为什么在病毒区下载一个东西，网页防护不报，下载之后解压才报？

显示全部楼层 · 发表于 2017-12-25 00:33:41

为什么在病毒区下载一个东西，网页防护不报，下载之后解压才报？压缩包没有密码的那种

显示全部楼层 · 发表于 2017-12-25 00:55:16

本帖最后由 fireherman 于 2017-12-25 01:18 编辑

有可能是：

1，你在实时监控里，没有勾选【加壳程序】（默认不勾选），而样本加了壳，所以ESET没有进行脱壳处理而发现不了病毒特征；而右键扫描默认是脱壳扫描的，因此就发现病毒特征了。

2，实时监控里有勾选【加壳程序】（实时监控脱壳），但病毒样本加了花（指令），由于实时监控扫描没有右键手动扫描那么深入（会影响性能），所以被绕过检测。

3，程序属于MSIL（需要编译环境）或者NSIS（需要编译器）类的可执行文件，压缩包无法进行虚拟化检测。
（这里可能有歧义，求证：@B100D1E55 ）

4，如果病毒特征已经入库（样本特征被收录），即使实时监控被绕过，那么病毒样本运行后，依然是会被AMS（高级内存扫描）发现的；

5，如果病毒特征未入库（样本特征未被收录），但程序风险级别高，同样会被Live Grid报风险程序而阻止。

显示全部楼层 · 发表于 2017-12-25 01:46:24

fireherman 发表于 2017-12-25 00:55
有可能是：

1，你在实时监控里，没有勾选【加壳程序】（默认不勾选），而样本加了壳，所以ESET没有 ...

我觉得最大可能是archive超过扫描体积限制所以不解包，用户解包后才扫描

显示全部楼层 · 发表于 2017-12-25 08:21:09

B100D1E55 发表于 2017-12-25 01:46
我觉得最大可能是archive超过扫描体积限制所以不解包，用户解包后才扫描

为什么我没想到……

显示全部楼层 · 发表于 2017-12-25 09:36:58

B100D1E55 发表于 2017-12-25 01:46
我觉得最大可能是archive超过扫描体积限制所以不解包，用户解包后才扫描

我下的一键GHOST2017版实时监控不报毒，右键扫描报毒，体积也不大，而且我把实时监控里面能开的全开了，很奇怪。

显示全部楼层 · 发表于 2017-12-25 11:02:54

fireherman 发表于 2017-12-25 00:55
有可能是：

1，你在实时监控里，没有勾选【加壳程序】（默认不勾选），而样本加了壳，所以ESET没有 ...

说的恨详细啊

显示全部楼层 · 发表于 2017-12-29 07:44:10

杀软里没设置下载扫描压缩包，或是压缩包超过多少M跳过

显示全部楼层 · 发表于 2017-12-29 22:11:34

fireherman 发表于 2017-12-25 08:21
为什么我没想到……

往往最简单的反而最容易被忽略

显示全部楼层 · 发表于 2018-1-14 13:50:24

fireherman 发表于 2017-12-25 00:55
有可能是：

1，你在实时监控里，没有勾选【加壳程序】（默认不勾选），而样本加了壳，所以ESET没有 ...

涨知识了

[求助] 为什么在病毒区下载一个东西，网页防护不报，下载之后解压才报？

浏览过的版块