关于新版个人版监控及防护机制

显示全部楼层 · 发表于 2017-11-25 09:38:17

bbszy 发表于 2017-11-24 23:29
那个挖矿的js：https://bbs.kafan.cn/thread-2108033-1-1.html

js我估计是没入个人版的那个本地小库，然后这东西可能也不在月神上，
貌似JTI引擎只专注于可执行文件，所以……、
在你测试中染毒office文档双击之后有没有确实的危险动作？

显示全部楼层 · 发表于 2017-11-25 17:20:45

本帖最后由 bbszy 于 2017-11-26 15:14 编辑

hansyu 发表于 2017-11-25 09:38
js我估计是没入个人版的那个本地小库，然后这东西可能也不在月神上，
貌似JTI引擎只专注于可执行文件， ...

我用的这些样本

至于是否危险，我个人不是很好界定。但是没有问题右键扫描为什么能扫的出而且做了清除处理（清除的能力比老版差）

另外咖啡貌似对文件类型的区分是靠后缀名，而不是检查文件头看文件类型。具体表现是精锐样本更改不同的后缀名检测率有比较大的差异。

显示全部楼层 · 发表于 2017-11-25 22:22:44

PanzerVIIIMaus 发表于 2017-11-24 17:50
有个问题，企业版（MES）之类的“个人用”能不能启用Real Protect，我看一些帖子说独立使用不能开RP[:08: ...

据说那个高级威胁防护组件（包含real protect）需要epo才能用的样子，我也不是很清楚。

显示全部楼层 · 发表于 2017-11-25 22:47:24

欧阳宣发表于 2017-11-25 04:33
就是靠后一点，习惯了月神监控就杀的朋友肯定觉得很虚

感觉虚得一塌糊涂。

显示全部楼层 · 发表于 2017-11-25 23:56:18

klinxun 发表于 2017-11-25 22:47
感觉虚得一塌糊涂。

理解，毕竟实机不敢双击

显示全部楼层 · 发表于 2017-11-26 00:02:21

欧阳宣发表于 2017-11-25 23:56
理解，毕竟实机不敢双击

想起了某容易漏的……现在新版本不容易漏了，但还是容易有查出干不掉的情况的某某。

显示全部楼层 · 发表于 2017-11-27 10:50:57

本帖最后由 hansyu 于 2017-11-27 10:53 编辑

bbszy 发表于 2017-11-25 17:20
我用的这些样本

至于是否危险，我个人不是很好界定。但是没有问题右键扫描为什么能扫的出而且做 ...

去那个挖矿js网站测试了一下，CPU高占用，咖啡无反应，这东西不靠实时扫描很虚啊……你那个压缩包下载完成就被杀了，也就这个使用AMSI能起点作用，网页后台下载是不理的。
我总觉得监控部分只扫可执行文件，脚本文档之类的估计都不理，一切靠跑起来以后real protect能不能检测
到可疑行为……

显示全部楼层 · 发表于 2017-11-28 21:27:34

hansyu 发表于 2017-11-27 10:50
去那个挖矿js网站测试了一下，CPU高占用，咖啡无反应，这东西不靠实时扫描很虚啊……你那个压缩包下载完 ...

咖啡在最新的avt又取得了更好的成绩，现在跟诺顿的成绩一样了。。。

显示全部楼层 · 发表于 2017-11-28 21:38:17

bbszy 发表于 2017-11-28 21:27
咖啡在最新的avt又取得了更好的成绩，现在跟诺顿的成绩一样了。。。

这些测试应该都带SiteAdvisor的……
SA在chrome上跳转感觉好慢，危险页面都显示出来了才跳转

显示全部楼层 · 发表于 2017-11-29 17:02:35

hansyu 发表于 2017-11-28 21:38
这些测试应该都带SiteAdvisor的……
SA在chrome上跳转感觉好慢，危险页面都显示出来了才跳转

这就讲到另一个问题了。

SA只负责跳转，及对特定浏览器的下载前拦截。但是对网页本身没有拦截作用。很多时候病毒都到本地了，SA还在跳转。

[讨论] 关于新版个人版监控及防护机制