查看: 3650|回复: 13
收起左侧

[求助] SEP分析风险到底是在干什么

[复制链接]
asbjdj
发表于 2023-10-6 15:52:47 | 显示全部楼层 |阅读模式
如题,别的杀软报完毒后删除或隔离就好了,SEP这还要弹个“风险仍在分析”而且要卡好一会。
初心.杰
头像被屏蔽
发表于 2023-10-6 17:54:41 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
anthonyqian
发表于 2023-10-6 18:10:41 | 显示全部楼层
在分析攻击链路并还原威胁对系统的更改
2008lmy
发表于 2023-10-6 18:19:23 | 显示全部楼层
一直更新病毒库失败
GreatMOLA
发表于 2023-10-6 18:50:37 | 显示全部楼层
本帖最后由 GreatMOLA 于 2023-10-6 19:04 编辑

对于未执行的风险,如果看到长时间的风险分析我个人的解释是由于自动防护对于未针对性拉黑或入库和静态启发没有检测到的威胁使用高级机器学习快速响应,之后再做深度扫描匹配对应的拉黑或入库报法。所以楼主应该能发现铁壳一般是机学A、B、C、D、L等报法后跟着一个拉黑或入库报法;如果没有匹配到,则只会出现机学A、B、C、D、L等报法。

对于已执行的风险,应该是在执行上述操作的同时正在进行关联扫描或回滚已做出的更改。

评分

参与人数 1人气 +3 收起 理由
asbjdj + 3 感谢解答: )

查看全部评分

a8855942
发表于 2023-10-6 19:40:50 | 显示全部楼层
应该还在处理中
anthonyqian
发表于 2023-10-6 21:19:07 | 显示全部楼层
GreatMOLA 发表于 2023-10-6 18:50
对于未执行的风险,如果看到长时间的风险分析我个人的解释是由于自动防护对于未针对性拉黑或入库和静态启发 ...

铁壳的产品未执行的风险也会进行所谓的“关联扫描”,找出来龙去脉。

据我所知,铁壳客户端没有专门的针对特定文件的深度扫描,顶多就在扫描过程中检测到大量威胁后会自动进入(ML)激进扫描模式,或是NPE扫描器。另外铁壳的ML-based和File-based从客户端上看,是有点独立的两个检测方法,所以会出现ML和传统拉黑同时出现的情况。

评分

参与人数 1人气 +3 收起 理由
辔繇 + 3 感谢提供分享

查看全部评分

GreatMOLA
发表于 2023-10-6 21:33:27 | 显示全部楼层
anthonyqian 发表于 2023-10-6 21:19
铁壳的产品未执行的风险也会进行所谓的“关联扫描”,找出来龙去脉。

据我所知,铁壳客户端没有专门的 ...

学习了,那为什么铁壳要使用两种不同的检测方法呢?
anthonyqian
发表于 2023-10-6 21:38:00 | 显示全部楼层
GreatMOLA 发表于 2023-10-6 21:33
学习了,那为什么铁壳要使用两种不同的检测方法呢?

一款成熟的杀软本身就有多种检测手段的。。。无非是有些整合都比较好,有些的整合的不太好而已。。。像卡巴就是整合好的范例,例如UDS->HEUR
GreatMOLA
发表于 2023-10-6 22:41:52 | 显示全部楼层
anthonyqian 发表于 2023-10-6 21:38
一款成熟的杀软本身就有多种检测手段的。。。无非是有些整合都比较好,有些的整合的不太好而已。。。像卡 ...

好吧,和我想象中的一样...记得铁壳家没有机学的时候扫描挺拉垮的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:47 , Processed in 0.129913 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表