关于eset监控漏毒问题的再探究

显示全部楼层 · 发表于 2025-4-7 22:52:11

PanzerVIIIMaus 发表于 2025-4-7 12:31
国产杀毒如360杀毒也是按格式扫描，基本上除了红伞之流，真敢默认“按扩展名扫描”的文件监控应该已经绝迹 ...

你的意思是说，红伞是按照文件扩展名扫描，而不是按照文件格式扫描？

显示全部楼层 · 发表于 2025-4-9 18:49:49

本帖最后由 a27573 于 2025-4-9 18:53 编辑

exe 和 dll 加载时才能检测，只要能阻止加载，其实也还好

不过坑2确实比较严重了，我这里也复现成功了。对于 cad 病毒这样只有“打开”而不是“执行”的，永远是按照最低一档的扫描设置

我以为 ThreatSense 的主设置是应用于文件打开的，现在看起来不是，那它是应用于哪里的？

显示全部楼层 · 发表于 2025-4-9 18:56:09

a27573 发表于 2025-4-9 18:49
exe 和 dll 加载时才能检测，只要能阻止加载，其实也还好

不过坑2确实比较严重了，我这里也复现成功了。 ...

是应用于文件打开、创建、执行。问题关键是他把cad病毒归类为自解压文件。

具体可以看看我这个帖子：https://bbs.kafan.cn/thread-2280552-1-1.html

cad可能不是谁都用，但是u盘里的安装包是被直接放行的。

显示全部楼层 · 发表于 2025-4-9 19:04:51

本帖最后由 a27573 于 2025-4-9 19:31 编辑

bbszy 发表于 2025-4-9 18:56
是应用于文件打开、创建、执行。问题关键是他把cad病毒归类为自解压文件。

具体可以看看我这个帖子：h ...

我的锅，刚刚搞了印度 ESSP 换回 ESET，把 runtime packer 和自解压搞混了

不过 exe 安装包双击之后应该是适用执行监控吧？如果这一条成立，那问题的核心应该还是错误地分类了自解压文件，cad 病毒根本不应该算自解压文件

显示全部楼层 · 发表于 2025-4-9 19:10:08

没事，我现在换了比特梵德

显示全部楼层 · 发表于 2025-4-9 19:34:30

erui 发表于 2025-4-7 22:52
你的意思是说，红伞是按照文件扩展名扫描，而不是按照文件格式扫描？

是的，红伞有同时提供三种选项，扩展/格式/所有，但文件监控的默认设置是根据扩展名

显示全部楼层 · 发表于 2025-4-9 19:41:23

bbszy 发表于 2025-4-9 18:56
是应用于文件打开、创建、执行。问题关键是他把cad病毒归类为自解压文件。

具体可以看看我这个帖子：h ...

另外，设置里还有默认关闭的文档扫描，推测应该是打开文档时可以应用专门的扫描参数

如果是这样的话，ESET 对此也不是毫无应对，只是有些文件（比如 fas）处于三不管地带

显示全部楼层 · 发表于 2025-4-9 19:51:35

本帖最后由 bbszy 于 2025-4-9 19:56 编辑

a27573 发表于 2025-4-9 19:41
另外，设置里还有默认关闭的文档扫描，推测应该是打开文档时可以应用专门的扫描参数

如果是这样的话， ...

暂时没发现文档扫描有什么具体的动作
虽然我测试的时候是打开了
fas不常见，但是那些复合文件（例如安装包）也处于“自解压文件”的三不管，难怪防不住感染型病毒。

显示全部楼层 · 发表于 2025-4-9 19:56:01

a27573 发表于 2025-4-9 19:04
我的锅，刚刚搞了印度 ESSP 换回 ESET，把 runtime packer 和自解压搞混了

不过 exe 安装包双击 ...

runtime packer中文版好像写的加壳程序，虽然我也是用的英文版。

exe确实对应执行监控，但是cad病毒和各类复合文件（例如安装包）的exe是归类为自解压文件了，一旦被eset认为不是新文件，就直接放过了，执行监控都没有。

显示全部楼层 · 发表于 2025-4-9 19:58:25

superLYT 发表于 2025-4-9 19:10
没事，我现在换了比特梵德

我之前也是用bd，主要是essp授权吃灰，这两天换成eset玩玩。

eset要是关掉智能优化、打开“自解压程序”（安装包等复合文件）扫描，那性能还不如bd呢。

[讨论] 关于eset监控漏毒问题的再探究

评分

浏览过的版块