查看: 1834|回复: 4
收起左侧

[讨论] 关于McAfee企业版ATP问题的探讨

[复制链接]
记录微笑
发表于 2020-2-9 23:03:05 | 显示全部楼层 |阅读模式
本帖最后由 记录微笑 于 2020-2-10 08:27 编辑

发现大家对10.7的ATP好像不是很熟悉,我从McAfee官方说明文档中节选下了10.7新更新的增强补救功能的描述
增强的补救功能 — 监控信誉为未知和更低的进程及其子级的行为,以跟踪这些进程对系统所做的更改。
在其运行时,ATP 扫描程序和 Real Protect 扫描程序会检查此进程。 在有限时间段后,如果扫描程序未检测到恶意行为,增强型补救会停止监控进程。

如果被监控的进程表现出恶意行为,增强型补救会停止该进程及其子进程和祖先进程,并回滚其所作的更改,从而将系统还原至尽可能接近该进程运行之前系统所处的原始状态。在定罪进程中创建的文件将被删除,但不会回滚更改和还原文件,您必须启用监控并补救已删除和更改的文件。

此功能在默认情况下处于启用状态,且仅在已启用信誉阈值达到以下值时清理时可用。


需要注意:
1.增强补救功能仅监控信誉值为未知或更低的程序。所以一些Windows文件被利用的时候ATP是不监控的。当然,一些比较敏感的系统程序,比如powershell,cmd,regasm等这些也会加强监控,这些被ATP无文件攻击的防护管理

2.想要回滚被勒索软件修改和删除的文件请开启增强补救下监控并补救已删除和更改的文件选项,该选项默认关闭

3.增强补救会在检测到威胁时停止祖先进程(也就是父进程),所以@swizzer  提到explorer被重启其实可以归于正常范畴。

4.McAfee关于ATP客户端扫描的建议:
  1. 最佳实践:请选择该选项,除非支持人员建议您取消选择,以减少误报。
复制代码


以及对于脱机扫描的建议:
最佳实践:脱机扫描会增加误报,因此请仅对不需要连接 McAfee GTI 或 TIE 服务器的系统启用此选项。

5.RealProtect官方已经公布了其需要链接的服务器:
要进行基于云的扫描,需要连接至 realprotect1.mcafee.com。 请参阅 KB79640。
注意:这个服务器无论你连不连得上RP云,都是ping不通的
另外对于基于云的扫描,官方建议:
最佳实践:在未连接到互联网的系统上禁用基于云的 Real Protect。

hklwk
发表于 2020-2-10 22:12:29 | 显示全部楼层
我留意到只有信用评价为1 (已知的恶意项) 的, RP才会回滚, 如果信用评价为15 (非常可能为恶意项), 看日志动作一直是将会清除, 然则等了很久都没有回滚, 然后漏了
记录微笑
 楼主| 发表于 2020-2-10 22:18:06 | 显示全部楼层
hklwk 发表于 2020-2-10 22:12
我留意到只有信用评价为1 (已知的恶意项) 的, RP才会回滚, 如果信用评价为15 (非常可能为恶意项), 看日志动 ...

这个我严重怀疑是bug,我在用10.7beta版的时候不存在这个问题。
10.7的beta版本RP太过于激进,官方可能被迫调低了RP的灵敏度。
hklwk
发表于 2020-2-10 22:27:49 | 显示全部楼层
强制动作-清除 那项调到 非常可能为恶意项可能为恶意项, 都没有分别
记录微笑
 楼主| 发表于 2020-2-10 22:33:09 | 显示全部楼层
hklwk 发表于 2020-2-10 22:27
强制动作-清除 那项调到 非常可能为恶意项 或 可能为恶意项, 都没有分别

ENS的10.7beta版本的回滚非常激进,甚至有好几次回滚的时候把我系统里的所有系统服务和系统计划任务全部删除,导致系统出现故障。

我猜测咖啡官方也注意到了这件事情,现在的这个版本调低了回滚强度,一些系统程序被利用,都会显示将阻止,不触发回滚,以免像以前那样把系统给回滚废了。

而且以前10.7beta版本会回滚桌面快捷方式,现在正式版好像在快捷方式处理方面也调低了强度,一般不回滚。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:48 , Processed in 0.124688 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表