查看: 10822|回复: 33
收起左侧

[一般话题] WD新引擎13601发布+WDATP仅是传感记录器?【2017年3月25日更新,实机体验】

[复制链接]
驭龙
发表于 2017-3-23 11:06:48 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2017-3-25 17:17 编辑

今天13601新引擎发布,是个优化版本,没有上个月的13504变化巨大,不过也是不错的了。

另外都说WDATP是个记录器和传感器,没有实质上的保护能力,事情真的是这样吗?
最新版本的WDATP开启预发布功能中的高级功能
Notification on machine user:
When the file is being removed from an endpoint, the following notification is shown:

In the machine timeline, a new event is added for each machine where a file was stopped and quarantined.
EUS:Win32/CustomEnterpriseBlock!cl
看到没有企业版功能阻止,这个是上个月随13504引擎一起出现的功能,这个是WDATP搭配WD时才有的功能,这回应该没有人是WDATP没有用了吧?

2017年3月25日
今天升级到RS2,实机体验一下,果然能够通过SecurityCenter发送动态签名给WD,来杀任何想杀的文件和可疑文件,确实是很赞的功能


不过我现在实机有NS,所以为了节省资源占用,我只能把WD的MsMpEng禁用,因此WDATP已经在我这里半残了,只能当记录器用。

另外WDATP现在已经不占CUP使用率了,很赞的哟

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +3 收起 理由
月影天心 + 1 版区有你更精彩: )
Virus4 + 1 版区有你更精彩: )
ELOHIM + 1 感谢提供分享

查看全部评分

驭龙
 楼主| 发表于 2017-3-25 17:24:36 | 显示全部楼层
2017年3月25日,补发一张日志记录,WDATP发威了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
阿波99
发表于 2017-3-23 13:42:54 | 显示全部楼层
这提示的检测到的项目在哪里可以查看到?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2017-3-23 13:50:13 | 显示全部楼层
阿波99 发表于 2017-3-23 13:42
这提示的检测到的项目在哪里可以查看到?

扫描完成以后就会显示了,或者在事件查看器中查看日志
540923555
发表于 2017-3-23 13:57:04 | 显示全部楼层
我的教育版RS2,也是13504引擎,扫描完没有这个通知啊。。。而且我还是没看懂WDATP有什么用。。。发现病毒以后就算没有WDATP应该也是有通知,只是内容不一样罢了。。。

话说这个预发布功能不在组策略里??
驭龙
 楼主| 发表于 2017-3-23 14:00:18 | 显示全部楼层
540923555 发表于 2017-3-23 13:57
我的教育版RS2,也是13504引擎,扫描完没有这个通知啊。。。而且我还是没看懂WDATP有什么用。。。发现病毒 ...

这是手动的,并不是自动完成,在SecurityCenter上可以设置。

在SC上看到可疑文件,就可以手动选择隔离,然后客户端上的WD就会收到阻止这个文件的动态签名,就会出现1楼的阻止了
阿波99
发表于 2017-3-23 14:01:08 | 显示全部楼层
驭龙 发表于 2017-3-23 13:50
扫描完成以后就会显示了,或者在事件查看器中查看日志


扫描完成后没有显示,
日志有3条:
1、已更改 Microsoft 反恶意软件 配置。如果这是意外事件,请复查设置,因为这有可能是恶意软件导致的。
        旧值: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Quarantine\PurgeItemsAfterDelay = 0x5A
        新值: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Quarantine\PurgeItemsAfterDelay = 0x1E
2、已完成 Microsoft 反恶意软件 扫描。
        扫描 ID: {842607BC-FCF5-46FB-B333-B7DE6455C516}
        扫描类型: 反恶意软件
        扫描参数: 快速扫描
        用户: ASUSTeK\xxxxooo
3、已更改 Microsoft 反恶意软件 配置。如果这是意外事件,请复查设置,因为这有可能是恶意软件导致的。
        旧值: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Reporting\ScansSinceLastRecap = 0x1
        新值: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Reporting\ScansSinceLastRecap = 0x2
驭龙
 楼主| 发表于 2017-3-23 14:03:54 | 显示全部楼层
阿波99 发表于 2017-3-23 14:01
扫描完成后没有显示,
日志有3条:
1、已更改 Microsoft 反恶意软件 配置。如果这是意外事件,请复查设 ...

没有的话,那就问题不大

也可以在C:\ProgramData\Microsoft\Windows Defender\Support下的log日志中查看
540923555
发表于 2017-3-23 14:06:11 | 显示全部楼层
驭龙 发表于 2017-3-23 14:00
这是手动的,并不是自动完成,在SecurityCenter上可以设置。

在SC上看到可疑文件,就可以手动选择隔离 ...


我去SecurityCenter看看去,必须RS2吗?办公室电脑是1607
驭龙
 楼主| 发表于 2017-3-23 14:08:33 | 显示全部楼层
540923555 发表于 2017-3-23 14:06
我去SecurityCenter看看去,必须RS2吗?办公室电脑是1607

1607也是可以的
HEMM
发表于 2017-3-23 17:41:41 | 显示全部楼层
龙就是懂的多,好腻害
这玩意儿我怕是无法享受.........
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 02:23 , Processed in 0.133863 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表