关于执行监控的局限性

ジ蓅暒划过づ

bbszy 发表于 2024-6-15 20:50
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2269804&pid=54719189

不开加密流 ...

那好像还是默认设置稳定点。。

bbszy

Jirehlov1234 发表于 2024-6-15 08:17
建议是所有文件，因为卡巴对反序PE等等都特殊照顾，根据文件类型就跳过了。

而且我感觉启发可能有必要开中，一个是最近遇到的中能扫描出来的低扫描不出来的样本比原来多，二是中相对低对性能的影响没有很大，特别是在iswift和ichecker的加持下。

ジ蓅暒划过づ

bbszy 发表于 2024-6-15 21:34
而且我感觉启发可能有必要开中，一个是最近遇到的中能扫描出来的低扫描不出来的样本比原来多，二是中和低 ...

这两个功能我还是不太清楚用处

PanzerVIIIMaus

bbszy 发表于 2024-6-15 19:16
个人觉得还不能严格算写入+执行
因为按访问扫描的扫描方式只有要么写入+读取，要么写入和读取里任选其一 ...

我的意思是，在只勾选写入扫描的情况下（已经二选一了，把读取扫描取消勾选了），按访问扫描仍旧侦测到双击的样本
而非自适应防护模块替代执行扫描
这种情况下，我认为可以将Trellix的执行扫描视作一个“隐藏且始终启用”的能力

“关掉月神（在仅月神检出的样本当中）按访问扫描等于没开
流程上应当是这个倾向
当然，我的测试方法不够严格意义上的充分（没有直接关掉按访问扫描）
我知道那个样本的性质是相对安全的，但我不希望让一个我视为样本的东西真的运行”

bbszy

PanzerVIIIMaus 发表于 2024-6-15 22:30
我的意思是，在只勾选写入扫描的情况下（已经二选一了，把读取扫描取消勾选了），按访问扫描仍旧侦测到双 ...

我印象中 自适应防护的弹窗标题也是按访问扫描

PanzerVIIIMaus

bbszy 发表于 2024-6-15 22:39
我印象中 自适应防护的弹窗标题也是按访问扫描

自适应MLPC，在Win10不弹自己的窗，只使用系统内建弹窗

日志中也体现了这个特殊现象
按访问扫描只杀样本，并且报月神，隔离区对象数量1（只有本体）
MLPC不仅杀了样本，而且隔离区数量4，包含注册表键之类的东西

bbszy

PanzerVIIIMaus 发表于 2024-6-15 22:44
自适应MLPC，在Win10不弹自己的窗，只使用系统内建弹窗

日志中也体现了这个特殊现象

我去看了下 你说的对的

众生悟道

咋设置都没用,最重要的还是在于算法和杀毒引擎,如果是一个以目前手段无法检测的未知威胁,你拦截扫描一点用都没有,因为扫不出来啊,所以感觉卡巴还是要大量加强KSN的处理能力,现在越堆越多,这是不行的,最好的效果就是KSN对未知文件马上就能处理,不堆积,这就厉害了,新的未知文件马上确定安全性,这是最牛逼的,小公司还是能力有限,如果是国家的话,直接上超级计算机,需要人工处理的,安排大量安全专家处理,那该多牛逼啊

bbszy

众生悟道 发表于 2024-6-15 23:18
咋设置都没用,最重要的还是在于算法和杀毒引擎,如果是一个以目前手段无法检测的未知威胁,你拦截扫描一点用 ...

你和我说的是两个方面的事情

bbszy

PanzerVIIIMaus 发表于 2024-6-15 22:30
我的意思是，在只勾选写入扫描的情况下（已经二选一了，把读取扫描取消勾选了），按访问扫描仍旧侦测到双 ...

试试官方的月神检测文件呢？这个只是用来测试月神云的连接性的
Mcafee.rar (801.86 KB, 下载次数: 79)

2024-6-16 00:08 上传

点击文件名下载附件