关于执行监控的局限性

bbszy

Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

特殊照顾具体是指什么呢

pal家族

bbszy 发表于 2024-6-15 08:37
扫描模式、文件类型你有改么

没动。智能模式&根据内容
复合文件那块我勾选了分发包。

bbszy

pal家族 发表于 2024-6-15 08:49
没动。智能模式&根据内容
复合文件那块我勾选了分发包。

amsi里也同样勾选分发包么

ジ蓅暒划过づ

照这样看是不是用智能模式然后选所有文件最好？

pal家族

bbszy 发表于 2024-6-15 08:54
amsi里也同样勾选分发包么

恩是的

PanzerVIIIMaus

bbszy 发表于 2024-6-15 08:11
智能扫描相比访问和修改时扫描主要是少了文件打开后中间每次修改的扫描，另外根据当前负载和文件的类型有 ...

Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本，
·按访问扫描只设定写入扫描+关闭月神
样本开始工作明显可见，随后被ML Protect Cloud击杀
·重新启用月神，双击
双击按访问扫描杀，样本没有开始工作
·重新关闭月神
样本开始工作明显可见，随后被ML Protect Cloud击杀

——难怪官方的说明书并没有明确在“扫描时间”警告用户不要乱动，看来Trellix新的性能优化方法出现了

bbszy

PanzerVIIIMaus 发表于 2024-6-15 13:47
Trellix好像是可以做到写入+执行
找了一个只有月神能检测到的样本，
·按访问扫描只设定写入扫描+关闭 ...

个人觉得还不能严格算写入+执行
因为按访问扫描的扫描方式只有要么写入+读取，要么写入和读取里任选其一
然后自适应防护是单独的组件，相当于按访问扫描之外的执行扫描，首先会筛选信誉，对于信誉良好的会直接跳过，未知的会持续扫描（可在日志中看到），所以这也是trellix性能不行的原因之一，两个组件重复扫描。
至于月神的检测结果，个人测试，按访问扫描里的gti调到最高，能增加一些检测率（那些双击后自适应防护能检测到的），但是也不能替代自适应防护（还是有一些自适应防护能单独检测到的）。
我又看了下trellix和卡巴设置的区别，trellix没有不扫描复合文件的选项，只有限制扫描时间，复合文件解包也是卡顿的来源之一。

bbszy

ジ蓅暒划过づ 发表于 2024-6-15 10:51
照这样看是不是用智能模式然后选所有文件最好？

铁壳的默认设置是访问+修改时扫描，且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根据信誉跳过的选项（日志里没发现），根据我从6.0开始用卡巴的感觉，默认设置根据文件格式+智能模式基本也足够。如果没有开加密流量扫描，建议开监控所有文件。

ジ蓅暒划过づ

bbszy 发表于 2024-6-15 20:30
铁壳的默认设置是访问+修改时扫描，且扫描所有文件。但是会根据信誉跳过文件扫描。

卡巴主要是没有根 ...

不开加密扫描容易从一些https里面下载到有毒文件，所以才要扫描所有文件吧。

bbszy

ジ蓅暒划过づ 发表于 2024-6-15 20:47
不开加密扫描容易从一些https里面下载到有毒文件，所以才要扫描所有文件吧。

https://bbs.kafan.cn/forum.php?m ... 04&pid=54719189

不开加密流量扫描可能还是有局限性，但是比较小