关于“Spursint”

ELOHIM

刚才做了一个实验。
认真论证了一下 WD 的这个提示。
开始以为 WD 带着有色眼镜看卡饭，其实不然，微云也不行。
看来 WD 对于压缩的文件超过20/50MB的样本不报以外，
小文件的报毒几率非常大。
因为不能测试国外环境，所以不知道是不是 WD 针对 天朝环境的一种适应。
但是，必须明确一点，任何原格式的文件（比方exe,txt,com等），不会出现这种情况。

基于这种情况现在可以证明一点，国际测试机构的样本没有经过压缩。

对于目前这种情况，挽救措施是有的。但是局限于 Windows 10 Pro 以上配置组策略的系统。
其他系统，可以 观察注册表的键值做相应更改，应该有效。这里不测试。

在组策略中，“Windows Defender”分支的“扫描”节点下，将“扫描压缩的可执行文件”一项设置为“已禁用”即可。

这样可以更方便的测试样本，免受误报骚扰。

对于普通用户，建议采取默认设置。

下面为相关组策略的描述：

使用此策略设置，可以配置扫描压缩的可执行文件。建议保持启用此类型的扫描。
    如果启用或未配置此设置，则会扫描压缩的可执行文件。
    如果禁用此设置，则不会扫描压缩的可执行文件。

HEMM

其余是信誉SS管的，这是压缩包内可执行文件信誉杀.......
不是的，国内外统一的....以微软的大家风范怎么可能特殊照顾某一区域

ELOHIM

HEMM 发表于 2016-7-5 16:48
其余是信誉SS管的，这是压缩包内可执行文件信誉杀.......
不是的，国内外统一的....以微软的大家风范怎么 ...

只能微软自己清楚了，不过还是信誉不佳。
因为测试的文件在这边是刚刚诞生的。
微软有提供开发人员上报通道，可以排查。
普通用户只好看看他们的：照本宣科。别无他法。

不过，动动骨也是可做到的。毕竟，软件就是为了需求而来。

maomao110

是的  我昨天下了17M的视频   ZIP格式的 直接被杀  我重新下载就没问题了

ELOHIM

maomao110 发表于 2016-7-5 22:21
是的  我昨天下了17M的视频   ZIP格式的 直接被杀  我重新下载就没问题了

在什么地址下载的呢？

maomao110

ELOHIM 发表于 2016-7-5 22:47
在什么地址下载的呢？

飞猫的加密视频  结果第一遍报了   还原（应该在缓存，所以下载目录没有）
重新下载 搞定

ELOHIM

maomao110 发表于 2016-7-6 09:08
飞猫的加密视频  结果第一遍报了   还原（应该在缓存，所以下载目录没有）
重新下载 搞定

en ..
WD这个方式你认为怎么样现在。

maomao110

ELOHIM 发表于 2016-7-6 11:02
en ..
WD这个方式你认为怎么样现在。

无所谓呀  蛮好的呀  最起码不会出现下一个正规软件  然后直接删除了
这个视频被删 是低概率事件

ELOHIM

maomao110 发表于 2016-7-6 11:47
无所谓呀  蛮好的呀  最起码不会出现下一个正规软件  然后直接删除了
这个视频被删 是低概率事件

我认真的想了一下。
误报，其实有两种理解方式。
————————————
第一种：对用户有用的但是被安全软件干掉的，用户说安软误报。比如：外{过}{滤}挂，破解，绿色等等。
这些程序从某种意义上来讲，是对软件或者系统的一种破坏行为。安软如果有利益联盟或者单纯自身利益关系，或者说，定义严格的话，那么杀掉这些对于用户有用对于软件或者系统无用甚至损坏的程序的话，不应该叫误报。
第二种：因为安软厂商自身技术或者人力或者其他原因造成的分析出错或者定义错误等情况导致的局域性或者广域性的文件删除隔离造成不良影响的，这才是真正的误报。

信誉不佳就扣上木马的方式，比如WD的这个方式，就是典型的草木皆兵。
因为微软肯定收集了大量来自于卡饭的样本，
所以，从源头加入了对于卡饭附件的大力查杀，出发点是好的。
因为卡饭存在于互联网上，不是企业网内部，非常容易造成迅速扩散和传播。
“拉黑卡饭附件”或者“高启发卡饭附件”的做法，不止微软独家。

做法是善意的，后果需要再斟酌一下就好。

maomao110

ELOHIM 发表于 2016-7-6 17:58
我认真的想了一下。
误报，其实有两种理解方式。
————————————

我管他怎么报呢  反正正规软件WD不会报  诺顿一报一大堆
还说自己用户多 云强大  强大怎么正规软件收集不到  呵呵哒