SEP分析风险到底是在干什么

显示全部楼层 · 发表于 2023-10-6 15:52:47

如题，别的杀软报完毒后删除或隔离就好了，SEP这还要弹个“风险仍在分析”而且要卡好一会。

显示全部楼层 · 发表于 2023-10-6 17:54:41

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2023-10-6 18:10:41

在分析攻击链路并还原威胁对系统的更改

显示全部楼层 · 发表于 2023-10-6 18:19:23

一直更新病毒库失败

显示全部楼层 · 发表于 2023-10-6 18:50:37

本帖最后由 GreatMOLA 于 2023-10-6 19:04 编辑

对于未执行的风险，如果看到长时间的风险分析我个人的解释是由于自动防护对于未针对性拉黑或入库和静态启发没有检测到的威胁使用高级机器学习快速响应，之后再做深度扫描匹配对应的拉黑或入库报法。所以楼主应该能发现铁壳一般是机学A、B、C、D、L等报法后跟着一个拉黑或入库报法；如果没有匹配到，则只会出现机学A、B、C、D、L等报法。

对于已执行的风险，应该是在执行上述操作的同时正在进行关联扫描或回滚已做出的更改。

显示全部楼层 · 发表于 2023-10-6 19:40:50

应该还在处理中

显示全部楼层 · 发表于 2023-10-6 21:19:07

GreatMOLA 发表于 2023-10-6 18:50
对于未执行的风险，如果看到长时间的风险分析我个人的解释是由于自动防护对于未针对性拉黑或入库和静态启发 ...

铁壳的产品未执行的风险也会进行所谓的“关联扫描”，找出来龙去脉。

据我所知，铁壳客户端没有专门的针对特定文件的深度扫描，顶多就在扫描过程中检测到大量威胁后会自动进入（ML）激进扫描模式，或是NPE扫描器。另外铁壳的ML-based和File-based从客户端上看，是有点独立的两个检测方法，所以会出现ML和传统拉黑同时出现的情况。

显示全部楼层 · 发表于 2023-10-6 21:33:27

anthonyqian 发表于 2023-10-6 21:19
铁壳的产品未执行的风险也会进行所谓的“关联扫描”，找出来龙去脉。

据我所知，铁壳客户端没有专门的 ...

学习了，那为什么铁壳要使用两种不同的检测方法呢？

显示全部楼层 · 发表于 2023-10-6 21:38:00

GreatMOLA 发表于 2023-10-6 21:33
学习了，那为什么铁壳要使用两种不同的检测方法呢？

一款成熟的杀软本身就有多种检测手段的。。。无非是有些整合都比较好，有些的整合的不太好而已。。。像卡巴就是整合好的范例，例如UDS->HEUR

显示全部楼层 · 发表于 2023-10-6 22:41:52

anthonyqian 发表于 2023-10-6 21:38
一款成熟的杀软本身就有多种检测手段的。。。无非是有些整合都比较好，有些的整合的不太好而已。。。像卡 ...

好吧，和我想象中的一样...记得铁壳家没有机学的时候扫描挺拉垮的。

初心．杰头像被屏蔽	发表于 2023-10-6 17:54:41 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
初心．杰头像被屏蔽
	回复举报

[求助] SEP分析风险到底是在干什么

评分

评分

浏览过的版块