吐槽Microsoft Defender的一直清理不了病毒的bug

syswow64

anthonyqian 发表于 2023-7-23 18:30
我之所以参与这个讨论是因为我也遇到了MD这个清毒失败的问题。我最近遇到的情况是执行病毒样本后没有被删 ...

我就感觉MD得界面显示和它的引擎行为有时候很不一致，用过几个月，给我难受坏了

ANY.LNK

anthonyqian 发表于 2023-7-23 18:30
我之所以参与这个讨论是因为我也遇到了MD这个清毒失败的问题。我最近遇到的情况是执行病毒样本后没有被删 ...

这问题确实挺严重，之前遇到用CobaltStrike注入winlogon.exe等系统进程时出现此问题。

不过看样子这回应该不完全是这样

顺带一提，能管理员MpCmdRun -GetFiles -SupportLogLocation获取一下当时的日志吗？

我一会儿找几个样本试试

anthonyqian

syswow64 发表于 2023-7-23 18:42
我就感觉MD得界面显示和它的引擎行为有时候很不一致，用过几个月，给我难受坏了

主要是Windows 11 ARM 版没啥杀软可选 好在响应还算快 哎

anthonyqian

ANY.LNK 发表于 2023-7-23 18:47
这问题确实挺严重，之前遇到用CobaltStrike注入winlogon.exe等系统进程时出现此问题。

不过看样子这回 ...

我在Mac上的pd虚拟机里面双击运行的，测完就恢复快照了。

ANY.LNK

syswow64 发表于 2023-7-23 18:34
你说的这些很多都是设计稀烂，这些都可以忍，微软的程序员审美也不是一天两天了。现在win11得UI有些逻辑 ...

之前看到网上对Win11和Win10的评测表明新系统的性能还不如以前了。感觉就像微软长期没开发新系统，再加上解散了原有的Windows团队，长期小修小补，又急于添加新东西，改旧东西，把原来的经验忘光了。

感觉性能的原因可能是在于UI，较Win10加上的更多透明化效果起到了像当年Aero造成的性能下降问题（虽然这个透明化观感可能还比不上当年的Aero）……
可能会像当年XP到Vista，但Vista在那些年里好歹是有认真打磨过的，现在的微软似乎很急，急于加入某些能赚快钱的东西，又不愿意投入大量的付出好好优化一下体验

ANY.LNK

syswow64 发表于 2023-7-23 18:42
我就感觉MD得界面显示和它的引擎行为有时候很不一致，用过几个月，给我难受坏了

这可能得“归功”于它现在冗长的进程间通讯链（可以见我在17楼的回复）

在今年3月KB5007651之前的问题还仅限于引擎服务已停止动作，但UI以及托盘中仍显示威胁，那个更新之后就引入了一系列的问题，除了最热的那个持续数月才缓解的“本地安全机构保护”的问题（目前仍没有恢复设置项）；还有不时出现的托盘显示、Windows安全中心UI显示、引擎服务动作均不一致；而且界面加载速度也降低了许多（有时直接就是空白或各种状态未知），得多刷几遍才能加载正常

某次加载页面直接卡死，SecurityHealthService.exe占了将近三分之一的CPU，被迫重启了整个系统

ANY.LNK

anthonyqian 发表于 2023-7-23 18:57
我在Mac上的pd虚拟机里面双击运行的，测完就恢复快照了。

好吧，我一会儿自己找几个样本测试下，看看能不能复现

ANY.LNK

anthonyqian 发表于 2023-7-23 18:56
主要是Windows 11 ARM 版没啥杀软可选  好在响应还算快 哎

对最近这3天一批样本的测试中，我这边只有一个出现了如下图所示的情况：




暂时没有完全复现帖子中所说的无法隔离的情况

anthonyqian

ANY.LNK 发表于 2023-7-23 21:21
对最近这3天一批样本的测试中，我这边只有一个出现了如下图所示的情况：

https://bbs.kafan.cn/thread-2257893-1-1.html 我当时运行的好像是这个样本

ANY.LNK

anthonyqian 发表于 2023-7-23 21:29
https://bbs.kafan.cn/thread-2257893-1-1.html 我当时运行的好像是这个样本

这个样本运行后再打开实时保护，连续报告了5次威胁后进程被终止，文件被成功隔离，暂时没能复现无法结束进程的情况