ESET的高级内存扫描怎么样

ysj963

样本测试中基本只看到ESET的扫描测试，没看到双击后高级内存扫描和HIPSA内置规则的效果，不科学。有人搞搞吗？ESET在设置驱动保护、关键程序防注入、关键注册表防修改、TEMP文件夹防启动新应用程序、官方反勒索规则等设置后效果如何？

欧阳宣

高级内存扫描其实就是用常规检测手段再扫描一遍内存中的衍生物，我觉得其实可以去掉“高级”两个字


然后“怎么样”这三个字让人没法回答- -

fireherman

高级内存扫描（AMS），在样本区，唯一的用武之地：

当Live Grid（ESET的文件信誉系统）显示出文件为危险时（出现红色三角），扫描miss，双击后AMS就会拦截。

（我记得有一个勒索样本就是这样的）

---

在实际情况中……某些软件会在临时目录释放出可执行文件（exe），而这个文件的Live Grid已经到达“危险”级别，被调用后，AMS就会拦截（因为用户根本来不及右键扫描临时目录，而实时监控被miss了）。

ysj963

欧阳宣 发表于 2016-12-21 17:53
高级内存扫描其实就是用常规检测手段再扫描一遍内存中的衍生物，我觉得其实可以去掉“高级”两个字

还是靠库？

ysj963

fireherman 发表于 2016-12-21 19:12
高级内存扫描（AMS），在样本区，唯一的用武之地：

当Live Grid（ESET的文件信誉系统）显示出文件为 ...

加入白加黑没扫描出来，在内存中释放出来会杀吗？

ysj963

fireherman 发表于 2016-12-21 19:12
高级内存扫描（AMS），在样本区，唯一的用武之地：

当Live Grid（ESET的文件信誉系统）显示出文件为 ...

卡巴的系统监控是不是比ESET的默认HIPS保护要好？

T.Yoshiyuki

ysj963 发表于 2016-12-21 21:35
卡巴的系统监控是不是比ESET的默认HIPS保护要好？

ESET的默認HIPS基本就等於什麼也沒有……
保護一下它自己文件以及你啟動加載的驅動之類的而已
新加的所謂勒索防護也沒什麼用

跟卡巴要和它的HIPS（應用程序控制）去比
易用性不知道玩爆ESET幾條街

卡巴系統監控是智能主防 ESET沒有對應組件

hansyu

fireherman 发表于 2016-12-21 19:12
高级内存扫描（AMS），在样本区，唯一的用武之地：

当Live Grid（ESET的文件信誉系统）显示出文件为 ...

有些Live Grid显示风险未知的双击后AMS也会拦截。

fireherman

hansyu 发表于 2016-12-21 22:33
有些Live Grid显示风险未知的双击后AMS也会拦截。

所以AMS可以算是主防（虽然对比起BD，SEP之类的主防，这个AMS很寒碜 ）

ysj963

fireherman 发表于 2016-12-21 23:06
所以AMS可以算是主防（虽然对比起BD，SEP之类的主防，这个AMS很寒碜 ）

最近勒索软件有新的行为吗？官方的够用吗?防远控木马怎么设置HIPS？