脚本类样本包_6X

T.Yoshiyuki

驭龙 发表于 2016-10-4 15:37
谁说别的没有未决分析？只不过是叫法不同而已，你去试试红伞和BD WD扫描以后发现威胁的时候，是不是要等 ...

紅傘好久沒用不記得了 跳過

BD文件監控發現單個威脅時 隔離或清除到出結果 耗時一分鐘不到
右鍵掃描的話選擇“take proper action"的話大概是30多個樣本清除需10多分鐘左右 有說法是它在選擇各種操作：修復不成隔離 認爲文件不適合隔離就刪除——總之 有一個解釋 並且和文件監控時間相差不大

WD也是如此 雖然“都很慢” 但文件監控清毒和手動掃描耗費時間是一樣的

最後強調一次 我當時測試出來的是SEP兩個組件的“時間差” 以及不合理的“重複報”
請讓討論圍繞這幾點進行

T.Yoshiyuki

pal家族 发表于 2016-10-4 15:39
我昨天双击过了啊。。。。没有看嘛，，，，，，，
没有双击过的就没有那些，看上一楼我又贴了图

還真沒看 我的錯

我也奇怪呢 什麼時候卡巴掃描也帶無腦修復機制了

驭龙

pal家族 发表于 2016-10-4 14:43
昨天已经入库没有双击的算吗昨天那个js直接删掉了没有回复注册表，图里有。

有时候是先入库随后写修复流程的，所以才需要在其他环境下确认一下，如果没有修复项目，那你这个是回滚，如果有修复项目，那你这个情况就不是回滚了

pal家族

驭龙 发表于 2016-10-4 14:46
有时候是先入库随后写修复流程的，所以才需要在其他环境下确认一下，如果没有修复项目，那你这个是回滚， ...

很可惜没有第二台设备了。
我只能说，据观察。没有双击过的样本被杀掉从来没有看到有回滚信息。
有的双击过的有那个详细信息，可以看到restore的项目，有得则也没有。

我果我还记得我以前双击过一个exe，好像drop了些东西到c盘，第二天才入库的，结果删除样本的同时，释放物耶一起被删掉了。

驭龙

T.Yoshiyuki 发表于 2016-10-4 14:44
紅傘好久沒用不記得了 跳過

BD文件監控發現單個威脅時 隔離或清除到出結果 耗時一分鐘不到

这个在国外区的帖子中已经说过了，监控之所以比扫描的未决分析快一些，是因为文件监控的未决分析不包括关键位置和内存，而手动扫描的未决分析包含关键位置和内存，所以才会有时间的不同

pal家族

T.Yoshiyuki 发表于 2016-10-4 14:45
還真沒看 我的錯

我也奇怪呢 什麼時候卡巴掃描也帶無腦修復機制了

摸摸头

T.Yoshiyuki

驭龙 发表于 2016-10-4 15:49
这个在国外区的帖子中已经说过了，监控之所以比扫描的未决分析快一些，是因为文件监控的未决分析不包括关 ...

好的 上次聽你提起這點我還以爲是你的假說（你當時也是這個口氣）
既然你這樣重複了 看來是真的了
當然 有證據最好……

驭龙

pal家族 发表于 2016-10-4 14:49
很可惜没有第二台设备了。
我只能说，据观察。没有双击过的样本被杀掉从来没有看到有回滚信息。
有的双 ...

这个确实是有过，SW先记录可疑行为，随后确认威胁的话，确实是会撤销这些行为操作的，这个功能确实是不错

驭龙

T.Yoshiyuki 发表于 2016-10-4 14:51
好的 上次聽你提起這點我還以爲是你的假說（你當時也是這個口氣）
既然你這樣重複了 看來是真的了
當然 ...

你拿样本威胁，用右键扫描扫描，当未决分析完成以后，主要是注意一下信任文件数，这个应该是关键位置的文件扫描的记录

pal家族

驭龙 发表于 2016-10-4 14:51
这个确实是有过，SW先记录可疑行为，随后确认威胁的话，确实是会撤销这些行为操作的，这个功能确实是不错

所以我觉得可能这是卡巴的一种修复思路吧
至于其他的，很难看出来，，，，，，，，，，毛子设计的软件去设施化很明显，越来越多的细节被省略不向用户展示了。。。。就像最基本的启发式分析大概的科普性讲解都是KES的技术支持文档才有
http://support.kaspersky.com/7587