亮点自寻

幽冥の龙

wqcaokeyinwq 发表于 2013-7-18 22:45
这个真是少见。。

首先白名单和可信程序是两码事。。。

这就搞不懂了…… 下载的冷门东西被报了，比如游民星空下的修改器，不就是触发主防才报的吗？因为报的是未知…… 相信游民的话就会加可信，然后就不报了

还是说未加可信前报未知的时候用的不是主防规则？

幽冥の龙

我还想起奇怪的一件事，以前下过个修改器，当时金山、360都报毒，上传火眼看了下看不出什么，微点也一直弹，我就加可信了，加了后就不报了，但后来不放心，过了几分钟我又把可信删掉了，但是删掉可信后，微点也还是不报了……右键扫描也没报了...

a22271001

白加黑锁屏类型的样本也是直接进入可信列表，但微点毫无反应

龙套传说

这个。。。如果病毒运行了，微点还能拦截么。。。

wqcaokeyinwq

方鸿渐 发表于 2013-7-19 11:14
白名单和规则到底哪个优先啊？……

现在很多朋友都混淆了白名单和可信程序。。。


1。。。通过多次测试的效果来看。。。。白名单凌驾于规则之上。。。。。。。。在白名单的程序一切行为都不受规则的约束。。。。白加黑就是典型的例子。。。


2。。。可信程序不在白名单之列。。。。可信程序是用户自己手动加入的以解决临时误报的措施。。。。通常在可信模式下微点监控依然会有发生作用。。。早些时候曾经咨询过官方。。可信模式究竟是什么。。。他们以商业秘密回绝了。。。。。。。个人猜测。。可信模式下有另外一套规则体系。。。在这套规则下。。程序危害系统的行为依然会受到微点的拦截。。。。这个样本就是例子。。把程序加入可信后。。微点依然会拦截其破环系统的行为。。。

wqcaokeyinwq

幽冥の龙 发表于 2013-7-19 11:30
这就搞不懂了…… 下载的冷门东西被报了，比如游民星空下的修改器，不就是触发主防才报的吗？因为报的是未 ...

双击。。报未知。。是主防规则的拦截系统。。。


加入可信后。。不报。。是可信模式下的监控规则。。。

幽冥の龙

wqcaokeyinwq 发表于 2013-7-19 12:45
双击。。报未知。。是主防规则的拦截系统。。。

意思是 加可信后，监控就调过了部分主防规则，允许了程序的大部分操作，但也不是全部是吧？如果真的想要破坏电脑还是要报？

但也不对啊，那比如我把个熊猫烧香加可信，然后双击，微点报还是不报？电脑会不会悲剧？

wqcaokeyinwq

幽冥の龙 发表于 2013-7-19 12:50
意思是 加可信后，监控就调过了部分主防规则，允许了程序的大部分操作，但也不是全部是吧？如果真的想要破 ...

可信模式下的监控。。。我个人猜的是有另一套规则。。。。。。。


可信模式下的程序有危害系统的行为。。主防是会拦截的。。。已经有很多这样的样本了。。

至于能不能拦住。。或者到底危害到什么程度。。才会拦。。。。这个就好比我们到现在也不知道主防的规则一样。。。秘密。。。

wcr

/tiao眼镜鱼 发表于 2013-7-19 08:57
可信的也拦截……

那我们添加的可信程序还有用？

见15楼和25楼
可信规则有另外一套规则来处理

784696777

方鸿渐 发表于 2013-7-19 11:14
白名单和规则到底哪个优先啊？……

白名单优先