关于eset监控漏毒问题的再探究

pal家族

还有DLC？

bbszy

驭龙 发表于 2025-4-6 19:01
也不完全算是没有读取监控，比如说用一个软件去访问本地的病毒样本，实际上ESET还是会检测一下的，只是这种 ...

这个就是打开时扫描

但是打开扫描不等于读取扫描

驭龙

bbszy 发表于 2025-4-6 19:04
这个就是打开时扫描

但是打开扫描不等于读取扫描

不是打开，因为文件根本没有被记事本打开，只是使用记事本访问文件所在的文件夹而已

===============================
那比如说我直接用资源管理器去访问腾讯视频安装包的所在文件夹位置，ESET判定是资源管理器访问威胁文件，然后阻止访问，这算得上读取监控了吧？

bbszy

驭龙 发表于 2025-4-6 19:06
不是打开，因为文件根本没有被记事本打开，只是使用记事本访问文件所在的文件夹而已

================ ...

这个现象对应我帖子里2.3的内容

这个待遇好像就exe这种可执行文件有

驭龙

bbszy 发表于 2025-4-6 19:15
这个现象对应我帖子里2.3的内容

这个待遇好像就exe这种可执行文件有

所以我不是否定你的结论，只是说ESET还是有半吊子读取监控的，只是算不上全局读取监控，这就导致移动储存设备的文件被漏的问题

zealothunter

这让我又想起来了这两天Windows遥测访问了我一个破解游戏的exe时ESET突然报gamehack，但其实这个exe在电脑里至少存在3个月了。当时这个游戏是SMB从另一台电脑下载的，后面也没打开过
我原来一直认为是实时保护或者检测响应哪里设错导致的，现在看楼主的实验感觉更像是eset的监控逻辑不太一样

hansyu

所以我想这就是为什么ESET默认开启计划任务系统启动扫描和病毒库更新后扫描的原因。

awsl10000次

bbszy 发表于 2025-4-6 19:15
这个现象对应我帖子里2.3的内容

这个待遇好像就exe这种可执行文件有

hi,请问你上报漏洞了嘛
我看eset的漏洞上报逻辑也挺...
首先不知道这个漏洞逻辑属不属于eset认为没问题的
“需要物理访问用户设备的攻击”

Out of scope vulnerabilities
web applications：
Attacks requiring physical Access to user's device

其次他们需要通知任何披露计划都与ESET协调，否则算违反Report Policy
这就挺难评的。

bbszy

awsl10000次 发表于 2025-4-7 00:15
hi,请问你上报漏洞了嘛
我看eset的漏洞上报逻辑也挺...
首先不知道这个漏洞逻辑属不属于eset认为没问题 ...

暂时还没有哦。

从我多年的经验来看，我觉得他们非常清楚他们的设计上的缺陷。

驭龙

awsl10000次 发表于 2025-4-7 00:15
hi,请问你上报漏洞了嘛
我看eset的漏洞上报逻辑也挺...
首先不知道这个漏洞逻辑属不属于eset认为没问题 ...

想都不用想，ESET不会认为这是漏洞的，我常年混在官方内测组，按照ESET的尿性，是不会承认这是漏洞的