管家云何时可以进入压缩包扫描

小柯安全

今天在测试时发现管家还无法进入压缩包扫描 解压本来可以识别的样本压缩一下就变成安全了 那么如果加密自解压类型样本管家是否毫无防御能力呢

流星街

同感...自稱專業殺軟卻不能掃描壓縮包...

li13911

官方解释：下载的时候会解压扫描，但是不会扫描非PE，但是解压后扫描的话，本地引擎会参与到对非PE的扫描逻辑。

你可以找个加密自解压的包试试，只要一释放，会被监控到的。

PS：欢迎归队，听说有大红包！

---

Mozilla/5.0 (Windows NT 5.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:5月20日08:00发布　
—— 今天星期一(5月20日) 晴 33℃～20℃ 东风 微风   
—— 明天星期二(5月21日) 晴 36℃～21℃ 东风 微风
—— 发帖时间：现在是2013年05月20日 第2季度 星期一 11时48分07秒571毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

箭头2003

掌握不了这技术呗

Flameocean

说白了云不能解包 小红伞本地能解包，就这么简单

li13911

Flameocean 发表于 2013-5-27 00:04
说白了云不能解包 小红伞本地能解包，就这么简单

其实可不一定吧，只不过是策略问题，可以本地解包然后再上传云扫描，下载鉴定就是这么干的。而扫描不扫描压缩包，是设计的策略问题吧。

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:5月27日08:00发布　
—— 今天星期一(5月27日) 多云转阴 30℃～18℃ 东风 微风   
—— 明天星期二(5月28日) 小到中雨 25℃～15℃ 南风 微风
—— 发帖时间：现在是2013年05月27日 第2季度 星期一 10时01分07秒585毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

li13911

箭头2003 发表于 2013-5-26 20:18
掌握不了这技术呗

其实我们平常用的云鉴定已经解包了，至于扫描不扫，是引擎设计策略问题

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:5月27日08:00发布　
—— 今天星期一(5月27日) 多云转阴 30℃～18℃ 东风 微风   
—— 明天星期二(5月28日) 小到中雨 25℃～15℃ 南风 微风
—— 发帖时间：现在是2013年05月27日 第2季度 星期一 10时02分11秒67毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！

Flameocean

li13911 发表于 2013-5-27 10:00
其实可不一定吧，只不过是策略问题，可以本地解包然后再上传云扫描，下载鉴定就是这么干的。而扫描不扫描 ...

根本就不是你说的那样，云没有卖解包的给你，所以你必须本地解包，才能鉴定，就这么简单

virusscan

云直接解包？怎么解，上传后后台解？这完全不如在客户端由引擎来解。

如果哪个云对于压缩的文件直接报毒了，要么是本地解包后云查直接对压缩包报毒，要么是把压缩包入库，没有实质意义。

只要解压到本地时云查就可以了。至于自释放的如果会漏掉那就是管家的漏洞了。

li13911

自释放的只要病毒出来，管家会根据监控级别拦截的，最低级别的会在运行加载的时候拦截

---

Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0  (zh-CN)
—— 新浪网天气信息 地球上的某个城市:5月27日17:20发布　
—— 今天星期一(5月27日) 多云转阴 30℃～18℃ 东风 微风   
—— 明天星期二(5月28日) 小到中雨 25℃～17℃ 西风 微风
—— 发帖时间：现在是2013年05月27日 第2季度 星期一 19时39分41秒701毫秒
—— 骄傲地飞翔着的天气尾巴！签名！！！