楼主: bbszy
收起左侧

[交流探讨] 关于执行监控的局限性

[复制链接]
bbszy
 楼主| 发表于 2024-6-15 08:47:49 | 显示全部楼层
Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件,因为卡巴对反序PE等等都特殊照顾,根据文件类型就跳过了。

特殊照顾具体是指什么呢
pal家族
发表于 2024-6-15 08:49:06 | 显示全部楼层
bbszy 发表于 2024-6-15 08:37
扫描模式、文件类型你有改么

没动。智能模式&根据内容
复合文件那块我勾选了分发包。
bbszy
 楼主| 发表于 2024-6-15 08:54:08 | 显示全部楼层
pal家族 发表于 2024-6-15 08:49
没动。智能模式&根据内容
复合文件那块我勾选了分发包。

amsi里也同样勾选分发包么
ジ蓅暒划过づ
发表于 2024-6-15 10:51:49 来自手机 | 显示全部楼层
照这样看是不是用智能模式然后选所有文件最好?
pal家族
发表于 2024-6-15 12:31:11 | 显示全部楼层
bbszy 发表于 2024-6-15 08:54
amsi里也同样勾选分发包么

恩是的
PanzerVIIIMaus
发表于 2024-6-15 13:47:02 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2024-6-15 13:54 编辑
bbszy 发表于 2024-6-15 08:11
智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描,另外根据当前负载和文件的类型有 ...

Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本,
·按访问扫描只设定写入扫描+关闭月神
样本开始工作明显可见,随后被ML Protect Cloud击杀
·重新启用月神,双击
双击按访问扫描杀,样本没有开始工作
·重新关闭月神
样本开始工作明显可见,随后被ML Protect Cloud击杀

——难怪官方的说明书并没有明确在“扫描时间”警告用户不要乱动,看来Trellix新的性能优化方法出现了
bbszy
 楼主| 发表于 2024-6-15 19:16:35 | 显示全部楼层
PanzerVIIIMaus 发表于 2024-6-15 13:47
Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本,
·按访问扫描只设定写入扫描+关闭 ...

个人觉得还不能严格算写入+执行
因为按访问扫描的扫描方式只有要么写入+读取,要么写入和读取里任选其一
然后自适应防护是单独的组件,相当于按访问扫描之外的执行扫描,首先会筛选信誉,对于信誉良好的会直接跳过,未知的会持续扫描(可在日志中看到),所以这也是trellix性能不行的原因之一,两个组件重复扫描。
至于月神的检测结果,个人测试,按访问扫描里的gti调到最高,能增加一些检测率(那些双击后自适应防护能检测到的),但是也不能替代自适应防护(还是有一些自适应防护能单独检测到的)。
我又看了下trellix和卡巴设置的区别,trellix没有不扫描复合文件的选项,只有限制扫描时间,复合文件解包也是卡顿的来源之一。
bbszy
 楼主| 发表于 2024-6-15 20:30:18 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-6-15 10:51
照这样看是不是用智能模式然后选所有文件最好?

铁壳的默认设置是访问+修改时扫描,且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根据信誉跳过的选项(日志里没发现),根据我从6.0开始用卡巴的感觉,默认设置根据文件格式+智能模式基本也足够。如果没有开加密流量扫描,建议开监控所有文件。
ジ蓅暒划过づ
发表于 2024-6-15 20:47:50 来自手机 | 显示全部楼层
bbszy 发表于 2024-6-15 20:30
铁壳的默认设置是访问+修改时扫描,且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根 ...

不开加密扫描容易从一些https里面下载到有毒文件,所以才要扫描所有文件吧。
bbszy
 楼主| 发表于 2024-6-15 20:50:02 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-6-15 20:47
不开加密扫描容易从一些https里面下载到有毒文件,所以才要扫描所有文件吧。

https://bbs.kafan.cn/forum.php?m ... 04&pid=54719189

不开加密流量扫描可能还是有局限性,但是比较小
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:40 , Processed in 0.095845 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表