样本 1X

显示全部楼层 · 发表于 2024-8-28 15:53:45

驭龙发表于 2024-8-28 11:55
我是头一次见SAC不拦截的情况，之前没有失手过，所以我才实机测一下，心想，还有MDB兜底，结果，真的气死 ...

龙大，这是不是你昨天说的装了mdb，不出现ml报法的情况？因为我看我这边正常拦截的，报法和小哥相同

显示全部楼层 · 发表于 2024-8-28 16:23:50

本帖最后由驭龙于 2024-8-28 16:39 编辑

郢都离人发表于 2024-8-28 15:53
龙大，这是不是你昨天说的装了mdb，不出现ml报法的情况？因为我看我这边正常拦截的，报法和小哥相同

MDB是有ML的，我这里已经解决MDB控制台默认MD设置覆盖本地MD设置的问题，现在基本确认是SAC与MD监控有冲突，导致MD监控半残了，与MDB没关系了，之前没发现是因为我之前下载就压缩包无奈拉黑，就没有测监控，实际上与我安装不安装MDB没关系。

我已经搞清楚MDB覆盖本地设置的原因，只需要把MDB控制台的默认MDAV规则删除，不使用云端部署的规则，就不会把MD本地的设置覆盖。

显示全部楼层 · 发表于 2024-8-28 16:25:40

驭龙发表于 2024-8-28 16:23
MDB是有ML的，我这里已经解决MDB控制台默认MD设置覆盖本地MD设置的问题，现在基本确认是SAC与MD监控有冲 ...

现在基本确认是SAC与MD监控有冲突

龙大，这个问题好解决吗?

显示全部楼层 · 发表于 2024-8-28 16:28:21

莒县小哥发表于 2024-8-28 16:25
龙大，这个问题好解决吗?

我在MD日志中都看不到我运行的楼主那个样本，也就是说MD根本没监控那个文件，所以我双击才漏了，目前没想到什么解决办法，我需要进一步研究研究

显示全部楼层 · 发表于 2024-8-28 16:51:54

驭龙发表于 2024-8-28 16:28
我在MD日志中都看不到我运行的楼主那个样本，也就是说MD根本没监控那个文件，所以我双击才漏了，目前没想 ...

好的龙大

显示全部楼层 · 发表于 2024-8-28 16:58:31

莒县小哥发表于 2024-8-28 16:51
好的龙大

我在C:\ProgramData\Microsoft\Windows Defender\Support\日志中发现一堆错误代码，感觉就是出问题了，不知道是不是SAC锁文件，还是什么原因。

IDynamicConfig::ReportError value=BruteForceProtectionIPExclusion hr=0x8007007b
IDynamicConfig::ReportError value=BruteForceProtectionStatus hr=0x8007007b
IDynamicConfig::ReportError value=DisableGradualRelease hr=0x8007007b
IDynamicConfig::ReportError value=EnableFileHashComputation hr=0x8007007b
IDynamicConfig::ReportError value=MpCampRing hr=0x8007007b
IDynamicConfig::ReportError value=MpEngineRing hr=0x8007007b
IDynamicConfig::ReportError ECS value=EnableAdsSymlinkMitigation_MpRamp hr=0x800700d4
IDynamicConfig::ReportError ECS value=EnableBmProcessInfoMetastoreMaintenance_MpRamp hr=0x800700d4
IDynamicConfig::ReportError ECS value=EnableCIWorkaroundOnCFAEnabled_MpRamp hr=0x8007007b
IDynamicConfig::ReportError ECS value=MdTimerInitalDelay hr=0x800700d4
IDynamicConfig::ReportError ECS value=MdTimerMonitorInterval hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpCopyAcceleratorCancellableCopyState hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpDisablePropBagNotification hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpEnablePurgeHipsCache hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpForceDllHostScanExeOnOpen hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpDisableResourceMonitoring hr=0x8007007b
IDynamicConfig::ReportError ECS value=MdDisableResController hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpEnableNoMetaStoreProcessInfoContainer hr=0x800700d4
IDynamicConfig::ReportError ECS value=MpFc_Kernel_DisableOfficeInjectUevSuppression hr=0x8007007b

2024-08-28T06:58:16.015 Using action MP_THREAT_ACTION_QUARANTINE(2), since failed to get action for threat (id - 0x80065702, sev - 5, category - 8). hr = 0x80070002

显示全部楼层 · 发表于 2024-8-28 17:04:15

驭龙发表于 2024-8-28 16:58
我在C:\ProgramData\Microsoft\Windows Defender\Support\日志中发现一堆错误代码，感觉就是出问题了，不 ...

龙大，应该不是个例，我两台电脑都试过。监控都是挂的。我是小白一个，一直没弄明白，索性把它关了

显示全部楼层 · 发表于 2024-8-28 17:06:26

ESET

显示全部楼层 · 发表于 2024-8-28 17:08:05

莒县小哥发表于 2024-8-28 17:04
龙大，应该不是个例，我两台电脑都试过。监控都是挂的。我是小白一个，一直没弄明白，索性把它关了

我老爷机电脑没开SAC，我有时间去给它部署MDB，看看会不会有异常，如果一切正常，MDB嘎嘎乱杀的话，那就是SAC与MD监控有冲突，应该是SAC会跟MD抢DSS使用权，或者是SAC会锁文件，又或者SAC权限比MD监控高，导致MD监控废了。

我这边不单单监控废了，现在都无法删除病毒文件

显示全部楼层 · 发表于 2024-8-28 17:10:36

驭龙发表于 2024-8-28 17:08
我老爷机电脑没开SAC，我有时间去给它部署MDB，看看会不会有异常，如果一切正常，MDB嘎嘎乱杀的话，那就 ...

对，龙大

[病毒样本] 样本 1X

本帖子中包含更多资源

本帖子中包含更多资源