楼主: bbszy
收起左侧

[交流探讨] 关于执行监控的局限性

[复制链接]
PanzerVIIIMaus
发表于 2024-6-16 09:39:05 | 显示全部楼层
bbszy 发表于 2024-6-15 23:30
试试官方的月神检测文件呢?这个只是用来测试月神云的连接性的

先行关闭了按访问扫描再解压
打开按访问扫描再双击
可执行文件都双击杀
PDF文件双击没有反应
右键补刀,剩一个VSE的那个大PDF
bbszy
 楼主| 发表于 2024-6-24 02:45:55 | 显示全部楼层
PanzerVIIIMaus 发表于 2024-6-16 09:39
先行关闭了按访问扫描再解压
打开按访问扫描再双击
可执行文件都双击杀

我这边测试了下,个人感觉没有强制的执行监控,而是打开的过程中触发了写入监控
PanzerVIIIMaus
发表于 2024-6-24 03:05:06 | 显示全部楼层
bbszy 发表于 2024-6-24 02:45
我这边测试了下,个人感觉没有强制的执行监控,而是打开的过程中触发了写入监控

emmm……类似于新打开的程序写临时文件被回溯了?
bbszy
 楼主| 发表于 2024-6-24 12:50:39 | 显示全部楼层
PanzerVIIIMaus 发表于 2024-6-24 03:05
emmm……类似于新打开的程序写临时文件被回溯了?

不是很懂,只是猜测
ジ蓅暒划过づ
发表于 2024-7-15 21:38:17 来自手机 | 显示全部楼层
发现一个问题,好像卡巴文件监控用执行时扫描,解压一些病毒样本不用双击也自动杀了
bbszy
 楼主| 发表于 2024-7-16 09:33:29 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-7-15 21:38
发现一个问题,好像卡巴文件监控用执行时扫描,解压一些病毒样本不用双击也自动杀了

那是因为解压过程中有的进程有读取操作,被认为是执行了。
ジ蓅暒划过づ
发表于 2024-7-16 10:52:49 来自手机 | 显示全部楼层
bbszy 发表于 2024-7-16 09:33
那是因为解压过程中有的进程有读取操作,被认为是执行了。

Eset也设置执行监控不过没双击的话没反应,不可否认卡巴这点做的挺好
bbszy
 楼主| 发表于 2024-7-16 11:17:07 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-7-16 10:52
Eset也设置执行监控不过没双击的话没反应,不可否认卡巴这点做的挺好

我是感觉仅有执行监控不太安全,又不是只有exe、dll才是病毒
ジ蓅暒划过づ
发表于 2024-7-16 11:27:19 来自手机 | 显示全部楼层
bbszy 发表于 2024-7-16 11:17
我是感觉仅有执行监控不太安全,又不是只有exe、dll才是病毒

我也觉得不太安全,不过我只是比较好奇卡巴的执行监控好像和别的不太一样
bbszy
 楼主| 发表于 2024-7-16 15:13:36 | 显示全部楼层
ジ蓅暒划过づ 发表于 2024-7-16 11:27
我也觉得不太安全,不过我只是比较好奇卡巴的执行监控好像和别的不太一样

只是识别策略不一样
在执行监控下,卡巴除了文件的双击执行,对于文件加载也会检测,但也只检测部分类型文件的加载和部分宿主加载文件的方式。所以个别情况下 解压会触发。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:01 , Processed in 0.088452 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表