有关瑞星文件监控的问题

Jerry.Lin

在测试ESM365, 有几个问题:

1. 发现无论在什么监控等级下, 实时监控的云扫描只在写入动作时出现, 在读取和执行动作均只过本地引擎扫描. 有可能性会漏... 读取不请求云能理解, 执行也不看云就有点...

2. 实时监控检测到威胁后不会阻止访问(锁定)病毒文件, 文件仍然可以任意执行.... 在选择"手动处理"尤为明显, 合理的做法是应当先拒绝访问然后给用户弹窗选择是否隔离.

即便选择自动处理, 也有可能有那么几毫秒病毒先执行起来了载入内存再报毒删除, 压根没用.  

一般来说是执行前扫描通过再允许运行, 还有比较少见的做法是先让其载入内存,挂起,扫描干净后再放行 (参考火绒). 瑞星这种既不阻止访问, 云又不参与执行扫描的做法有些问题...

3. 即使是写入的云扫描也不是很稳定, 有时候可能延迟高点就不报了, 或者可能一些神奇的缓存机制 ...

4. 即便是本地引擎扫描的效率也是蛮低的, 我开个任务管理器卡了15秒 . 遇到大量EXE文件, 不像其他杀软是扫一个释放然后再扫一个(表现为图标逐个显示), 瑞星是全部hold住等全部扫描完再释放(表现为卡个4-5秒再图标全部显示)...明显扫描逻辑有问题.

@dg1vg4 @XywCloud

dg1vg4

我是不懂这些的了，总之已经把上面这段内容扔给ESM的项目负责人了，至于他是能做出解释还是进行产品改进还是别的什么，emmm，一概不知……

XywCloud

感谢反馈，只不过我能做的事情也只有帮你转达给产品负责人（而且还得等上班）
如果有误报漏报什么的，反馈给我我才可以主动来处理（本地库相关的处理只能在工作日上班时间，云端置黑/置白只要电脑在身边基本上都可以做）
不管是有奇怪机制的文件监控，还是很多情况下都被习惯性无视的主防，这俩玩意儿我们都在重做了，只不过预计得等明年才能出

Miostartos

XywCloud 发表于 2020-11-14 20:42
感谢反馈，只不过我能做的事情也只有帮你转达给产品负责人（而且还得等上班）
如果有误报漏报什么的，反馈 ...

你去瑞星啦？

pal家族

Miostartos 发表于 2020-11-14 22:31
你去瑞星啦？

他早就去了 快两年？

Jerry.Lin

XywCloud 发表于 2020-11-14 06:42
感谢反馈，只不过我能做的事情也只有帮你转达给产品负责人（而且还得等上班）
如果有误报漏报什么的，反馈 ...

还有个问题, 不知道你们报法为 (TFE:AABBCCXX) 这个是不是引擎白皮书里提及的"代码主干模糊哈希"技术. 这个报法貌似我只在社区扫描器里看到(样本PE重构+改MD5), 客户端扫同样样本不报, 例如 Trojan.Kryptik!8.8 (TFE:dGZlOgwCo31EEGcW/w). 另外有些RDM+给出明确报法的客户端也不报, 例如 Dropper.Generic!8.35E (RDM+:cmRtazogutR8s8o7Meann95kac8t), 这样实战和实验的检测率也差太多了吧...

XywCloud

Jerry.Lin 发表于 2020-11-15 01:39
还有个问题, 不知道你们报法为 (TFE:AABBCCXX) 这个是不是引擎白皮书里提及的"代码主干模糊哈希"技术. 这 ...

目前，对于你们最常接触到的客户端产品，TFE引擎仅在个人版启用，ASG引擎仅在企业版（ESM3/ESM365/云终端）启用，RDM+的本地模型目前还没有客户端启用
后面至于哪些产品启用哪些引擎，这个后面还会再调

Jerry.Lin

XywCloud 发表于 2020-11-14 19:43
目前，对于你们最常接触到的客户端产品，TFE引擎仅在个人版启用，ASG引擎仅在企业版（ESM3/ESM365/云终端 ...

您好, ASG 的报法能举个例子么

XywCloud

Jerry.Lin 发表于 2020-11-15 09:52
您好, ASG 的报法能举个例子么

这个可以自己去VT上找，主要针对的是宏病毒样本。

jasperchau

XywCloud 发表于 2020-11-14 20:42
感谢反馈，只不过我能做的事情也只有帮你转达给产品负责人（而且还得等上班）
如果有误报漏报什么的，反馈 ...

希望你帮忙反馈一下瑞星安全云卸载后会损坏win0的开始菜单和磁贴的问题，这个问题存在很久了