【12/19完美对比录屏】卡巴全系列“实时监控”的灵敏度，还是差强人意啊！

显示全部楼层 · 发表于 2024-12-11 15:49:01

本帖最后由 Balaor 于 2024-12-19 15:02 编辑

很早以前的版本就提过，最新的21.19依然如此。。

同一个病毒样本，解压后有时能检测出，有时又检测不到(需要手动扫描)；

可能刚刚检测到了，隔一会儿又监控不到了；；跟缓存无关！

也可能刚刚没有监控到，隔一阵子又监控到了。。。

这种“实时监控”让人担忧！（强迫症）

PS：这个问题，应该是普遍存在的吧？

以下附件为本论坛病毒区样本，仅用于测试卡巴监控灵敏度！谢谢！！

1_卡巴监控灵敏度测试_infected.7z (148.8 KB, 下载次数: 67)

显示全部楼层 · 发表于 5 天前

awsl10000次发表于 2024-12-13 00:29
刚才又试了一下，也是解压就秒
所以楼主的复现场景是
样本先存在于电脑里，然后安装卡巴，这种情况下会 ...

经过这么多天的讨论，楼主基本上可以下结论了：卡巴的“实时监控策略”如此！！（对于先于卡巴存在的样本）
卡巴的确存在楼主描述的场景：即，先于卡巴在本地存在样本，这类样本解压到本地，卡巴基本上是无视的！（无关乎设置问题）。

这么多楼层的各位老铁的回复以及测试，没能复现？是因为你们从1楼下载样本时，本地已经安装了卡巴。这样先有卡巴，再有样本的场景下，解压带毒样本，卡巴的监控是会干活的。

我本人从1楼下载的附件，解压也是即秒。。。而在我本地上传的源文件（1楼附件)，先于卡巴存在，解压时卡巴是不会监控的。
有一种情况，先于卡巴存在的样本，卡巴监控会报，就是从A分区复制到B分区。如果在同一个分区移动，首次解压卡巴也是不报的。

至于卡巴的这种监控策略是好是坏，不好定论！但对于安全来讲也无伤大雅吧！！！

但正如一开始所说，如果电脑始终是卡巴，那当然无需担心安全，因为样本原本卡巴就能查杀，只是没监控到。。
但是，如果更换了安全软件，且新的安全软件又不能查杀此“已解压的样本”，那么危险还是存在的。。

这些天我一直在跟踪测试这个场景，结论应该就是如此了。@Wesly.Zhang

另外，还有一个疑问：同样是报UDS：的两个样本，一个解压时即秒UDS：，而另一个却忽略了。。。

PS：87#老铁，你再测试先前下载的样本，大概率还是解压即秒。因为你下载样本时，已经安装卡巴了。。首次解压能报，后面也差不多会报。

显示全部楼层 · 发表于 3 天前

多变的风向发表于 2024-12-19 13:39
AVAST也不能做到全部都是解压就杀掉诺顿我也没用过不清楚小红伞也有延迟的麦咖啡企业版我很早之前装过 ...

楼主并不是纠结卡巴的这个实时监控问题。

帖子的目的，主要两个：@Wesly.Zhang
1 一是为了验证一下，卡巴的监控策略是不是如此？；
毕竟每个软件都会有自己的策略；如果卡巴设计并非如此，那么肯定就是问题，提出来可以让官方改进；如果设计如此，那没啥可讨论的了；

2 再一个，给卡巴用户的一个提醒；
通过楼主测试的场景，卡巴的确客观存在描述的问题；卡巴用户能接受此种策略就继续使用，不能接受就更换；

显示全部楼层 · 发表于 2024-12-11 15:56:07

把文件监控设置为最高，重新测试一下

显示全部楼层 · 发表于 2024-12-11 16:00:21

驭龙发表于 2024-12-11 15:56
把文件监控设置为最高，重新测试一下

嗯，这个倒是没有测试。。

我一般用的默认设置的，老铁。

其他安全软件也是默认设置，基本上不会有这种问题，要么就一直监控不到（没入库）；要么能监控后以后就每次都能监控的，，，不像卡巴这个默认监控模式，反反复复哎！！

显示全部楼层 · 发表于 2024-12-11 16:05:09

Balaor 发表于 2024-12-11 16:00
嗯，这个倒是没有测试。。

我一般用的默认设置的，老铁。

不存在漏毒的，卡巴只要能识别的威胁，双击运行必然拦截，卡巴的默认是为大多数普通用户提供流畅性的体验，实际上并不影响安全性。

要知道国外的迈克菲个人版，连文件读写监控都没有，只剩下执行监控，依然不容易出现安全隐患

显示全部楼层 · 发表于 2024-12-11 16:07:59

比如，截图中的三个样本，确定是带毒样本。。

正常情况下：
第一个e开头的，卡巴检测为：“UDS：”；
第二个B开头的，卡巴检测为：“HEUR：”
第三个V开头的，卡巴检测为：“UDS：”

不正常时，三个样本同时解压，第一个能实时监控到；而第二个，第三个，就被无视了；；
间隔那么一段时间，你再解压这三个样本，都能监控到了；；你又在隔那么一段时间，有可能检测到其中一个，有可能全部监控不到。。

哎，卡巴其他方面都好，就是这监控策略也是没谁了。。

显示全部楼层 · 发表于 2024-12-11 16:11:55

驭龙发表于 2024-12-11 16:05
不存在漏毒的，卡巴只要能识别的威胁，双击运行必然拦截，卡巴的默认是为大多数普通用户提供流畅性的体验 ...

嗯！话虽如此！，但是，这种监控策略，很容易导致PC上留下很多“毒种”了。。。万一换了一块安全软件不能搞定这些遗留的样本呢！

PS：McAfee的企业版，实时监控灵敏度是最棒的。。她要么就不认识，只要她认识到的，，任何时候必定是手起刀落。。

显示全部楼层 · 发表于 2024-12-11 16:14:12

Balaor 发表于 2024-12-11 16:11
嗯！话虽如此！，但是，这种监控策略，很容易导致PC上留下很多“毒种”了。。。万一换了一块安全软件不 ...

不存在有残留的啊，SW有回滚操作，问题不大

显示全部楼层 · 发表于 2024-12-11 16:23:51

驭龙发表于 2024-12-11 16:14
不存在有残留的啊，SW有回滚操作，问题不大

老铁误解了，，，

我意思是，某个办公软件带毒了，解压后卡巴监控没理会(原本卡巴能检测)，用户也没有双击；那么这个样本是不是就留在电脑上了？

等到后续换了一款安全软件，而用户又想起来要用到这个办公软件时，再双击运行恰巧这款新安软又不能识别办公软件中的毒种，那是不是就危险了？？

显示全部楼层 · 发表于 2024-12-11 16:31:08

1_卡巴监控灵敏度测试_infected.7z (148.8 KB, 下载次数: 9)

显示全部楼层 · 发表于 2024-12-11 16:34:57

驭龙发表于 2024-12-11 16:14
不存在有残留的啊，SW有回滚操作，问题不大

上图中，是卡巴默认设置“实时监控”正常的时候；；

不正常的时候，有时一个都监控不到，有时一个，有时两个；

总之，就是很随意的样子！21.19亦然！。。。

[交流探讨] 【12/19完美对比录屏】卡巴全系列“实时监控”的灵敏度，还是差强人意啊！