关于执行监控的局限性

bbszy

在文件监控里可以设置扫描模式，分别有智能模式、访问和修改时扫描、访问时扫描、执行时扫描。

默认设置是智能模式，根据日志记录，基本相当于访问和修改时扫描的精简版（智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，只在文件打开和关闭时扫描，另外根据当前负载和文件的类型有一定的延迟扫描）。

重点说下执行时扫描，选择这个模式后，经过测试，对于大部分场景是够用的，但是对于部分场景文件的加载，卡巴不认为是执行，所以可能存在漏毒风险（即便文件监控设置为扫描所有文件），例如：

1.以autocad为例，字体文件、lsp文件的加载不被文件监控过滤（日志里直接找不到处理过相关文件），导致cad病毒畅通无阻。只有在扫描模式设置为智能模式、访问和修改时扫描、访问时扫描，在带毒lsp文件被访问时，进行拦截（已加载到内存的依然无法监控到）。根据日志记录，设置为智能模式、访问和修改时扫描、访问时扫描时，字体文件、lsp文件在被访问时会被监控到，即体现为加载前被拦截。

2.对于脚本文件，设置为执行时扫描时，使用文本编辑器打开不会被监控拦截，尝试用wscript.exe模拟文件加载时（无论后缀）才会被监控拦截，拦截方不是文件监控，而是应用程序控制（可看到文件被放入不信任组）。设置为智能模式、访问和修改时扫描、访问时扫描时，任何形式的访问都会被拦截。

3.lnk文件、pdf文件，设置为执行时扫描时，双击不会被拦截，即便扫描报毒。尝试用wscript.exe模拟文件加载加载可拦截，拦截方不是文件监控，而是应用程序控制或者系统监控。

4.对于带宏病毒的xls、doc等格式文件，设置为执行时扫描时，由于监控到带毒时文件已被打开，所以无法进行清除操作（即便扫描时候能清除宏病毒），只能先终止Office的进程然后对带毒文件进行删除处理，拦截方不是文件监控，而是应用程序控制或者系统监控（报pdm漏洞利用）。


总结：总体来说，卡巴除了文件监控还有应用程序控制、系统监控，所以比单纯的执行监控更为全面。单纯的执行监控能应付大多数场景，例如可执行文件的运行，dll、sys文件的加载，js、vbs等脚本文件的运行都能够正常拦截，同时因大幅减少扫描需求，对性能提升明显，但是有些加载方法卡巴不认为是执行，导致直接过掉执行监控，可能导致病毒直接被加载，存在漏毒风险，例如脚本文件、pdf文件，用文本编辑器或者浏览器可以直接打开不会报毒；而当尝试用wscript.exe加载这些文件（虽然这个程序是用来执行脚本的，但可以尝试用它来加载非脚本文件来触发卡巴的执行监控），卡巴的执行监控不会报毒，而应用程序控制或者系统监控会报毒；而对于autocad加载字体、lsp这些文件的方式，不会触发卡巴的执行监控、应用程序控制或者系统监控直，导致cad病毒畅通无阻。

Jirehlov1234

是这样的，所以我建议尽量访问和修改时扫描，实在有性能顾虑那至少也得是智能扫描，不然主防压力太大了

bbszy

Jirehlov1234 发表于 2024-6-15 08:01
是这样的，所以我建议尽量访问和修改时扫描，实在有性能顾虑那至少也得是智能扫描，不然主防压力太大了

智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有一定的延迟扫描。

执行监控应该搭配写入监控会好一些，但是可惜设置里没有这个搭配。

那你是选择监控所有文件还是默认的根据文件类型来？我个人不喜欢mitm，所以是关了加密链接扫描的，这样文件监控就应该设置严密，我看了下日志，chrome的缓存文件在选择根据文件类型扫描时是被监控的。

Jirehlov1234

bbszy 发表于 2024-6-15 00:11
智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有 ...

