Mse的一个不解之处

显示全部楼层 · 发表于 2012-4-25 10:38:25

本帖最后由不一定于 2012-4-25 10:55 编辑

比如某样本hXXp://bbs.kafan.cn/thread-1274803-1-1.html可以检测到。
但在隔离区选择还原后，继续删除所有检测到的项目。再扫描还原的文件死活不鸟了。
看各个设置并没有这个文件的排除项，重启后再扫描也不鸟。
这是为何呢？

最新编辑一下，只要把文件夹（含恶意软件的）修改一个名字，又可以侦测，但我依然不理解的是。排除中没有该文件夹呀。

显示全部楼层 · 发表于 2012-4-25 13:10:47

本帖最后由朗月流光于 2012-4-25 13:16 编辑

mse可能是想既然用户都认为不是恶意软件了，我又何必多管闲事呢，我在首次就已经尽到了责任，剩下的，就把自主权完全交给用户喽！毕竟是mse啊，不是数字山山那些个东西，完全替你做决定啊！

至于改个名字又能检测到，肯定是微软没在这种技术方面下很大功夫，仅仅以缓存来判断，而没有用到哈希值技术!毕竟这样的小方面不足以用到太复杂的技术

显示全部楼层 · 发表于 2012-4-25 13:13:52

隔离区还原=排除？

重命名后可以侦测，这个还容易理解

显示全部楼层 · 发表于 2012-4-25 13:30:06

可能是bug

显示全部楼层 · 发表于 2012-4-25 21:21:32

的确有这个问题，以前允许了一个程序，然后在允许里面删除，再扫描，就不报了，重启之后才报毒。

显示全部楼层 · 发表于 2012-4-25 21:25:54

朗月流光发表于 2012-4-25 13:10
mse可能是想既然用户都认为不是恶意软件了，我又何必多管闲事呢，我在首次就已经尽到了责任，剩下的，就把自 ...

缓存对了。呵呵。我找到答案了。

显示全部楼层 · 发表于 2012-4-25 21:26:11

jhtl 发表于 2012-4-25 13:30
可能是bug

找到答案，不是了。

显示全部楼层 · 发表于 2012-4-25 21:27:01

飞霜流华发表于 2012-4-25 21:21
的确有这个问题，以前允许了一个程序，然后在允许里面删除，再扫描，就不报了，重启之后才报毒。

这个重启也不行，但运行恶意就报了。原来是缓存。白狮子锁贴吧。我了然的知道了原因，感谢别人pm我。

[技术探讨] Mse的一个不解之处