不吐不快，MA没有防挂马功能？答案：No【MA照样有Web封锁功能】

ELOHIM

coolcfan 发表于 2015-6-4 20:36
Edge是UAP做的……

为什么这么说？

coolcfan

ELOHIM 发表于 2015-6-4 21:00
为什么这么说？

估计我拼错了。。反正是 Universal App，就是一套底层代码可以在电脑版和手机版都用的那种。

驭龙

coolcfan 发表于 2015-6-5 21:46
估计我拼错了。。反正是 Universal App，就是一套底层代码可以在电脑版和手机版都用的那种。

原来你说的不是“用友UAP”啊

hpmlo

其实……WD是有弄死这个挂马脚本的，不过并不会提示你是后台自动搞死。你看WD的历史记录就了解了，应该会有一个历史记录的。

这个恶意代码是被下载到了本地的

驭龙

hpmlo 发表于 2015-6-6 13:10
其实……WD是有弄死这个挂马脚本的，不过并不会提示你是后台自动搞死。你看WD的历史记录就了解了，应该会有 ...

不是的，后台也没有杀完全没有记录，不相信的话，一会我去上图

驭龙

hpmlo 发表于 2015-6-6 13:10
其实……WD是有弄死这个挂马脚本的，不过并不会提示你是后台自动搞死。你看WD的历史记录就了解了，应该会有 ...

刚刚我此再测试一次。

首先使用Windows 7测试JS威胁，成功拦截


历史记录中有JS的报毒时间。


然后使用Windows 8.1测试这个JS威胁，MEP毫无反应，历史记录没有报JS威胁。


相同的时间，访问Ramnit威胁，MEP成功拦截。
历史记录中有记载


PS：如有疑问，请发出Windows 8.1系统下MA的历史记录中有报JS威胁的截图，谢谢

hpmlo

驭龙 发表于 2015-6-6 14:10
刚刚我此再测试一次。

首先使用Windows 7测试JS威胁，成功拦截

感谢你的细心测试呀，我这里是确实有监控这个问题，刚刚我清理掉所有WD的历史记录，然后重新上了那个网页



可以发现确实被干掉了

驭龙

hpmlo 发表于 2015-6-6 15:25
感谢你的细心测试呀，我这里是确实有监控这个问题，刚刚我清理掉所有WD的历史记录，然后重新上了那个网页 ...

你的IE没有入沙，也没有AppContainer降权，所以才杀的，是你IE本身问题

入沙和AC降权以后的IE缓存位置是
:\Users\用户名\AppData\Local\Packages\windows_ie_ac_001\

hpmlo

驭龙 发表于 2015-6-6 15:28
你的IE没有入沙，也没有AppContainer降权，所以才杀的，是你IE本身问题

入沙和AC降权以后的IE缓存位置 ...

这样啊，感谢！

驭龙

hpmlo 发表于 2015-6-6 16:00
这样啊，感谢！

这个可能是我忽略了，在一楼只是说降权和入沙，却没有说的具体一些

不过我还是觉得有一点奇怪，因为我刚才关闭AC降权和SandBox，实机访问也还是没有报，而且我虚拟机中的Windows 8.1里的IE也没有开EPM，不知道你那里为何会报