建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

bbszy

Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

复合文件的8m大小限制你觉得要改么

Jirehlov1234

bbszy 发表于 2024-6-15 00:18
复合文件的8m大小限制你觉得要改么

这个是真吃性能，量力而行就可以。

bbszy

Jirehlov1234 发表于 2024-6-15 08:24
这个是真吃性能，量力而行就可以。

我一直不太清楚这个8m怎么来的，好像卡巴6.0的时候就是这个数字。
调的更小，性能方面会有明显获益么（如果安全方面不太受影响的话）

pal家族

bbszy 发表于 2024-6-15 08:18
复合文件的8m大小限制你觉得要改么

我给设置了160MB以上才不解压复合文件
主要是看到好多老六都是什么msi格式 还是exe格式的安装包 越来越大

bbszy

pal家族 发表于 2024-6-15 08:29
我给设置了160MB以上才不解压复合文件
主要是看到好多老六都是什么msi格式 还是exe格式的安装包 越来越 ...

扫描模式、文件类型你有改么

Jirehlov1234

bbszy 发表于 2024-6-15 00:28
我一直不太清楚这个8m怎么来的，好像卡巴6.0的时候就是这个数字。
调的更小，性能方面会有明显获益么（ ...

取决于平时这些文件多不多吧，因人而异。

bbszy

Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

特殊照顾具体是指什么呢

pal家族

bbszy 发表于 2024-6-15 08:37
扫描模式、文件类型你有改么

没动。智能模式&根据内容
复合文件那块我勾选了分发包。

bbszy

pal家族 发表于 2024-6-15 08:49
没动。智能模式&根据内容
复合文件那块我勾选了分发包。

amsi里也同样勾选分发包么

ジ蓅暒划过づ

照这样看是不是用智能模式然后选所有文件最好？

pal家族

bbszy 发表于 2024-6-15 08:54
amsi里也同样勾选分发包么

恩是的

PanzerVIIIMaus

bbszy 发表于 2024-6-15 08:11
智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有 ...

Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本，
·按访问扫描只设定写入扫描+关闭月神
样本开始工作明显可见，随后被ML Protect Cloud击杀
·重新启用月神，双击
双击按访问扫描杀，样本没有开始工作
·重新关闭月神
样本开始工作明显可见，随后被ML Protect Cloud击杀

——难怪官方的说明书并没有明确在“扫描时间”警告用户不要乱动，看来Trellix新的性能优化方法出现了

bbszy

PanzerVIIIMaus 发表于 2024-6-15 13:47
Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本，
·按访问扫描只设定写入扫描+关闭 ...

个人觉得还不能严格算写入+执行
因为按访问扫描的扫描方式只有要么写入+读取，要么写入和读取里任选其一
然后自适应防护是单独的组件，相当于按访问扫描之外的执行扫描，首先会筛选信誉，对于信誉良好的会直接跳过，未知的会持续扫描（可在日志中看到），所以这也是trellix性能不行的原因之一，两个组件重复扫描。
至于月神的检测结果，个人测试，按访问扫描里的gti调到最高，能增加一些检测率（那些双击后自适应防护能检测到的），但是也不能替代自适应防护（还是有一些自适应防护能单独检测到的）。
我又看了下trellix和卡巴设置的区别，trellix没有不扫描复合文件的选项，只有限制扫描时间，复合文件解包也是卡顿的来源之一。

bbszy

ジ蓅暒划过づ 发表于 2024-6-15 10:51
照这样看是不是用智能模式然后选所有文件最好？

铁壳的默认设置是访问+修改时扫描，且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根据信誉跳过的选项（日志里没发现），根据我从6.0开始用卡巴的感觉，默认设置根据文件格式+智能模式基本也足够。如果没有开加密流量扫描，建议开监控所有文件。

ジ蓅暒划过づ

bbszy 发表于 2024-6-15 20:30
铁壳的默认设置是访问+修改时扫描，且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根 ...

不开加密扫描容易从一些https里面下载到有毒文件，所以才要扫描所有文件吧。

bbszy

ジ蓅暒划过づ 发表于 2024-6-15 20:47
不开加密扫描容易从一些https里面下载到有毒文件，所以才要扫描所有文件吧。

https://bbs.kafan.cn/forum.php?m ... 04&pid=54719189

不开加密流量扫描可能还是有局限性，但是比较小