搜索
楼主: chen月
收起左侧

[求助] 咖啡个人版怎么样?防护能力和流畅度如何?用过的来说说

[复制链接]
BFAX
发表于 2020-10-17 18:19:40 来自手机 | 显示全部楼层
本帖最后由 BFAX 于 2020-10-17 18:20 编辑
Miostartos 发表于 2020-10-17 17:11
是你一直在强调写入读写监控才是文件实时监控
而我已经给你举了例子这根本是你臆断的定义。


咖啡也写了自己只是执行扫描
宁是怎么理解执行扫描就能是文件实时监控的?
貌似把执行扫描叫文件实时监控的才是胡说八道吧
你可能是咬文嚼字把自己咬晕了吧,谁说替换文件行为的问题了?我是说有毒文件没有读写扫描而替换正常文件,你没办法发现,再说什么回滚不觉得是在胡扯吗?
你病毒主程序没拦截的情况下,如果扫描能分辨出有毒的替换文件,但是你却没有读写扫描,你怎么拦截?怎么回滚?
什么人都感觉得自己知识多渊博了,拜托,宁那只是诡辩技巧丰富,别有这种错觉了好吗?
Miostartos
发表于 2020-10-17 18:38:06 | 显示全部楼层
本帖最后由 Miostartos 于 2020-10-17 18:44 编辑
BFAX 发表于 2020-10-17 18:19
咖啡也写了自己只是执行扫描
宁是怎么理解执行扫描就能是文件实时监控的?
貌似把执行扫描叫文件实时监 ...

以咖啡官网的说法
那叫实时扫描(英文也是real-time scanning),不叫执行扫描OK?

实时(按访问)扫描 – 每次访问文件时扫描文件

    双击并打开迈克菲防病毒软件
    单击“PC 安全”选项卡
    单击“实时扫描”(默认情况下应为启用状态)
    单击“开启”或“关闭”以更改设置

然后再给你强调一遍

拦截和回滚是行为主防的事情不关你文件监控的事情
你给我找一家读写监控没行为主防带行为回滚的?
静态引擎也就只能修复修复感染性病毒,还不一定每家都可以

合着没读写监控连文件操作都不能做了,有没有这么好笑的事情?
微点主防:我怎么不知道我文件监控能回滚和拦截替换操作啊,原来我是微点杀毒
到底谁诡辩啊?
记录微笑
发表于 2020-10-17 18:58:54 | 显示全部楼层
本帖最后由 记录微笑 于 2020-10-17 19:01 编辑
BFAX 发表于 2020-10-17 18:09
前提难道不是你发现了替换文件是恶意文件?

咖啡的知识库里好像没有写没发现恶意的文件替换也会被回滚 ...

不识字?
主动防御会一直监视程序的操作,发现恶意操作就拦截,懂吗?而且发现不了是恶意软件就说明病毒库里面没有这个文件的任何信息,GTI里面也没有信誉不良记录,和你执行扫描有什么关系?就算是实时扫描也不行懂吗?

而且刚才我给你的字写的很清楚
增强型补救 — 如果进程未知,增强型补救会监控其行为并记录该进程创建的所有文件,以及该进程更改或删除的所有文件(可选)。如果被监控的进程表现出恶意行为,增强型补救会停止该进程及其子进程和祖先进程,并回滚其所作的更改,从而将系统还原至尽可能接近该进程运行之前系统所处的原始状态。

替换就是更改懂吗?咖啡会在回滚的时候先删除替换上去的文件,然后再从本地实时备份恢复原来那个文件,不然遇到勒索怎么回滚?

至于系统的问题:
从而将系统还原至尽可能接近该进程运行之前系统所处的原始状态。

不懂多学习
ccboxes
发表于 2020-10-17 19:08:45 | 显示全部楼层
本帖最后由 ccboxes 于 2020-10-17 19:09 编辑
BFAX 发表于 2020-10-17 17:04
宁的电脑基础知识可真好,真是想笑
扫描也miss了当然没办法,但是你扫描不miss读写能够发现,那么被替换 ...

你需要恶补大量的基础知识。没有读写扫描就没有办法回滚了?监控程序动作是行为防御的功能和实时扫描有什么关系?

如果我告诉你由于云的大量利用,大部分安软都在转向只进行执行前扫描你会怎么想?天塌了?无良厂家联合起来骗我钱?

