楼主: bbszy
收起左侧

[交流探讨] 关于执行监控的局限性

[复制链接]
ジ蓅暒划过づ
发表于 2024-6-15 21:03:54 来自手机 | 显示全部楼层
bbszy 发表于 2024-6-15 20:50
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2269804&pid=54719189

不开加密流 ...

那好像还是默认设置稳定点。。
bbszy
 楼主| 发表于 2024-6-15 21:34:59 | 显示全部楼层
本帖最后由 bbszy 于 2024-6-15 22:40 编辑
Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件,因为卡巴对反序PE等等都特殊照顾,根据文件类型就跳过了。

而且我感觉启发可能有必要开中,一个是最近遇到的中能扫描出来的低扫描不出来的样本比原来多,二是中相对低对性能的影响没有很大,特别是在iswift和ichecker的加持下。
ジ蓅暒划过づ
发表于 2024-6-15 22:03:34 来自手机 | 显示全部楼层
bbszy 发表于 2024-6-15 21:34
而且我感觉启发可能有必要开中,一个是最近遇到的中能扫描出来的低扫描不出来的样本比原来多,二是中和低 ...

这两个功能我还是不太清楚用处
PanzerVIIIMaus
发表于 2024-6-15 22:30:45 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2024-6-15 22:38 编辑
bbszy 发表于 2024-6-15 19:16
个人觉得还不能严格算写入+执行
因为按访问扫描的扫描方式只有要么写入+读取,要么写入和读取里任选其一 ...

我的意思是,在只勾选写入扫描的情况下(已经二选一了,把读取扫描取消勾选了),按访问扫描仍旧侦测到双击的样本
而非自适应防护模块替代执行扫描
这种情况下,我认为可以将Trellix的执行扫描视作一个“隐藏且始终启用”的能力

“关掉月神(在仅月神检出的样本当中)按访问扫描等于没开
流程上应当是这个倾向
当然,我的测试方法不够严格意义上的充分(没有直接关掉按访问扫描)
我知道那个样本的性质是相对安全的,但我不希望让一个我视为样本的东西真的运行”
bbszy
 楼主| 发表于 2024-6-15 22:39:42 | 显示全部楼层
PanzerVIIIMaus 发表于 2024-6-15 22:30
我的意思是,在只勾选写入扫描的情况下(已经二选一了,把读取扫描取消勾选了),按访问扫描仍旧侦测到双 ...

我印象中 自适应防护的弹窗标题也是按访问扫描
PanzerVIIIMaus
发表于 2024-6-15 22:44:39 | 显示全部楼层
bbszy 发表于 2024-6-15 22:39
我印象中 自适应防护的弹窗标题也是按访问扫描

自适应MLPC,在Win10不弹自己的窗,只使用系统内建弹窗

日志中也体现了这个特殊现象
按访问扫描只杀样本,并且报月神,隔离区对象数量1(只有本体)
MLPC不仅杀了样本,而且隔离区数量4,包含注册表键之类的东西
bbszy
 楼主| 发表于 2024-6-15 23:06:48 | 显示全部楼层
PanzerVIIIMaus 发表于 2024-6-15 22:44
自适应MLPC,在Win10不弹自己的窗,只使用系统内建弹窗

日志中也体现了这个特殊现象

我去看了下 你说的对的
众生悟道
发表于 2024-6-15 23:18:05 | 显示全部楼层
咋设置都没用,最重要的还是在于算法和杀毒引擎,如果是一个以目前手段无法检测的未知威胁,你拦截扫描一点用都没有,因为扫不出来啊,所以感觉卡巴还是要大量加强KSN的处理能力,现在越堆越多,这是不行的,最好的效果就是KSN对未知文件马上就能处理,不堆积,这就厉害了,新的未知文件马上确定安全性,这是最牛逼的,小公司还是能力有限,如果是国家的话,直接上超级计算机,需要人工处理的,安排大量安全专家处理,那该多牛逼啊
bbszy
 楼主| 发表于 2024-6-15 23:21:28 | 显示全部楼层
众生悟道 发表于 2024-6-15 23:18
咋设置都没用,最重要的还是在于算法和杀毒引擎,如果是一个以目前手段无法检测的未知威胁,你拦截扫描一点用 ...

你和我说的是两个方面的事情
bbszy
 楼主| 发表于 2024-6-15 23:30:38 | 显示全部楼层
本帖最后由 bbszy 于 2024-6-16 00:08 编辑
PanzerVIIIMaus 发表于 2024-6-15 22:30
我的意思是,在只勾选写入扫描的情况下(已经二选一了,把读取扫描取消勾选了),按访问扫描仍旧侦测到双 ...

试试官方的月神检测文件呢?这个只是用来测试月神云的连接性的
Mcafee.rar (801.86 KB, 下载次数: 79)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:59 , Processed in 0.095598 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表