搜索
123
返回列表 发新帖
楼主: 记录微笑
收起左侧

[讨论] McAfee Endpoint Security主防回滚过于激进

[复制链接]
900703
发表于 2019-10-12 13:18:02 来自手机 | 显示全部楼层
家用版的McAfee LiveSafe有RealProtect嗎?
记录微笑
 楼主| 发表于 2019-10-12 17:38:42 来自手机 | 显示全部楼层
欧阳宣 发表于 2019-9-26 03:22
我自己以前遇到个人版里的RP报法全是有回滚的 比如RealProtect-EC/LS之类

你说MES主防过于激进 但是又说 ...

扫描强调可调,主防强度不可调,只能调整阻止阈值。

rp的ls报法是本地报法,我在企业版的感觉像是运行前跑了一下分析,一般跑起来都是rp的ec,ss,sc报法。

hash拉黑是在gti调成低敏感度的时候才会这样,我说gti报法后面带hash不是说云里面全是hash。
欧阳宣
发表于 2019-10-12 17:42:50 | 显示全部楼层
记录微笑 发表于 2019-10-12 17:38
扫描强调可调,主防强度不可调,只能调整阻止阈值。

rp的ls报法是本地报法,我在企业版的感觉像是运行 ...

“主防强度不可调,只能调整阻止阈值”那到底可调不可调?

“我在企业版的感觉像是运行前跑了一下分析”有啥证据么

“gti报法后面带hash不是说云里面全是hash” 当然你原话不是这么说的 你只是暗示
记录微笑
 楼主| 发表于 2019-10-12 18:31:19 | 显示全部楼层
欧阳宣 发表于 2019-10-12 17:42
“主防强度不可调,只能调整阻止阈值”那到底可调不可调?

“我在企业版的感觉像是运行前跑了一下分析 ...

按访问扫描可以调整扫描敏感度,但是主防只能调整触发相应处理措施的阀值。ATP对文件给出了以下评级:已知恶意软件,很有可能是恶意软件,可能是恶意软件,未知,可能可信。有一下处理方法:清理,阻止,封闭。只能调整对应处理方法的触发阀值。但是由于没有统一管理,所以无法访问TIE服务器,拦截威胁只能靠Real Protect Cloud分析,所以对于非系统程序程序一般只会判定为可能可信或者是已知恶意软件,对于cmd,powershell等程序只有很有可能是恶意软件这个评级。所以如果调的阀值低于已知恶意软件的话基本相当于废了。

LS报法之所以我认为是本地分析的原因是每次运行软件都会卡一下,不会出现进程,然后出现RP报法,日志里写的是Real Protect Client。当然我没有去查官方文档,没确定。
ywfox2008
发表于 2019-10-31 10:15:16 | 显示全部楼层
轮防御规则定制模块化,麦咖啡是鼻祖
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 11:31 , Processed in 0.072889 second(s), 14 queries .

快速回复 返回顶部 返回列表