查看: 4100|回复: 26
收起左侧

[分享] 【更新】分享一个调整ELG调整触发阈值的办法 并带配置文件

[复制链接]
vaedzy
头像被屏蔽
发表于 2021-12-9 17:08:42 | 显示全部楼层 |阅读模式
本帖最后由 vaedzy 于 2021-12-11 23:44 编辑

之前研究过ELG与EDTD的区别。后来发现EDTD和ELG是一个东西,并无本质差距。


原帖地址:
实测EDTD与ELG的区别
https://bbs.kafan.cn/forum.php?m ... 918&fromuid=1282385
(出处: 卡饭)

当时对比后发现小差距如下:
1.ELG无法手动设置触发条件,EDTD有3个设置选项可用于EDTD触发难易等级。
2.ELG无回调的分析结果,只有查杀与不查杀,EDTD在100设备以上有详细分析结果,100设备以下无详细分析报告。



昨天我发现第一个差距是可以解决的
如图所示:

这个是EDTD的设置,拥有阈值触发。

这个是ELG设置,没有阈值触发。

这个也是ELG设置,有阈值触发。

左边两个图,左上是EDTD,左下是ELG的配置图,在第一次安装时。当更新未完成阶段,可以看到带有全部选项的ELG,对比后发现与EDTD选项无差别。如果在这个时候进行修改。触发阈值,保存后是可以一直生效的,但不可以修改云防护这里的内容,一旦修改就会回滚到默认的高度可疑。
此方法可用于15.0.18.0版本。



今天更新了15.0.21.0版本 发现 此方法不可用了。


但通过好兄弟@netweb 的帖子发现,是可以通过XML配置文件进行修改的。
修改方式如下:
XML方式修改ELG触发阈值
我的更新完没有出现那个选项,卸载重装,可以看到选项,不过模块更新完后又消失了。
在虚拟机里又装了一遍,导出配置发现三个选项对应的值。
可疑 4B
高度可疑 5A
恶意的 64
在导出的配置文件中可以修改阈值
<NODE NAME="DynamicDefenseThreshold" TYPE="number" VALUE="64" />

阈值越大漏毒越多,误报越低(去看了EDTD的阈值的说明已修正)
其他值是否有效就不清楚

ELG默认阈值是高度可疑的。可以才用此方式修改成可疑或者是恶意的,因此来调整ELG触发的频率和条件。

最后补一张修改后的配置文件与未修改的配置文件对比截图
左边是直接安装的15.0.21.0 右边是15.0.18.0修改后升级到15.0.21.0的


在此希望大家能用的到。

最后,EDTD与ELG差距只剩下:ELG无回调的分析结果,只有查杀与不查杀,EDTD在100设备以上有详细分析结果,100设备以下无详细分析报告。


抱歉,昨天忘了直接尝试15.0.21.0的ELG修改后结果。经测试,15.0.21.0修改成4B后效果不如15.0.18.0修改4B后升级版本的好。同一文件触发 前者触发18个,后者触发55个。 可能是由于15.0.21.0修复了这个bug


下图是EES+EDTD与ESSP的配置文件对比。从文件中发现EES的查杀级别要比ESSP高了3个等级。正在调整导入,尝试效果


另外从配置文件中佐证ELG与EDTD就是一个物种 详情对比配置文件1527行附近的代码。


ESSP 15.0.18.0 64位

该配置文件是参照正版EES与EDTD比对修改的。修改了默认ESSP的CleanLevel级别为1,依照EES修改成3。原有EDTD查杀机制5A修改成4B。
其余地方均没调整。可直接导入ESSP即可生效,兼容15.0.21.0版本。

ESSP文件是修改好的。如果不想对比直接导入ESSP,如果想对比先导出自己的配置文件。然后与这个文件对比差值然后选择性修改。

若有疑问可自行导出自己的配置文件与附件中EES进行对比修改。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
aiqinghe + 1 版区有你更精彩: )

查看全部评分

vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-10 17:18:45 | 显示全部楼层
本帖最后由 vaedzy 于 2021-12-10 17:21 编辑

15.0.21.0 版本ELG修改4B触发情况。




15.0.18.0 版本ELG修改4B触发情况。 截图不完整 最后上传文件是55个






15.0.18.0 版本ELG修改4B并直升到15.0.21.0版本触发情况。 截图不完整 最后上传文件是55个


三个解压均是GRAALVM。下载地址Oracle官方。jdk11.0.13版本。有在15.0.21.0修改4B的小伙伴可以自行百度测试一下能不能到55个左右。



如果有小伙伴想用鸡血版ELG,请在15.0.18.0版本修改,然后平滑升级到15.0.21.0

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
LSPD + 1 感谢解答: )

查看全部评分

onedrive
发表于 2021-12-9 20:39:31 | 显示全部楼层
可以的,很不错,这下elg也行了
wangfeng66
发表于 2021-12-9 21:31:38 | 显示全部楼层
已经调整为4B感谢研究分享。
netweb
发表于 2021-12-9 22:00:23 | 显示全部楼层
前排,过来支持一下。







    生如夏花之绚烂,死如秋叶之静美  
    2021/12/9 下午11:00:23
    bye  
    From The Amazing Artifact:Netscape
             
    kekeChen
    发表于 2021-12-10 09:47:04 | 显示全部楼层
    可惜没钱上SSP
    vaedzy
    头像被屏蔽
     楼主| 发表于 2021-12-10 09:54:01 | 显示全部楼层

    EIS配置文件中貌似也有ELG的影子
    我是风我是风
    发表于 2021-12-10 13:01:49 | 显示全部楼层
    希望越做越好
    wangfeng66
    发表于 2021-12-10 14:25:07 | 显示全部楼层
    vaedzy 发表于 2021-12-10 09:54
    EIS配置文件中貌似也有ELG的影子

    EIS的配置文件有ELG的 DynamicDefenseThreshold 字段 但是有没有具体发挥作用就不得而知了。
    桑德尔
    头像被屏蔽
    发表于 2021-12-10 16:43:57 | 显示全部楼层
    已调整4B
    vaedzy
    头像被屏蔽
     楼主| 发表于 2021-12-10 16:47:45 | 显示全部楼层

    没用了...要从15.0.18.0调整在升级到15.0.21.0 在21版本直接调 没啥区别... 我今早还特意试了一下
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    手机版|杀毒软件|软件论坛| 卡饭论坛

    Copyright © KaFan  KaFan.cn All Rights Reserved.

    Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:15 , Processed in 0.138010 second(s), 20 queries .

    卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

    快速回复 客服 返回顶部 返回列表