吐槽SEP独er特bi的双重检查模式

T.Yoshiyuki

从我在今天精睿样本帖的一张图说起


简而言之
只要是开着监控进行手动扫描的话，扫描的过程中会同时激发监控清毒的过程
而监控和扫描的处理方式是不同的 最突出的表现就是监控发现威胁会花非常长的时间去分析处理（这个用SEP的人应该都懂的）
而手动扫描发现威胁的时候处理的速度很快
所以截图里有两个结果窗口 一个是监控的 一个是扫描的
扫描结果显示的时候有延迟的 一般是进入处理步骤的时候才在窗口上把全部结果显示出来
而这时已经激活了监控清毒机制——首先禁止访问 然后花几十分钟去分析，最后处理
这样手动扫描处理到后面 突然发现几个文件已经被监控抢先占用、无法访问了，一脸懵逼


如图 大的是手动扫描的处理结果 右下角小的是监控的处理结果

于是为了不这么麻烦 手动扫描的时候一定要关监控
这个机制简直是……

Cappu-Chino

NIS好像也是这样。。。

T.Yoshiyuki

Cappu-Chino 发表于 2016-5-31 20:40
NIS好像也是这样。。。

问题是SEP监控清毒极慢
一个“未决分析”耗你至少20分钟 且处理结果跟手动扫描一般是一样的

Cappu-Chino

T.Yoshiyuki 发表于 2016-5-31 21:04
问题是SEP监控清毒极慢
一个“未决分析”耗你至少20分钟 且处理结果跟手动扫描一般是一样的

NIS还好一些吧，只是在扫描34.vir时自动防护弹窗，同时扫描器在34.vir 停留了不到5分钟，扫描其他文件时并没有停留（上次扫精睿包时也是只在一个文件那里停留了不到5分钟）。

尘梦幽然

首先，必须要先说的一点是，赛门铁克产品的一切优化是以真实使用环境为基准的。像卡饭这种非真实环境下的测试，是不会针对优化的，因此如你所见，只要有符合自动防护管辖范围的恶意文件存在，自动防护一旦发现就会直接去处理它。其实真实环境下，用户解压出恶意文件之后，SEP的自动防护就会直接介入处理，并不需要等扫描去处理它，因此就不存在你说的机制问题。你要想快速测试的话，直接关了防护测就可以。
其次，我也觉得SEP处理得比较慢。带新版引擎的诺顿检测处理速度会更快一些，希望将来能把这些新functions带给企业版产品。

jone_jys

尘梦幽然 发表于 2016-5-31 22:01
首先，必须要先说的一点是，赛门铁克产品的一切优化是以真实使用环境为基准的。像卡饭这种非真实环境下的测 ...

你这洗得完全跟楼主说的不是一个意思。。。

SEP的这种监控方式本身就是扯淡好吧！无论你说的环境真实与否，监控都应该是第一时间响应的吧！而扫描是用户主动触发“扫描”动作后才开始的，你不能说一个病毒文件需要用户主动触发扫描后，监控还没开始吧？那他的监控岂不是摆设了？用过SEP的都知道，分析病毒的速度绝对有砸电脑的冲动。。。。

尘梦幽然

jone_jys 发表于 2016-5-31 23:10
你这洗得完全跟楼主说的不是一个意思。。。

SEP的这种监控方式本身就是扯淡好吧！无论你说的环境真实 ...

这只能说明楼主解压文件的时候监控是关闭的，解压结束后又因为某种原因打开了监控。
否则，监控对于特定格式的文件是一定会进行扫描的，即便你把后缀名改成vir这样也不存在你说的第一时间没有响应的问题。

jone_jys

尘梦幽然 发表于 2016-5-31 23:15
这只能说明楼主解压文件的时候监控是关闭的，解压结束后又因为某种原因打开了监控。
否则，监控对于特 ...

好吧！你的第一句话已经肯定楼主关闭了监控才解压。具体是不是我姑且不谈。

即便是这样，当 用户主动发起扫描动作时，需要右键点击文件或文件夹开始“右扫”吧，那么这时候监控也应该要工作了呀！难道扫描到中途时，监控才想起来要干活？ 或者你是说扫描到中途时“因为某种原因打开了监控"么？

其实，无论是我上面的哪种假设，SEP的这种策略都是坑爹的，你不得不承认。

以迈克菲的实时监控和手动扫描来说一下，二者都是公用一个引擎。VSE的时候，监控和扫描是独立的进程，而最新的MES，二者都是一个进程，即共用前者的监控进程。人家的GTI都可以分别设置灵敏度，以你假设的场景为例：1 关闭监控解压后，病毒会被无视，右扫会干掉病毒；2 关闭监控解压后，再打开监控，然后右键点击文件或文件夹时，此时监控一定开始响应，还没等你点击右扫，监控已经干掉病毒了。

这就是差距。。。

jone_jys

当然，我也曾经用过SEP，时间不长。我不是要恶意去诋毁铁壳，整体防护能力还是不错。只是楼主提到了这个问题，就出来吐槽一下这个坑爹的策略。。。

铁壳粉不要过多解读。。。

尘梦幽然

jone_jys 发表于 2016-5-31 23:39
好吧！你的第一句话已经肯定楼主关闭了监控才解压。具体是不是我姑且不谈。

即便是这样，当 用户主动 ...

唉，楼主是把文件丢在一个文件夹里，然后对文件夹右键扫描的，哪有你说的点击触发这种啊。。
由于右键扫描文件夹会触发文件系统访问，所以sep才会去阻止的啊，最后带来给楼主不是很好的体验。