关于默认状态的ESET防御移动设备威胁能力讨论【设备控制功能很好用】更正不正确的地方

驭龙

在发帖之前并没有完整测试，今天我安装EES以后，一下午都在测试，我简单说一下，ESET在没有开启设备控制的情况下也可以阻止移动存储设备的威胁内容，并不算是没有防御能力，只是强度没有开启设备控制高，因此之前的说法并不完全准确，只能说开启设备控制还是比不开好一些。

下次发帖之前，我还是先测试一下吧，官方的文本介绍也不一定完全符合实际情况，默认情况下，ESET是可以删除移动存储设备上的威胁，不过有一种情况，那就是开机之前插上移动存储设备，然后开机，再访问移动存储设备的威胁文件夹时，ESET有可能出现不报的情况。

正常状态下，访问移动存储设备的威胁所在文件夹。
云ELG都是可以正常工作的。


但是，对于个别文件内有黑文件的，单单访问所在文件夹是不会报的，需要手动扫描。

这文件内有黑文件，正常访问，监控没反应。


手动扫描文件夹，拆包发现里面的黑文件，才删除文件。


因此，之前的结论并不正确，实际上没有设备控制的情况下，ESET正常还是可以防一些移动存储设备的威胁，不过开启设备控制还是有好处的。


这边开启设备控制以后，会多加载两个驱动，一个是可以控制移动设备访问的设备控制监控驱动edevmon.sys，以及一个文件系统阻止驱动edevmonm.sys。


这两个驱动中的文件系统阻止驱动，应该是阻止访问移动设备文件的，具体用途，尚未测试。

企业版EES 12.0.2045版本，关闭设备控制也会提醒降低防御移动存储威胁的安全性啊。


看来仅靠ESET自己显示的文本内容，不能代表完全准确无误，这次是我心急了，没有测试就发帖，所以有一些不正确的地方，真的很抱歉。


虽然说之前因为上图中的描述，导致之前的帖子内容有错误，但有一点是肯定的，开启设备控制，必然加强防御移动存储设备威胁的能力，至于是否有大提升，不好说。

不过在我测试过程中，解压过的威胁压缩包双击访问会出现错误，不确定是不是设备控制阻止的结果，但其他的威胁压缩包并没有这种报错的情况。


总之一句话，还是开启设备控制吧，这功能还是有用处的，其他漏毒不漏毒的，还是无解的问题。

最后说一句，之前没有测试就发帖是我的错，很抱歉，下次我还是测试完成以后在发帖吧。

驭龙

ジ蓅暒划过づ 发表于 2025-1-16 12:01
上次那个好像也是共享文件夹问题

是的，所以我才怀疑ESET对非本地磁盘的监控逻辑有问题，这情况不能用其他杀毒软件对比，其他的都可以直接秒毒。

当然移动硬盘这个问题，也因为我是昨晚刚刚发现设备控制的警报就发帖了，没有完整测试过，所以也有可能我是错的

爱杀毒的韩钦德

骞村害鏈

merlynz

谢谢大神提醒，没想到ESET默认不防移动设备。
EES 5, 也是默认没开 Device Control

pal家族

不太懂这个功能不就是单独让hips控制用户防护移动设备吗？
理论上企业版肯定是可以根须需求禁用系统对各类外界设备的读取的，可以按照设备类型分，也可以按照总线类型来分。比如禁止系统访问某几个pcie通道，sata通道啥的。
和杀软本身对移动设备的权限怎么会有关系呢？
移动硬盘不就是一个硬盘吗，直接访问不就完了。没听说windows对移动硬盘有啥策略啊。

hansyu

并不是这样，我记得监控里的设置有一项是在移动磁盘执行时启用高级启发式扫描。
因此并不存在不监控移动设备执行文件的问题。

驭龙

hansyu 发表于 2025-1-16 09:51
并不是这样，我记得监控里的设置有一项是在移动磁盘执行时启用高级启发式扫描。
因此并不存在不监控移动设 ...

权限缺陷了，你不看我发的图吗？

驭龙

pal家族 发表于 2025-1-16 09:33
不太懂这个功能不就是单独让hips控制用户防护移动设备吗？
理论上企业版肯定是可以根须需求禁用系统对各类 ...

我一开始也认为设备控制只是控制外部设备访问和禁止权限的，可eset好像是监控逻辑有问题，需要设备控制驱动才能强化防御效果

多变的风向

你打开U盘 ESET会扫描的 所有杀软都是这样 这个设备控制我一直都没有开过

驭龙

多变的风向 发表于 2025-1-16 11:39
你打开U盘 ESET会扫描的 所有杀软都是这样 这个设备控制我一直都没有开过

实时监控设置在确实是有一个相关设置，可问题是权限不足，而且监控不全，ESET的监控逻辑很有问题，共享文件夹的监控都不完整

ジ蓅暒划过づ

驭龙 发表于 2025-1-16 11:43
实时监控设置在确实是有一个相关设置，可问题是权限不足，而且监控不全，ESET的监控逻辑很有问题，共享文 ...

上次那个好像也是共享文件夹问题