关于默认状态的ESET几乎没有防御移动设备威胁能力的原因【设备控制功能很重要】

驭龙

ジ蓅暒划过づ 发表于 2025-1-16 12:01
上次那个好像也是共享文件夹问题

是的，所以我才怀疑ESET对非本地磁盘的监控逻辑有问题，这情况不能用其他杀毒软件对比，其他的都可以直接秒毒。

当然移动硬盘这个问题，也因为我是昨晚刚刚发现设备控制的警报就发帖了，没有完整测试过，所以也有可能我是错的

超超~.~

哦！我的老伙计！这一切都太可怕了，我真想用靴子狠狠踢ESET机器人的臀部（

hansyu

驭龙 发表于 2025-1-16 12:08
是的，所以我才怀疑ESET对非本地磁盘的监控逻辑有问题，这情况不能用其他杀毒软件对比，其他的都可以直接 ...

我未开启设备控制条件下用移动U盘测试，云测试文件和PUA测试文件双击均可以阻止访问并弹窗询问是否删除。

点击删除之后提示删除错误，但查看文件都已经变成0KB。当然也有可能是我的U盘问题

驭龙

hansyu 发表于 2025-1-16 13:30
我未开启设备控制条件下用移动U盘测试，云测试文件和PUA测试文件双击均可以阻止访问并弹窗询问是否删除。 ...

这还是权限有问题啊，不是吗

x-天秤座

估计是ESET在自身没有把病毒入库之前对其的防御能力、检测能力都有不足，然后造成一些漏毒问题。

驭龙

x-天秤座 发表于 2025-1-16 13:52
估计是ESET在自身没有把病毒入库之前对其的防御能力、检测能力都有不足，然后造成一些漏毒问题。

那毒实际上已经入库了

hansyu

驭龙 发表于 2025-1-16 13:32
这还是权限有问题啊，不是吗

不管是关闭监控放进移动盘再打开，还是开着监控解压到移动盘都提示无法删除，但实际上文件数据已经清空，留下0KB的空文件。

就算权限有问题，在开着监控的情况下可以正常阻止访问感染文件，按道理来说应该不会中毒。

驭龙

hansyu 发表于 2025-1-16 14:08
不管是关闭监控放进移动盘再打开，还是开着监控解压到移动盘都提示无法删除，但实际上文件数据已经清空， ...

我有个猜测，但现在没有安装ESET，你可以试一下，把一个压缩包仍移动设备上，直接将里面的病毒解压到移动存储设备中，看看ESET的反应，尤其是非EXE格式的威胁

hansyu

驭龙 发表于 2025-1-16 14:18
我有个猜测，但现在没有安装ESET，你可以试一下，把一个压缩包仍移动设备上，直接将里面的病毒解压到移动 ...

因为实机环境，没找到合适安全双击的非EXE格式的测试文件，只测试了从移动设备压缩包里解压恶意JS，结果和EXE一样，都是无法删除，留下一个空文件。

驭龙

hansyu 发表于 2025-1-16 15:15
因为实机环境，没找到合适安全双击的非EXE格式的测试文件，只测试了从移动设备压缩包里解压恶意JS，结果 ...

确实是挺奇怪的，ESET自己都说关闭设备控制会降低安全性，而且权限会出现不足，不知道具体是什么。

要不你开启设备控制，看看能不能把空文件删除？我也是没环境，不然就也测一下了

我在研究迈克菲的架构，观察中，所以就没有安装ESET，系统上是半残的MD，目前考虑玩的软件是诺顿25和卡巴21 MR20，所以没测试环境

话说，咖啡的126应该也就是这几天了吧，这小东西特别好玩，驱动没多少，但核心的DLL都可以调用NT函数，利用NTDLL模块进内核，操作结束在返回用户模式，虽然强度比不上纯粹的驱动，但是几乎不会有系统限制，未来受到系统收紧内核的影响最小