【更新】分享一个调整ELG调整触发阈值的办法 并带配置文件

vaedzy

之前研究过ELG与EDTD的区别。后来发现EDTD和ELG是一个东西，并无本质差距。


原帖地址：
实测EDTD与ELG的区别
https://bbs.kafan.cn/forum.php?m ... 918&fromuid=1282385
(出处: 卡饭)

当时对比后发现小差距如下：

1.ELG无法手动设置触发条件，EDTD有3个设置选项可用于EDTD触发难易等级。
2.ELG无回调的分析结果，只有查杀与不查杀，EDTD在100设备以上有详细分析结果，100设备以下无详细分析报告。

昨天我发现第一个差距是可以解决的
如图所示：

这个是EDTD的设置，拥有阈值触发。

这个是ELG设置，没有阈值触发。

这个也是ELG设置，有阈值触发。

左边两个图，左上是EDTD，左下是ELG的配置图，在第一次安装时。当更新未完成阶段，可以看到带有全部选项的ELG，对比后发现与EDTD选项无差别。如果在这个时候进行修改。触发阈值，保存后是可以一直生效的，但不可以修改云防护这里的内容，一旦修改就会回滚到默认的高度可疑。
此方法可用于15.0.18.0版本。



今天更新了15.0.21.0版本 发现 此方法不可用了。


但通过好兄弟@netweb 的帖子发现，是可以通过XML配置文件进行修改的。
修改方式如下：
XML方式修改ELG触发阈值

我的更新完没有出现那个选项，卸载重装，可以看到选项，不过模块更新完后又消失了。
在虚拟机里又装了一遍，导出配置发现三个选项对应的值。
可疑 4B
高度可疑 5A
恶意的 64
在导出的配置文件中可以修改阈值
<NODE NAME="DynamicDefenseThreshold" TYPE="number" VALUE="64" />

阈值越大漏毒越多，误报越低（去看了EDTD的阈值的说明已修正）
其他值是否有效就不清楚

ELG默认阈值是高度可疑的。可以才用此方式修改成可疑或者是恶意的，因此来调整ELG触发的频率和条件。

最后补一张修改后的配置文件与未修改的配置文件对比截图
左边是直接安装的15.0.21.0 右边是15.0.18.0修改后升级到15.0.21.0的


在此希望大家能用的到。

最后，EDTD与ELG差距只剩下：ELG无回调的分析结果，只有查杀与不查杀，EDTD在100设备以上有详细分析结果，100设备以下无详细分析报告。


抱歉，昨天忘了直接尝试15.0.21.0的ELG修改后结果。经测试，15.0.21.0修改成4B后效果不如15.0.18.0修改4B后升级版本的好。同一文件触发 前者触发18个，后者触发55个。 可能是由于15.0.21.0修复了这个bug


下图是EES+EDTD与ESSP的配置文件对比。从文件中发现EES的查杀级别要比ESSP高了3个等级。正在调整导入，尝试效果


另外从配置文件中佐证ELG与EDTD就是一个物种 详情对比配置文件1527行附近的代码。


ESSP 15.0.18.0 64位

该配置文件是参照正版EES与EDTD比对修改的。修改了默认ESSP的CleanLevel级别为1，依照EES修改成3。原有EDTD查杀机制5A修改成4B。
其余地方均没调整。可直接导入ESSP即可生效，兼容15.0.21.0版本。

ESSP文件是修改好的。如果不想对比直接导入ESSP，如果想对比先导出自己的配置文件。然后与这个文件对比差值然后选择性修改。

若有疑问可自行导出自己的配置文件与附件中EES进行对比修改。

vaedzy

15.0.21.0 版本ELG修改4B触发情况。




15.0.18.0 版本ELG修改4B触发情况。 截图不完整 最后上传文件是55个






15.0.18.0 版本ELG修改4B并直升到15.0.21.0版本触发情况。 截图不完整 最后上传文件是55个


三个解压均是GRAALVM。下载地址Oracle官方。jdk11.0.13版本。有在15.0.21.0修改4B的小伙伴可以自行百度测试一下能不能到55个左右。



如果有小伙伴想用鸡血版ELG，请在15.0.18.0版本修改，然后平滑升级到15.0.21.0

onedrive

可以的，很不错，这下elg也行了

wangfeng66

已经调整为4B感谢研究分享。

netweb

前排,过来支持一下。

---

生如夏花之绚烂，死如秋叶之静美  
2021/12/9 下午11:00:23
bye  
From The Amazing Artifact：Netscape         

kekeChen

可惜没钱上SSP

vaedzy

kekeChen 发表于 2021-12-10 09:47
可惜没钱上SSP

EIS配置文件中貌似也有ELG的影子

我是风我是风

希望越做越好

wangfeng66

vaedzy 发表于 2021-12-10 09:54
EIS配置文件中貌似也有ELG的影子

EIS的配置文件有ELG的 DynamicDefenseThreshold 字段 但是有没有具体发挥作用就不得而知了。

桑德尔

已调整4B

vaedzy

桑德尔 发表于 2021-12-10 16:43
已调整4B

没用了...要从15.0.18.0调整在升级到15.0.21.0 在21版本直接调 没啥区别... 我今早还特意试了一下