McAfee R122 已发布

显示全部楼层 · 发表于 2024-8-30 18:41:01

咖啡好像是根据后缀名识别文件类型的？

显示全部楼层 · 发表于 2024-8-30 19:03:36

bbszy 发表于 2024-8-30 18:41
咖啡好像是根据后缀名识别文件类型的？

应该不是，毕竟之前那些样本包没有扩展名的右键扫描是能正常杀的，log里is_pe标签也是true。

显示全部楼层 · 发表于 2024-8-30 21:00:23

hansyu 发表于 2024-8-30 17:43
不不不，刚刚发现.hta和.msi文件已经纳入监控范围，双击可以杀了。

他们既然意识到有问题，为何不一开始就做好

显示全部楼层 · 发表于 2024-8-30 21:11:13

hansyu 发表于 2024-8-30 17:43
不不不，刚刚发现.hta和.msi文件已经纳入监控范围，双击可以杀了。

话说常见文件类型还有咖啡不监控的吗

显示全部楼层 · 发表于 2024-8-31 13:25:30

本帖最后由 hansyu 于 2024-8-31 13:27 编辑

微信发表于 2024-8-30 21:11
话说常见文件类型还有咖啡不监控的吗

没有实机条件验证，.hta和.lnk文件是否能监控存疑。
我用win11实机Sandboxie打开hta和lnk文件都被咖啡监控阻止并杀掉。
但是win10虚拟机里面同一个hta文件不管是直接双击还是用Sandboxie打开都不会杀；lnk文件则是用Sandboxie打开杀，直接双击没反应。
不知道实机直接双击hta和lnk会不会杀。
另外，.msc文件不管是直接双击还是用Sandboxie打开都不杀。

显示全部楼层 · 发表于 2024-8-31 19:02:48

hansyu 发表于 2024-8-31 13:25
没有实机条件验证，.hta和.lnk文件是否能监控存疑。
我用win11实机Sandboxie打开hta和lnk文件都被咖啡监 ...

我来试试，有样本链接吗

显示全部楼层 · 发表于 2024-8-31 21:59:29

本帖最后由 hansyu 于 2024-8-31 22:00 编辑

微信发表于 2024-8-31 19:02
我来试试，有样本链接吗

下列样本手动扫描都可以杀。

这个是msc，msc监控应该是不会杀，实机Sandboxie运行和虚拟机直接双击都没反应。
msc 1X_病毒样本分享&分析区_安全区卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

这个lnk应该是比较特殊，实机Sandboxie运行能被咖啡阻止并删除，虚拟机SBIE运行也可以杀，但是虚拟机直接双击没反应。
2x #signed #LNK_病毒样本分享&分析区_安全区卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

这个包里既有lnk也有hta，还有msi。msi文件已经确认监控可以阻止，不管是实机还是虚拟机。这包里的hta和lnk我没在实机SBIE里试过，但是虚拟机里不管是直接双击还是SBIE运行都不阻止也不杀本体，虽然hta可以被RPSuspect规则拦截危险行为。
【开放测试】卡饭病毒样本包 20240825 第159期_病毒样本分享&分析区_安全区卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

显示全部楼层 · 发表于 2024-9-4 10:35:06

日常等待R122推送，R121别的都还好，但是近一个来月多次出现扫描病毒样本包时UI崩溃的情况，之前从未出现过的，不知道R122能否修复

显示全部楼层 · 发表于 2024-9-4 12:07:19

窗口变圆角好啊，我早就想说，卡巴窗口就是直角看着很别扭，和win11不搭，有没有大佬反馈一下

显示全部楼层 · 发表于 2024-9-4 22:21:44

1073328164 发表于 2024-9-4 10:35
日常等待R122推送，R121别的都还好，但是近一个来月多次出现扫描病毒样本包时UI崩溃的情况，之前从未出现过 ...

我不怎么经常扫样本包，所以暂时没遇到UI崩溃的情况。你可以等R122来测试下。

[资讯] McAfee R122 已发布