为啥ESET NOD32 杀毒防不住这个病毒呢？

ジ蓅暒划过づ

驭龙 发表于 2024-11-4 20:43
这种不算是漏毒吧？毕竟是从虚拟机共享文件夹感染的，样本在虚拟机内存，然后感染共享文件夹本地文件，这 ...

有eset的地方就有龙大哈哈

驭龙

ジ蓅暒划过づ 发表于 2024-11-4 21:10
有eset的地方就有龙大哈哈

这种穿虚拟机的样本，样本区很早以前就有，导致实机感染的也不在少数

ジ蓅暒划过づ

驭龙 发表于 2024-11-4 21:19
这种穿虚拟机的样本，样本区很早以前就有，导致实机感染的也不在少数

我知道呀，本来我也就看看，结果看到前面那个说eset垃圾的我就好奇他用的什么百分百防任何毒的杀软哈哈

驭龙

ジ蓅暒划过づ 发表于 2024-11-4 21:22
我知道呀，本来我也就看看，结果看到前面那个说eset垃圾的我就好奇他用的什么百分百防任何毒的杀软哈哈

正常情况下运行这种样本，一般情况下是不会漏毒的，因为AMS可以检测到，而虚拟机中的威胁，由于虚拟机的隔离性，AMS是毫无用武之地了。

但是，样本写入共享文件夹的数据没有被监控捕获，意味着ESET的文件监控确实是有弊端，这有两种可能，一是引擎的监控逻辑缺陷，二是缓存问题导致共享文件夹里之前扫描过的文件不再监控，不管是哪一种，也都算得上是ESET本身的问题，只不过这种类似的情况，正常使用应该不会出现

ジ蓅暒划过づ

驭龙 发表于 2024-11-4 21:29
正常情况下运行这种样本，一般情况下是不会漏毒的，因为AMS可以检测到，而虚拟机中的威胁，由于虚拟机的 ...

也就是说这个病毒如果不是在虚拟机里正常情况下就算监控漏了ams也会杀？

驭龙

ジ蓅暒划过づ 发表于 2024-11-4 21:34
也就是说这个病毒如果不是在虚拟机里正常情况下就算监控漏了ams也会杀？

按照ESET官方技术文档的描述，是这样的，但没有样本，所以是否真的如此，我不能确定，而且也不会有谁实机测试这种感染性样本，除非做好格式化整个硬盘的心理准备

斗极明

你要不要尝试用一下za？

bbszy

驭龙 发表于 2024-11-4 21:29
正常情况下运行这种样本，一般情况下是不会漏毒的，因为AMS可以检测到，而虚拟机中的威胁，由于虚拟机的 ...

个人认为是后者
始终觉得eset对于区分新建与已知更改的文件有问题，而且缓存时间约等于无限长

bbszy

驭龙 发表于 2024-11-4 21:36
按照ESET官方技术文档的描述，是这样的，但没有样本，所以是否真的如此，我不能确定，而且也不会有谁实机 ...

而且没有针对不同类型文件来源做差异化策略。
就跟当年u盘病毒一样，插上就中

驭龙

bbszy 发表于 2024-11-4 22:24
个人认为是后者
始终觉得eset对于区分新建与已知更改的文件有问题，而且缓存时间约等于无限长

说不定我楼上猜测的两个问题，ESET都存在，一个是引擎逻辑，一个是缓存，这有可能是导致某些情况下监控不识别威胁的根本原因，如果是驱动的问题，应该不至于十几年都无法修复这种问题，更重要的是FS筛选器驱动即便是几十KB的大小也没见过有如此漏毒的问题，这真的让人无语