关于执行监控的局限性

显示全部楼层 · 发表于 2024-6-15 01:45:18

本帖最后由 bbszy 于 2024-6-16 03:37 编辑

在文件监控里可以设置扫描模式，分别有智能模式、访问和修改时扫描、访问时扫描、执行时扫描。

默认设置是智能模式，根据日志记录，基本相当于访问和修改时扫描的精简版（智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，只在文件打开和关闭时扫描，另外根据当前负载和文件的类型有一定的延迟扫描）。

重点说下执行时扫描，选择这个模式后，经过测试，对于大部分场景是够用的，但是对于部分场景文件的加载，卡巴不认为是执行，所以可能存在漏毒风险（即便文件监控设置为扫描所有文件），例如：

1.以autocad为例，字体文件、lsp文件的加载不被文件监控过滤（日志里直接找不到处理过相关文件），导致cad病毒畅通无阻。只有在扫描模式设置为智能模式、访问和修改时扫描、访问时扫描，在带毒lsp文件被访问时，进行拦截（已加载到内存的依然无法监控到）。根据日志记录，设置为智能模式、访问和修改时扫描、访问时扫描时，字体文件、lsp文件在被访问时会被监控到，即体现为加载前被拦截。

2.对于脚本文件，设置为执行时扫描时，使用文本编辑器打开不会被监控拦截，尝试用wscript.exe模拟文件加载时（无论后缀）才会被监控拦截，拦截方不是文件监控，而是应用程序控制（可看到文件被放入不信任组）。设置为智能模式、访问和修改时扫描、访问时扫描时，任何形式的访问都会被拦截。

3.lnk文件、pdf文件，设置为执行时扫描时，双击不会被拦截，即便扫描报毒。尝试用wscript.exe模拟文件加载加载可拦截，拦截方不是文件监控，而是应用程序控制或者系统监控。

4.对于带宏病毒的xls、doc等格式文件，设置为执行时扫描时，由于监控到带毒时文件已被打开，所以无法进行清除操作（即便扫描时候能清除宏病毒），只能先终止Office的进程然后对带毒文件进行删除处理，拦截方不是文件监控，而是应用程序控制或者系统监控（报pdm漏洞利用）。

总结：总体来说，卡巴除了文件监控还有应用程序控制、系统监控，所以比单纯的执行监控更为全面。单纯的执行监控能应付大多数场景，例如可执行文件的运行，dll、sys文件的加载，js、vbs等脚本文件的运行都能够正常拦截，同时因大幅减少扫描需求，对性能提升明显，但是有些加载方法卡巴不认为是执行，导致直接过掉执行监控，可能导致病毒直接被加载，存在漏毒风险，例如脚本文件、pdf文件，用文本编辑器或者浏览器可以直接打开不会报毒；而当尝试用wscript.exe加载这些文件（虽然这个程序是用来执行脚本的，但可以尝试用它来加载非脚本文件来触发卡巴的执行监控），卡巴的执行监控不会报毒，而应用程序控制或者系统监控会报毒；而对于autocad加载字体、lsp这些文件的方式，不会触发卡巴的执行监控、应用程序控制或者系统监控直，导致cad病毒畅通无阻。

显示全部楼层 · 发表于 2024-6-15 08:01:22

是这样的，所以我建议尽量访问和修改时扫描，实在有性能顾虑那至少也得是智能扫描，不然主防压力太大了

显示全部楼层 · 发表于 2024-6-15 08:11:31

本帖最后由 bbszy 于 2024-6-15 08:16 编辑

Jirehlov1234 发表于 2024-6-15 08:01
是这样的，所以我建议尽量访问和修改时扫描，实在有性能顾虑那至少也得是智能扫描，不然主防压力太大了

智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有一定的延迟扫描。

执行监控应该搭配写入监控会好一些，但是可惜设置里没有这个搭配。

那你是选择监控所有文件还是默认的根据文件类型来？我个人不喜欢mitm，所以是关了加密链接扫描的，这样文件监控就应该设置严密，我看了下日志，chrome的缓存文件在选择根据文件类型扫描时是被监控的。

显示全部楼层 · 发表于 2024-6-15 08:17:30

bbszy 发表于 2024-6-15 00:11
智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有 ...

建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

显示全部楼层 · 发表于 2024-6-15 08:18:35

Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

复合文件的8m大小限制你觉得要改么

显示全部楼层 · 发表于 2024-6-15 08:24:22

bbszy 发表于 2024-6-15 00:18
复合文件的8m大小限制你觉得要改么

这个是真吃性能，量力而行就可以。

显示全部楼层 · 发表于 2024-6-15 08:28:29

Jirehlov1234 发表于 2024-6-15 08:24
这个是真吃性能，量力而行就可以。

我一直不太清楚这个8m怎么来的，好像卡巴6.0的时候就是这个数字。
调的更小，性能方面会有明显获益么（如果安全方面不太受影响的话）

显示全部楼层 · 发表于 2024-6-15 08:29:19

bbszy 发表于 2024-6-15 08:18
复合文件的8m大小限制你觉得要改么

我给设置了160MB以上才不解压复合文件
主要是看到好多老六都是什么msi格式还是exe格式的安装包越来越大

显示全部楼层 · 发表于 2024-6-15 08:37:34

pal家族发表于 2024-6-15 08:29
我给设置了160MB以上才不解压复合文件
主要是看到好多老六都是什么msi格式还是exe格式的安装包越来越 ...

扫描模式、文件类型你有改么

显示全部楼层 · 发表于 2024-6-15 08:42:06

bbszy 发表于 2024-6-15 00:28
我一直不太清楚这个8m怎么来的，好像卡巴6.0的时候就是这个数字。
调的更小，性能方面会有明显获益么（ ...

取决于平时这些文件多不多吧，因人而异。

[交流探讨] 关于执行监控的局限性

评分