实在得不偿失。

bbs2811125

这个的确应该有所动作才是
不过对于u盘病毒最好直接组策略限制u盘内软件的运行这样感觉效果最好，当然不知道那条简单的组策略规则是不是都能防止插上u盘就中毒的情况

jefffire

bbs2811125 发表于 2012-3-28 00:25
这个的确应该有所动作才是
不过对于u盘病毒最好直接组策略限制u盘内软件的运行这样感觉效果最好，当然不知 ...

关键是还有可能被复制出来再双击，所以一次性先过滤一遍最好，U盘病毒本身往往都是老毒。

bbs2811125

jefffire 发表于 2012-3-28 00:27
关键是还有可能被复制出来再双击，所以一次性先过滤一遍最好，U盘病毒本身往往都是老毒。

的确都是老毒，复制出来双击的可能性其实不是很大，一般情况下只是拷贝需要的文件或者文件夹
如果带有监控的杀软这个时候也应该有反应了，卫士这点做得的确有点欠缺，不过换做杀毒的话应该是会报的吧~

钟馗见鬼

试一试双击看看。。。

jefffire

bbs2811125 发表于 2012-3-28 00:29
的确都是老毒，复制出来双击的可能性其实不是很大，一般情况下只是拷贝需要的文件或者文件夹
如果带有监 ...

杀毒2.0时代问题还不大，现在3.0默认没有本地，问题就大了.而且还有一些问题，我明天再说，今天晚了先睡觉了

心碎乌托邦

jefffire 发表于 2012-3-28 00:50
杀毒2.0时代问题还不大，现在3.0默认没有本地，问题就大了.而且还有一些问题，我明天再说，今天晚了先睡觉 ...

默认没有本地只是极少数的情况，一般用户都是直接从2.0升级到3.0的所以是有本地的。好像3.0安装的时候是根据机子的性能默认勾选本地的吧。

junyangxie

我让相应的产品团队看看，谢谢

细细的票根

卫士原本就没有本地文件监控，后两个引擎是来当扫描器的，装360杀毒有本地文件监控。

jefffire

心碎乌托邦 发表于 2012-3-28 09:46
默认没有本地只是极少数的情况，一般用户都是直接从2.0升级到3.0的所以是有本地的。好像3.0安装的时 ...

3.0默认就是不装