关于新版个人版监控及防护机制

显示全部楼层 · 发表于 2017-11-23 01:21:38

尽管咖啡个人版新版把以前读写扫描改成了执行时扫描，不过在实际使用中，发现部分入口点会提前使用AMSI技术扫描，至少减少了双击试人品的机会。目前试用可知在ie，edge，chrome均可以实现应用程序和zip,rar压缩包下载完成时扫描。
另外，使用上述浏览器下载的加密zip压缩包如果使用Windows自带的工具解压也会直接触发实时扫描。
结论，新机制的整体防护并没有想象的这么糟糕。
测试时未安装McAfee SiteAdvisor
1、直接使用edge下载应用程序

2、使用edge下载zip压缩包

3、使用edge下载rar压缩包

4、使用chrome下载zip压缩包

5、使用ie直接下载应用程序

6、使用windows自带zip工具解压加密zip压缩包。

显示全部楼层 · 发表于 2017-11-23 15:37:43

本帖最后由 ccboxes 于 2017-11-23 18:46 编辑

那第三方解压工具工具呢？无文件病毒？

另外这只是普通的写入时扫描。而且隔离的居然是完整文件，说明别说流量，连浏览器缓存都没有扫，这样咖啡的流量扫描究竟强度多少（还是根本没有就靠那个插件）也要怀疑一下了。

显示全部楼层 · 发表于 2017-11-23 16:08:46

本帖最后由 hansyu 于 2017-11-23 16:11 编辑

ccboxes 发表于 2017-11-23 15:37
那第三方解压工具工具呢？无文件病毒？

另外这根本不是内存扫描，只是普通的写入时扫描。而且隔离的居然 ...

第三方7z和winrar无反应。
我没有提到是内存扫描，也没提流量扫描吧……无文件病毒按照官方的说法就靠real protect了。
当然是下载完成后才扫描，使用了AMSI的，因为触发扫描后会加载一个咖啡文件夹里AMSI的dll文件。
如果装了SiteAdvisor则会由SA代替检查文件，不会触发防病毒组件。

显示全部楼层 · 发表于 2017-11-23 18:46:09

hansyu 发表于 2017-11-23 16:08
第三方7z和winrar无反应。
我没有提到是内存扫描，也没提流量扫描吧……无文件病毒按照官方的说法就靠re ...

看错了，把AMSI看成AMS了。。。。。。。。。。。。

显示全部楼层 · 发表于 2017-11-23 20:45:38

本帖最后由阿吉熊于 2017-11-23 20:47 编辑

其实还是很不错的。。。

只是现在多了个问题，LZ要是有兴趣可不可以分析一下呢？症状：

有些应用程序，在M引擎升级后（现在的引擎相当于以前的病毒库，升级很频繁），第一次双击运行会有一小段时间被挂起，似乎是McAfee在做检查。但是这一次完成后，在下次更新引擎之前，都不会再扫描了。

而对于ie，chrome，这些大众程序无此问题。有此问题的程序比如：wps，福昕阅读器，qq音乐之类的。

另外我发现McAfee个人版还会嵌入WORD进行实时扫描，在打开文档之前都有个mcafee扫毒的过程，不过比较快。

显示全部楼层 · 发表于 2017-11-24 00:12:01

我这里测试有两大问题
1.js文件，VT上的咖啡引起能查出，个人版始终检测不出，无论双击还是右键。
2.染毒office文档双击一路绿灯，哪怕右键扫描能检测出。

显示全部楼层 · 发表于 2017-11-24 00:29:14

bbszy 发表于 2017-11-24 00:12
我这里测试有两大问题
1.js文件，VT上的咖啡引起能查出，个人版始终检测不出，无论双击还是右键。
2.染毒 ...

1、js文件VT上报的是入库还是GTI？
2、染毒文档打开后是否有行为？
根据官方的说法

With the LAM technology, the scanner focuses on scripts, executable files, and other file types which are potentially subject to infection. Certain file types (like some media, video, or audio files which are not a risk) are not included in On-Demand scans. This doesn't mean they are ignored. They will still be scanned for suspicious behavior when those files are accessed. If suspect behavior is identified, the activity is stopped and the file is quarantined. In addition, because McAfee records any bad behavior by suspicious programs and files, the product can assist in rolling your PC back to a previous, good state.

我推测可能是依靠real protect来检测这些，如果他们没有可疑行为就无视？

显示全部楼层 · 发表于 2017-11-24 17:50:15

hansyu 发表于 2017-11-23 16:08
第三方7z和winrar无反应。
我没有提到是内存扫描，也没提流量扫描吧……无文件病毒按照官方的说法就靠re ...

有个问题，企业版（MES）之类的“个人用”能不能启用Real Protect，我看一些帖子说独立使用不能开RP

显示全部楼层 · 发表于 2017-11-24 23:29:02

本帖最后由 bbszy 于 2017-11-25 00:41 编辑

hansyu 发表于 2017-11-24 00:29
1、js文件VT上报的是入库还是GTI？
2、染毒文档打开后是否有行为？
根据官方的说法

那个挖矿的js：https://bbs.kafan.cn/thread-2108033-1-1.html

宏都加载了啊我试了十几个样本都是这样。。。。

如果没有威胁，那右键为什么又会扫描到？

显示全部楼层 · 发表于 2017-11-25 04:33:06

就是靠后一点，习惯了月神监控就杀的朋友肯定觉得很虚

[讨论] 关于新版个人版监控及防护机制

本帖子中包含更多资源