只监控传入的缺点.另问MSE是如何知道哪些文件是安装MSE前就有的呢？

wayaya

昨天无聊做了个小测试，安装mse之前使用了论坛兄弟的一个注册表文件设置MSE为只监控传入

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Real-Time Protection]
"RealTimeScanDirection"=dword:00000001


之后发现打开含多exe文件的文件夹时候CPU不再飙升，确实有效啊。

之后禁止MSE的监控，解压缩了几个小病毒到硬盘，然后开启MSE，发现MSE居然在我打开这些文件夹的时候居然自动干掉了这些病毒。看起来是禁用MSE的监控以后，MSE的相关进程等依然在标记哪些文件是外来者，这是我猜测的不知道是否如此，请各位兄弟解惑。


于是乎，卸载MSE，这次在安装前事先解压缩病毒，之后再导入前面的注册表文件和正常安装MSE，然后发现了这个方式的缺陷，即这个时候如果我打开已经存在了病毒的文件夹，MSE不再处理这些已有病毒，运行病毒时MSE也不主动阻止病毒的运行，也就是说运行病毒的时候MSE并没有针对性的扫描这个带毒文件。


MSE明显有机制确认哪些文件是外来者，但是到底是通过何种方式实现的呢？如果是MSE进程做的这些标记，那么绕过MSE进程的文件操作MSE也自然无法感知，即有可能种下病根。


因此只传入监控只在熟知MSE文件感知方式之后才可正确处理，但是好像没有看到相关描述，不知哪位兄弟可以给我补补课。


论坛兄弟的建议是开启只传入监控之后，经常的扫描文件夹，但是是否有这个必要，经常性的扫描也无法准确预知哪里何时会出现病毒，不小心运行了病毒就死定了。这种设置下哪些方式会导致病毒落户硬盘呢？越来越糊涂了

sogou2004

MSE4.0已经意识到[仅监控传入]的弊端，故取消了此复选框
建议楼主莫对MSE做任何更改，尤其是注册表之类的更改；
更改之后你也不确定动了哪些东西，可能导致严重的消弱防护
帅就是帅也说了，杀软要适应人，而不是人去适应杀软

aazz00

卡EXE 的4.0

03243056

卡EXE始终让人蛋疼

wayaya

sogou2004 发表于 2012-5-2 17:16
MSE4.0已经意识到[仅监控传入]的弊端，故取消了此复选框
建议楼主莫对MSE做任何更改，尤其是注册表之类的更 ...

要是全监控的话win7也是卡啊，卸载了裸奔了

为了让杀软适应我，所以我把杀软卸载了。哈哈

wayaya

03243056 发表于 2012-5-2 23:21
卡EXE始终让人蛋疼

是啊，真卡

不过微软应该有解决这个问题的能力啊，那么多杀软，唯独mse卡得厉害啊，费解

sogou2004

wayaya 发表于 2012-5-3 09:39
是啊，真卡

不过微软应该有解决这个问题的能力啊，那么多杀软，唯独mse卡得厉害啊，费解

卡exe是杀软的通病 不仅MSE卡 据我所知 小A,红伞，诺顿都不同程度的卡exe
不过现有的配置相对这些影响太小了 你可以把一个文件夹里的exe分几个文件夹装

wayaya

sogou2004 发表于 2012-5-3 11:04
卡exe是杀软的通病 不仅MSE卡 据我所知 小A,红伞，诺顿都不同程度的卡exe
不过现有的配置相对这些影响太 ...

小红伞前一段用过，遇到这样的文件夹，cpu不像mse那样飙得厉害

mse是只要遇到有exe的文件都会卡一会儿，尤其是带有exe安装文件的，估计它要解压缩检查

xiaomaobi

我只想说标题的问题真的很可爱。。

你说他怎么知道的？你既然告诉他只监控传入，他自然默认目前已经有的文件全是安全的啊。。他只要对以后创建的文件进行监控就好了，需要标记吗？

xiaomaobi

这个问题是mse分区讨论最多的问题了，有兴趣你可以看看旧的帖子，很多说法都很有启发性。

如果没那个时间研究，你只要知道4.0微软已经去掉了这个选项，默认监控所有，这个足够说明问题了吧？