McAfee R110已发布

pal家族

hansyu 发表于 2023-6-23 22:20
McAfee应该是放弃在R100上使用trellix的6600了，打算在6500的基础上自己改改用这样。
R51就继续用6600。 ...

这个年头杀软主界面都要用谷歌核了啊。打开主界面一般要比扫描速度还慢，。，。，
感觉下次再有谁家重写UI可能就要用electron了

hansyu

pal家族 发表于 2023-6-23 22:22
这个年头杀软主界面都要用谷歌核了啊。打开主界面一般要比扫描速度还慢，。，。，
感觉下次再有谁家重写 ...

怎么说呢，McAfee是最早放弃原生界面用html的，早在04年的时候打开主界面的经典错误就是vbscript脚本错误。
现在是改用微软的webview2。
几个用谷歌核的杀软打开主界面最快的是小a，然后是红伞，红伞好像也是webview2。咖啡这个确实慢，大概是没有常驻内存的缘故。

pal家族

hansyu 发表于 2023-6-23 22:28
怎么说呢，McAfee是最早放弃原生界面用html的，早在04年的时候打开主界面的经典错误就是vbscript脚本错误 ...

请教下哈
neo进程是干嘛的啊
好像任务管理器可以直接结束

hansyu

pal家族 发表于 2023-6-23 22:37
请教下哈
neo进程是干嘛的啊
好像任务管理器可以直接结束

使用yara规则的检测引擎，在ProgramData\McAfee\content\tpx-s1\下有特征库，大概一周左右更新一次。
具体可以看看这个https://github.com/VirusTotal/yara。

pal家族

hansyu 发表于 2023-6-23 22:47
使用yara规则的检测引擎，在ProgramData\McAfee\content\tpx-s1\下有特征库，大概一周左右更新一次。
具 ...

意思是我右键扫描就是云+这个残废。。。那本地rp和云rp哪个更靠谱啊。。。。。另外现在是不是月神报法也改名ti！了，看不出来哪些是月神了？
我猜 我扫描报了ti！没有双击，那应该是月神拉黑吧

hansyu

pal家族 发表于 2023-6-23 22:48
意思是我右键扫描就是云+这个残废。。。

云+Real Protect的本地机学静态分类+本地库+neo，嗯，大概是这样。
其实本地库也不是特别落后，样本区的样本有蛮多比较流行（咖啡自己判断）都入本地库了，当然入库速度大概是一周这样？

pal家族

hansyu 发表于 2023-6-23 22:53
云+Real Protect的本地机学静态分类+本地库+neo，嗯，大概是这样。
其实本地库也不是特别落后，样本区的 ...

除了neo哪里还有别的本地库 可以指一下吗谢谢！

hansyu

pal家族 发表于 2023-6-23 22:56
除了neo哪里还有别的本地库 可以指一下吗谢谢！

content\tpx\是本地库。
本地rp是机学静态模型只负责扫描，云rp是动态行为分析用于执行后检测。
要问哪个更靠谱，个人在样本区这几个月测试观察来看，本地rp对一些远控和勒索检出是比较高的。
云rp对国内这些远控基本不行，可能是没有针对这类白加黑样本模型学习的原因。对付国外的一些样本和勒索倒是比较敏感，尽管勒索都是在勒索信弹出的时候才回滚杀，因为没有带增强补救，回滚相当于加密文件全删。
另外，如果想看是哪个引擎检出的结果，可以打开Programdata\McAfee\detection.log来查，里面会记录检测来源。

pal家族

hansyu 发表于 2023-6-22 22:17
啊，我还以为咖啡又改引擎。
R110刚装完的时候tpxscan.dat大过tpxclean.dat，整个文件夹才15M，想着咖啡 ...

我刚安装的 也是只有15M
难道要等一段时间才回推送完整的吗、。、、现在是10447的文件夹名称

hansyu

pal家族 发表于 2023-6-23 23:04
我刚安装的 也是只有15M
难道要等一段时间才回推送完整的吗、。、、现在是10447的文件夹名称

等明天更新一次就行了，我也不知道为什么刚装完是只有一半大。
ti！不一定是月神也有可能是本地rp和云rp，不知道是怎么确定名字的，还是得看detection.log。