McAfee Endpoint Security主防回滚过于激进

记录微笑

hansyu 发表于 2019-9-23 19:08
排除问题是个历史遗留问题，自从2004版把排除砍掉以后，咖啡谜之自信，对排除非常排斥。前几年版本还能改 ...

不是，我的意思是检测率好过头了。

我用企业版把月神调到最低，关掉主防的信誉系统，可以达到防护和误报的平衡，个人版这些都办不到。

grantzoo

MES10.6主防好象不带回滚吧

记录微笑

grantzoo 发表于 2019-9-24 10:41
MES10.6主防好象不带回滚吧

带回滚。最新的7月更新已经可以回滚了。

但是我用的是10.7 beta，回滚功能是被官方明确加入的，效果和卡巴可以比比。

hansyu

记录微笑 发表于 2019-9-23 23:28
不是，我的意思是检测率好过头了。

我用企业版把月神调到最低，关掉主防的信誉系统，可以达到防护和误 ...

误报比较高么？我这里个人版主要杀破解工具，其他都还好。

记录微笑

hansyu 发表于 2019-9-24 18:30
误报比较高么？我这里个人版主要杀破解工具，其他都还好。

有一些不常见文件也会杀。

可能个人版和企业版的月神敏感的不一样，企业版默认是中等。

PanzerVIIIMaus

记录微笑 发表于 2019-9-23 23:28
不是，我的意思是检测率好过头了。

我用企业版把月神调到最低，关掉主防的信誉系统，可以达到防护和误 ...

月神拉最低据官方帮助文档说法感觉基本算是哈希，换句话说没被拉黑的就

但是官方文档提及默认设置应该是最低的，不知道为什么默认是中等……

记录微笑

PanzerVIIIMaus 发表于 2019-9-25 09:10
月神拉最低据官方帮助文档说法感觉基本算是哈希，换句话说没被拉黑的就

但是官方文档提及默认设 ...

月神的报毒名后面跟着的一大串数字和字母就是这个文件的哈希的倒数几位，所以检测方法你懂的

企业版默认一直是中等敏感的，我用感觉太敏感了。调到非常低的话只有明确的云拉黑才会报。

hansyu

记录微笑 发表于 2019-9-25 12:09
月神的报毒名后面跟着的一大串数字和字母就是这个文件的哈希的倒数几位，所以检测方法你懂的

企 ...

似乎带hash的报毒名也有可能是入库的？上次测试某个样本改MD5之后还是报，只不过后面的那串hash变了。

记录微笑

hansyu 发表于 2019-9-25 15:28
似乎带hash的报毒名也有可能是入库的？上次测试某个样本改MD5之后还是报，只不过后面的那串hash变了。

如果之前有人用相同方法改哈希的话，哈希可能相同。如果哈希相同的文件被双击还会触发主防。

咖啡如果有文件触发主防的话，会自动和GTI交换信息，很快会拉黑。我见过最快的一次拉黑大概五分钟左右就云端拉黑。

欧阳宣

我自己以前遇到个人版里的RP报法全是有回滚的 比如RealProtect-EC/LS之类

你说MES主防过于激进 但是又说企业版强度可调 那激进是谁的锅？

报法后面带哈希值就敢暗示这报法本身是MD5拉黑？谁给你勇气这么说的，尊敬的督查？