用FS protection的来看下呢

显示全部楼层 · 发表于 2014-9-8 23:10:22

本帖最后由 STCn1000 于 2014-9-8 23:18 编辑

首先说一下
我的FS设定为实时监控手动处理样本
从我对弹窗的理解来看
正常的日志应该是这样的

也就是实时监控发现样本——阻止访问并弹窗由用户选择（一条日志）——选择处理——删除（一条日志）
但是用了这几天我发现很奇怪的状况
部分样本的日志是这样的

出现了数个阻止（这几张截图里面相同报法相同的样本均是同一个样本）。按照我开始的理解来看完全不对头的感觉
不知道各位用FSprotection的有没有出现这个问题

PS.检查了历史记录，我确定以前的TP没有此问题
PS2.吐槽下。。FS的日志这真能留。。我删删装装然后发现4月装的时候的病毒清除日志都还能看到

显示全部楼层 · 发表于 2014-9-8 23:24:56

不清楚这个，先阻止，然后删除应该是正常情况

显示全部楼层 · 发表于 2014-9-8 23:26:07

狴犴睚眦发表于 2014-9-8 23:24
不清楚这个，先阻止，然后删除应该是正常情况

我就奇怪怎么那么多个已阻止
而且我发现凡是日志像这种的样本处理速度会非常慢

显示全部楼层 · 发表于 2014-9-8 23:27:53

STCn1000 发表于 2014-9-8 23:26
我就奇怪怎么那么多个已阻止
而且我发现凡是日志像这种的样本处理速度会非常慢

你试一下同一个文件关了监控右键扫日志是不是一样

显示全部楼层 · 发表于 2014-9-8 23:29:04

yicun 发表于 2014-9-8 23:27
你试一下同一个文件关了监控右键扫日志是不是一样

嗯。。只有明天再试了。。要断电了~

显示全部楼层 · 发表于 2014-9-9 10:36:36

yicun 发表于 2014-9-8 23:27
你试一下同一个文件关了监控右键扫日志是不是一样

测试了一下
关掉实时防护再解压的话
只有一个已删除

显示全部楼层 · 发表于 2014-9-9 21:21:54

大概……我猜测啊……FS不是先自己引擎跑再bd么……是不是引擎阻止了2次……纯粹乱说的

显示全部楼层 · 发表于 2014-9-9 21:33:29

蓝核发表于 2014-9-9 21:21
大概……我猜测啊……FS不是先自己引擎跑再bd么……是不是引擎阻止了2次……纯粹乱说的

反正看了半天。。主要是以前的TP没这毛病
就很奇怪

[讨论] 用FS protection的来看下呢

本帖子中包含更多资源