文件监控的静态检测除了调用扫描引擎扫描外还有其他检测机制？

显示全部楼层 · 发表于 2012-12-7 12:37:41

rt，http://bbs.kafan.cn/forum.php?mo ... &fromuid=347349
这里的样本，把手动扫描敏感度设到最高，设置扫描所有文件类型和所有压缩类型都是clean，但是文件监控静态检测直接报可疑gen并隔离，普通敏感度。why？
求长姿势

显示全部楼层 · 发表于 2012-12-7 12:52:41

实话说不知道，看你描述似乎应该是这个恶意软件不够恶意吧。。。

显示全部楼层 · 发表于 2012-12-7 12:58:12

、pikachu 发表于 2012-12-7 12:52
实话说不知道，看你描述似乎应该是这个恶意软件不够恶意吧。。。

主要是我以前理解的小a的监控就是先上扫描引擎，没问题的话文件执行时再根据静态分析和信誉云之类决定是否入自动沙盘进行行为分析。现在这情况是貌似在这中间又多出来一步，这一步和扫描引擎无关，却又不用进自动沙盘分析就能断定恶意，很是惊奇。

显示全部楼层 · 发表于 2012-12-7 13:01:01

leonfg 发表于 2012-12-7 12:58
主要是我以前理解的小a的监控就是先上扫描引擎，没问题的话文件执行时再根据静态分析和信誉云之类决定是否 ...

百度贴吧刷key贴看到了楼主的身影。。。。。我是安静卜orz，哈哈

显示全部楼层 · 发表于 2012-12-7 13:06:31

、pikachu 发表于 2012-12-7 13:01
百度贴吧刷key贴看到了楼主的身影。。。。。我是安静卜orz，哈哈

呵呵我也是无意间偶然进去居然发现有xd感谢自己赶紧诚惶诚恐冒个泡

显示全部楼层 · 发表于 2012-12-7 19:52:26

这个问题以前我也发现过，avast各个检测模块有不同的敏感度，即使调节的是一致的。

[讨论] 文件监控的静态检测除了调用扫描引擎扫描外还有其他检测机制？