SEP云监控与隔离区的还原（更新隔离区手动添加功能）。。。

jone_jys

事实证明，SEP的监控确实运用了“云监控”技术。

在卡饭下载的病毒样本压缩包，下载的时候SEP没有任何提示。 共2个压缩文件都没有提示（openfiles，pdqjcnrsctvtvqwkuwb）。。。

1 云监控的疑问：

下载到本地后，首先解压第一个压缩文件openfiles，没有任何反应；接着解压第二个文件pdqjcnrsctvtvqwkuwb，SEP弹窗报警（ .Cloud.2）。没有进行右键扫描，解压后直接报的，所以根据病毒名称可以确定监控确实用了云技术。

因为第一个文件解压后没有反应，遂直接删除到回收站了。

断网后再次测试，解压第一个文件openfiles，神奇的是SEP居然弹窗报警了，名称同样是.Cloud.2？

难道在断网前已经偷偷的用云监控到了？我可以理解为本地有了云缓存了么？可是当我打开回收站的时候却依然能看见这个文件，这就奇怪了，如果有了云缓存，那么当我浏览回收站的时候也应该监控到才对呀。（因为默认防护设置是扫描所有文件，访问及修改时扫描）那么读取回收站时却不报，不管在回收站如何刷新都不报，难道是因为SEP不监控回收站？貌似不科学呀。。。

2 隔离区还原的疑问：

昨晚测试了一个宏病毒，是全盘扫描提示隔离，到隔离区将其恢复后，再次打开那个恢复后的压缩包却提示错误，而在隔离区依然能看见那个文件。当时我就怀疑是不是经过SEP的隔

离后再恢复的话会破坏源文件？

今天拿上面2个样本再次测试（openfiles，pdqjcnrsctvtvqwkuwb），当这2个文件都能检测并隔离的时候。我同样在隔离区操作还原。第一个文件每还原一次都重新隔离一次，因此暂时没法判定是否已破坏； 第二个文件可以还原成功，隔离区同样可以看见文件，而疑惑的是还原后的文件右键扫描依然没有报警了，是不是说明这个还原后的文件已经被破坏了？

隔离区的文件还原后还可以看见的么？

下面上图2张：

图一是断网后再次测试报毒的，可以看见都是云名称。

图二是回收站的文件与隔离区状态。








补充一下：很神奇，刚刚联网后再次解压第一个文件openfiles，SEP却没有任何反应，文件成功解压出来了。


样本由墨家小子提供：http://bbs.kafan.cn/thread-1576335-1-1.html

3 隔离区的手动添加功能：

刚刚测试了下SEP的隔离区手动添加的功能， 桌面右键新建记事本，去隔离区手动添加时，处理真是龟速额。最开始晃了下界面不动，还以为卡死了呢。等了好久才能在隔离区看见文件额。。

按说的话是用户手动添加的，应该毫不犹豫的就拉黑了，为何处理这么慢呢。



@驭龙 @qpzmggg999 @墨家小子  

墨家小子

卤煮的结论是什么

驭龙

第一个问题，SEP似乎/可能云是存在缓存的。当然，也存在其他的可能，比如说本地启发报毒的时候，有时候也带云标记

第二个问题，我现在裸奔，无法测试，也就无法回答

jone_jys

墨家小子 发表于 2013-6-12 16:35
卤煮的结论是什么

我还真没啥结论。只能说如果这里不是个案的话，那么云监控还不稳定； 另外隔离还原后的文件确实会破坏的话，那么应该会是一个BUG。。。

jone_jys

驭龙 发表于 2013-6-12 16:36
第一个问题，SEP似乎/可能云是存在缓存的。当然，也存在其他的可能，比如说本地启发报毒的时候，有时候也带 ...

嗯，第一个姑且这么认为吧； 如果第二个属实的话，那么应该是一个小BUG吧。。。



PS：我也是看了你那篇帖子后，才特意测试下SEP的云监控的。 VSE的云监控一般都称为“月神”，报毒是以Artemis!开头

驭龙

jone_jys 发表于 2013-6-12 16:42
嗯，第一个姑且这么认为吧； 如果第二个属实的话，那么应该是一个小BUG吧。。。

嗯，还是McAfee的月神Artemis好确定，不过，据说Artemis也不稳定，但是我没有研究过，只是听说更改路径以后不稳定

jone_jys

驭龙 发表于 2013-6-12 16:53
嗯，还是McAfee的月神Artemis好确定，不过，据说Artemis也不稳定，但是我没有研究过，只是听说更改路径以 ...

VSE的月神似乎没有本地缓存。我之前有测试过，联网时月神可以报，断网却不报了。 如果监控等级调高后，修改路径也还是会报的，低等级有时确实不报。。。

驭龙

jone_jys 发表于 2013-6-13 08:56
VSE的月神似乎没有本地缓存。我之前有测试过，联网时月神可以报，断网却不报了。 如果监控等级调高后，修 ...

嗯，Artemis断网就彻底失效了，不过话说新McAfee个人版BETA，启发式引擎和特征库架构都有巨大改进，所以我也很期待企业版的新版本，哈，先闪了，改日再聊，拜拜

jone_jys

刚刚测试了下SEP的隔离区手动添加的功能， 桌面右键新建记事本，去隔离区手动添加时，处理真是龟速额。

最开始晃了下界面不动，还以为卡死了呢。等了好久才能在隔离区看见文件额。。

按说的话是用户手动添加的，应该毫不犹豫的就拉黑了，为何处理这么慢呢。

dfliaoyue

驭龙 发表于 2013-6-12 16:36
第一个问题，SEP似乎/可能云是存在缓存的。当然，也存在其他的可能，比如说本地启发报毒的时候，有时候也带 ...

sep有本地启发吗？断网时sep的sonar不就报废了吗？