查看: 2729|回复: 17
收起左侧

[求助] 有关瑞星文件监控的问题

[复制链接]
Jerry.Lin
发表于 2020-11-14 14:55:18 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2020-11-14 01:23 编辑

在测试ESM365, 有几个问题:

1. 发现无论在什么监控等级下, 实时监控的云扫描只在写入动作时出现, 在读取和执行动作均只过本地引擎扫描. 有可能性会漏... 读取不请求云能理解, 执行也不看云就有点...

2. 实时监控检测到威胁后不会阻止访问(锁定)病毒文件, 文件仍然可以任意执行.... 在选择"手动处理"尤为明显, 合理的做法是应当先拒绝访问然后给用户弹窗选择是否隔离.

即便选择自动处理, 也有可能有那么几毫秒病毒先执行起来了载入内存再报毒删除, 压根没用.  

一般来说是执行前扫描通过再允许运行, 还有比较少见的做法是先让其载入内存,挂起,扫描干净后再放行 (参考火绒). 瑞星这种既不阻止访问, 云又不参与执行扫描的做法有些问题...

3. 即使是写入的云扫描也不是很稳定, 有时候可能延迟高点就不报了, 或者可能一些神奇的缓存机制 ...

4. 即便是本地引擎扫描的效率也是蛮低的, 我开个任务管理器卡了15秒 . 遇到大量EXE文件, 不像其他杀软是扫一个释放然后再扫一个(表现为图标逐个显示), 瑞星是全部hold住等全部扫描完再释放(表现为卡个4-5秒再图标全部显示)...明显扫描逻辑有问题.

@dg1vg4 @XywCloud

评分

参与人数 2人气 +2 收起 理由
HEMM + 1 我路过,进来看看有打折没
杀软病综合医院 + 1 感谢提供分享

查看全部评分

dg1vg4
发表于 2020-11-14 16:17:21 | 显示全部楼层
我是不懂这些的了,总之已经把上面这段内容扔给ESM的项目负责人了,至于他是能做出解释还是进行产品改进还是别的什么,emmm,一概不知……
XywCloud
发表于 2020-11-14 20:42:44 | 显示全部楼层
感谢反馈,只不过我能做的事情也只有帮你转达给产品负责人(而且还得等上班)
如果有误报漏报什么的,反馈给我我才可以主动来处理(本地库相关的处理只能在工作日上班时间,云端置黑/置白只要电脑在身边基本上都可以做)
不管是有奇怪机制的文件监控,还是很多情况下都被习惯性无视的主防,这俩玩意儿我们都在重做了,只不过预计得等明年才能出

评分

参与人数 3人气 +5 收起 理由
你猜我是谁② + 1 根据版规,加1分以示鼓励
莒县小哥 + 3 赞一个!
Jerry.Lin + 1 OK

查看全部评分

Miostartos
发表于 2020-11-14 22:31:50 | 显示全部楼层
XywCloud 发表于 2020-11-14 20:42
感谢反馈,只不过我能做的事情也只有帮你转达给产品负责人(而且还得等上班)
如果有误报漏报什么的,反馈 ...

你去瑞星啦?
pal家族
发表于 2020-11-14 23:19:39 | 显示全部楼层

他早就去了 快两年?
Jerry.Lin
 楼主| 发表于 2020-11-15 01:39:08 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2020-11-14 11:42 编辑
XywCloud 发表于 2020-11-14 06:42
感谢反馈,只不过我能做的事情也只有帮你转达给产品负责人(而且还得等上班)
如果有误报漏报什么的,反馈 ...

还有个问题, 不知道你们报法为 (TFE:AABBCCXX) 这个是不是引擎白皮书里提及的"代码主干模糊哈希"技术. 这个报法貌似我只在社区扫描器里看到(样本PE重构+改MD5), 客户端扫同样样本不报, 例如 Trojan.Kryptik!8.8 (TFE:dGZlOgwCo31EEGcW/w). 另外有些RDM+给出明确报法的客户端也不报, 例如 Dropper.Generic!8.35E (RDM+:cmRtazogutR8s8o7Meann95kac8t), 这样实战和实验的检测率也差太多了吧...
XywCloud
发表于 2020-11-15 09:43:22 | 显示全部楼层
Jerry.Lin 发表于 2020-11-15 01:39
还有个问题, 不知道你们报法为 (TFE:AABBCCXX) 这个是不是引擎白皮书里提及的"代码主干模糊哈希"技术. 这 ...

目前,对于你们最常接触到的客户端产品,TFE引擎仅在个人版启用,ASG引擎仅在企业版(ESM3/ESM365/云终端)启用,RDM+的本地模型目前还没有客户端启用
后面至于哪些产品启用哪些引擎,这个后面还会再调
Jerry.Lin
 楼主| 发表于 2020-11-15 09:52:18 | 显示全部楼层
XywCloud 发表于 2020-11-14 19:43
目前,对于你们最常接触到的客户端产品,TFE引擎仅在个人版启用,ASG引擎仅在企业版(ESM3/ESM365/云终端 ...

您好, ASG 的报法能举个例子么
XywCloud
发表于 2020-11-15 10:06:22 | 显示全部楼层
Jerry.Lin 发表于 2020-11-15 09:52
您好, ASG 的报法能举个例子么

这个可以自己去VT上找,主要针对的是宏病毒样本。
jasperchau
发表于 2020-11-15 14:49:39 | 显示全部楼层
XywCloud 发表于 2020-11-14 20:42
感谢反馈,只不过我能做的事情也只有帮你转达给产品负责人(而且还得等上班)
如果有误报漏报什么的,反馈 ...

希望你帮忙反馈一下瑞星安全云卸载后会损坏win0的开始菜单和磁贴的问题,这个问题存在很久了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:43 , Processed in 0.146955 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表