只进行执行前扫描,或者只在执行前扫描时进行高级分析是大势所趋。现在的安软都追求对未知病毒的查杀能力,然而在混淆加密大发展、各种PE加载技术充分使用的现在,扫描引擎受限于客户机的性能和实时性要求,连已知病毒的变种都杀不过来了。文件扫描引擎的趋势是云化、AI化和动态化以及与行为防御的联动,这会不可避免的造成性能损失(特别是云化和动态化)。为了平衡效果和占用,只进行执行前扫描,或者只对读写进行简单的hash分析和机器学习扫描是理所当然的。
BFAX
发表于 2020-10-17 20:19:02 | 显示全部楼层
Miostartos 发表于 2020-10-17 18:38
以咖啡官网的说法
那叫实时扫描(英文也是real-time scanning),不叫执行扫描OK?


官网是吧,来括号里的On-Access Scanning就没看见呗?
拦截和回滚是行为主防的事情不关你文件监控的事情

我说的是什么?
1.程序本身没有明显恶意行为,你没有拦截
2.你扫描可以发现恶意文件,但是你并没有读写扫描,你发现不了这个程序把正常文件替换成了恶意文件
3.你既然不会发现,只能等dll执行时拦截清除,你还谈什么回滚?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Miostartos
发表于 2020-10-17 20:27:15 | 显示全部楼层
本帖最后由 Miostartos 于 2020-10-17 20:39 编辑
BFAX 发表于 2020-10-17 20:19
官网是吧,来括号里的On-Access Scanning就没看见呗?

我说的是什么?
实时(按访问)扫描

=
写了自己只是执行扫描

你不还是那一套你所谓的定义么
后面的
you are trying to access is infected

你也装看不见呗

你就继续秀你的无知
顺便也不用扯什么回滚不回滚的。一个有异常操作的PE文件必然不会是在信任列表里面,那他主防要是不监控行为才奇了怪了,就算白加黑,黑DLL也是会被监控的,所以你的假设根本不成立。
回到最开始的话题,你根本无法证明咖啡这个执行扫描的机制会漏毒,你顶多算是说他可能无法修复一些东西而已。
毕竟是一个连没执行的病毒就是死毒都不知道,要杠一杠的人,也不指望你能理解什么了




BFAX
发表于 2020-10-17 20:29:35 | 显示全部楼层
记录微笑 发表于 2020-10-17 18:58
不识字?
主动防御会一直监视程序的操作,发现恶意操作就拦截,懂吗?而且发现不了是恶意软件就说明病毒 ...
主动防御会一直监视程序的操作,发现恶意操作就拦截

程序没有明显恶意呢?难道学富五车的宁竟然以为替换文件就能判定成恶意操作?
发现不了是恶意软件就说明病毒库里面没有这个文件的任何信息,GTI里面也没有信誉不良记录,和你执行扫描有什么关系?就算是实时扫描也不行懂吗?

我已经说了,病毒主程序无法识别是否恶意,但是病毒程序一些文件替换成恶意文件,如果连恶意文件都扫描不出来自然没话说,但是如果恶意文件是可以被扫描出来的有和没有读写扫描难道也一样?
咖啡会在回滚的时候先删除替换上去的文件,然后再从本地实时备份恢复原来那个文件,不然遇到勒索怎么回滚?

SO~综上所述,你连发现这个程序是否恶意都没有,你何谈备份受影响的文件?何谈回滚?
不懂多学习

这句话宁还是拿去勉励自己吧,我是爱学习的,不懂就喜欢多学习,懂王才更需要这句话
sunwei_8
发表于 2020-10-17 20:50:35 来自手机 | 显示全部楼层
咖啡略微影响性能,查杀处于一流吧
记录微笑
发表于 2020-10-17 20:59:35 | 显示全部楼层
本帖最后由 记录微笑 于 2020-10-17 21:46 编辑
BFAX 发表于 2020-10-17 20:29
程序没有明显恶意呢?难道学富五车的宁竟然以为替换文件就能判定成恶意操作?

我已经说了,病毒主程 ...

退一万步说,就算替换了呢?怎么对系统产生危害?不还是得运行吗?运行之后不还是得经过执行前扫描吗?这不还是和实时扫描一样?自己知道单纯的替换不是恶意行为,再往下假设有什么意义?
而且咖啡的扫描和主防联动,扫描识别成恶意之后主防会介入直接回滚所有操作,而且咖啡的本地备份可以保存一天以上,任何杀毒软件都不是你脑子里想的那么简单。

看起来你不仅基础不懂,逻辑还不通。我像你这个阶段这种帖子回都不敢回一次。
sunwei_8
发表于 2020-10-17 21:20:52 | 显示全部楼层
欧阳宣 发表于 2020-10-16 16:05
我用过 但我不说 你先用下呗

你的回答永远那么有魅力
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-10-30 22:05 , Processed in 0.090088 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表