drweb的问题

nick20010117

如图，进行一次快速扫描就写入这么多，你不要吓我
另外，我发现再用hmpalert-test测试exploit的时候，拦截率显著下降，什么鬼，不会是更新了规则，反而变水了 @驭龙

驭龙

现在无需为了系统流畅而扫描了，因为监控缓存机制已经调整，我不扫描一样不卡。

关于Exploit Prevention的规则，一年来无数次大修和优化最新版本的堆栈防御类型如下：

Mitigation type:
Anti-ROP
Guarded module access restriction
Loading library from UNC path prevention
Stack protection change prevention
Restricted function call prevention
SafeSEH emulation
Critical module access restriction
Heap spray address access
Unable to find protected function information
Trying to access page guarded module

现在的附属规则不算做Mitigation Type
Restricted function was called
LdrLoadDll with UNC path
Trying to change stack protection
Trying to set invalid stack pointer
Stack pointer invalid
ROP signs in emulation
Incorrect esp detected while checking a protected address access
Protected address access from outside any known module

为了好参照和对比，这是九个月之前的Exploit Prevention规则：

Mitigation type:
Anti-ROP
Guarded module access restriction
Loading library from UNC path prevention
Stack protection change prevention
Restricted function call prevention
SafeSEH emulation
Critical module access restriction
Unable to find protected function information
Incorrect esp detected while checking a protected address access
Protected address access from outside any known module
Restricted module attempts to read protected address
Trying to access page guarded module
ROP signs in emulation when accessing page guarded module

现在可以看出Exploit Prevention的变化了吧，虽然用HMPA Test测试，拦截项目因为mitigation type规则调整，而减少了，实际上功能并不是真的弱了，而是进一步调整，避免误报的情况发生。

不过值得注意的是DrWeb Exploit Prevention还是比不过HMPA和MalwareBytes Anti Exploit或者EMET的，只是目前在安软套装中的Exploit Prevention还凑合！总之不要太迷恋DEP哦，它只是DrWeb的功能之一。

nick20010117

驭龙 发表于 2016-7-15 08:23
现在无需为了系统流畅而扫描了，因为监控缓存机制已经调整，我不扫描一样不卡。

关于Exploit Prevention ...

EP的问题解决了
我想问一下，io写入为何仍然巨大，但是在资源监视器里蜘蛛却没有写入
PS：RQ明天补

驭龙

nick20010117 发表于 2016-7-15 09:00
EP的问题解决了
我想问一下，io写入为何仍然巨大，但是在资源监视器里蜘蛛却没有写入
PS：RQ明天补

我猜测是黑寡妇是托管了写入，凡是写入的内容都被算在黑寡妇进程，再有就是扫描的文件也都会算在写入，当然这是猜测，我并没有研究过这问题

nick20010117

无论怎样，io写入都太恐怖了……
ssd已经使用了3900多次，感觉快要报废了@驭龙

驭龙

nick20010117 发表于 2016-7-15 09:50
无论怎样，io写入都太恐怖了……
ssd已经使用了3900多次，感觉快要报废了@驭龙

那也没办法了，不过不扫描的话，一天也就几个G吧，按理说120G的SSD一天写120G的话，就算是2000的最低复写次数，还能用两千天呢，你这是不是检测有问题，因为即使是安装大蜘蛛每天也不可能写入30G啊。

更何况有的SSD可复写5000次

nick20010117

驭龙 发表于 2016-7-15 10:06
那也没办法了，不过不扫描的话，一天也就几个G吧，按理说120G的SSD一天写120G的话，就算是2000的最低复写 ...

你还记得你发的诺顿的那个读写吗？诺顿写入只有十几m，蜘蛛写入居然有几个G，任务管理器的检测方式是不是有问题？还是说蜘蛛的写入真的有那么大？

驭龙

nick20010117 发表于 2016-7-15 10:10
你还记得你发的诺顿的那个读写吗？诺顿写入只有十几m，蜘蛛写入居然有几个G，任务管理器的检测方式是不是 ...

所以说看看就好，没必要纠结啊，我怀疑是黑寡妇托管写入或者其他原因，我用软件监控黑寡妇的扫描时对文件的操作，除了写入扫描日志，没看到有什么其他写入，当然有可能是检测不到吧

windows7爱好者

nick20010117 发表于 2016-7-15 10:10
你还记得你发的诺顿的那个读写吗？诺顿写入只有十几m，蜘蛛写入居然有几个G，任务管理器的检测方式是不是 ...

我也感觉会不会蜘蛛把所有程序的写入都算给自己了

nick20010117

windows7爱好者 发表于 2016-7-15 10:16
我也感觉会不会蜘蛛把所有程序的写入都算给自己了

也许吧，要不然太恐怖了，当然也有可能是因为脱壳太彻底了