关于eset监控漏毒问题的再探究

a27573

bbszy 发表于 2025-4-10 09:31
高级启发式随便开关都可以，而对于sfx，只在新建文件扫描这里留了开关，执行监控继承的是threatsense默认 ...

1.
恰恰是需要一个只有高级启发式能检测到的样本才能确认高级启发有没有工作。

因为这个 fas 样本，很可能就不是高级启发的适用范围，所以高级启发不会检出它；对于 exe 文件，也有普通签名已经足够，所以没有高级启发签名，因此高级启发组件不会检出的情况

比如说，我们假设高级启发实际上是工作的。
情况1：sfx 扫描开启，高级启发工作；因为 sfx 扫描开启，所以进行了解包，发现恶意内容；高级启发虽然开启，但因为上述原因无检出。最终结果：检出
情况2：sfx 扫描关闭，高级启发工作；因为 sfx 扫描关闭，所以没有进行解包，没有发现恶意内容；高级启发虽然开启，但因为上述原因无检出。最终结果：未检出
情况3：sfx 扫描关闭，高级启发不工作；因为 sfx 扫描关闭，所以没有进行解包，没有发现恶意内容；高级启发不工作故无检出。最终结果：未检出

可以发现情况 2 和 3 的结果是一样的，因此这样的控制变量实验结果其实不能反推高级启发到底有没有工作。本质上是因为这个样本的检出本来就和高级启发无关，因此检出测试结果也不能反推高级启发的状态

至于继承关系细节，是有文档/其他实验结果支持吗？谢谢！

我觉得你说的这些大概率是对的，只是说，从逻辑上来说，还有其他可能

2. 对于这一点，fas 文件其实已经足够说明问题，有这一种在就已经算逻辑漏洞了。我认为应该还有其他的。

但 exe 类型漏毒和加载 payload 漏毒性质不同。后者只需要把 fas 这些不应该算自解压的移出自解压类别，前者则需要修改扫描逻辑（虽然也就是界面上加个开关）

3. 其实我这里没有复现“事先右键扫描，之后监控杀”的情况不知道是哪里做错了
没装 cad，我是扫描之后用记事本访问的

驭龙

a27573 发表于 2025-4-10 09:49
1.
恰恰是需要一个只有高级启发式能检测到的样本才能确认高级启发有没有工作。

实际上我告诉你一个情况，那就是开启文档扫描以后，把实时监控和网页流量监控关闭，通过浏览器下载的东西，依然会被ESET检测，文档保护的特殊机制是很有趣的额外一层保护，可惜默认没开启

黑夜zero

驭龙 发表于 2025-4-10 16:03
实际上我告诉你一个情况，那就是开启文档扫描以后，把实时监控和网页流量监控关闭，通过浏览器下载的东西 ...

学习了，又清楚了ESET的一些功能。

驭龙

黑夜zero 发表于 2025-4-10 23:41
学习了，又清楚了ESET的一些功能。

更有趣的是文档保护中的ThreatSense是默认扫描自解压文件，因此开文档保护以后，通过网络来源的文件被漏毒的可能性会进一步降低

bbszy

驭龙 发表于 2025-4-11 00:32
更有趣的是文档保护中的ThreatSense是默认扫描自解压文件，因此开文档保护以后，通过网络来源的文件被漏 ...

eset官方文档里有着一条：

文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描，还会扫描通过 Internet Explorer 自动下载的文件，如 Microsoft ActiveX 元素。 文档防护提供文件系统实时防护之外的另一层防护，可以将其禁用以在无法处理大量 Microsoft Office 文档的系统上增强性能。

驭龙

bbszy 发表于 2025-4-12 06:29
eset官方文档里有着一条：

文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描，还会扫描通 ...

1MB以内的office文档基本上没有速度影响，但安全性提升真的很大，而且文档保护不单单支持IE和office套装，edge等也支持，但其他Chrome浏览器我没测试不清楚

黑夜zero

驭龙 发表于 2025-4-11 00:32
更有趣的是文档保护中的ThreatSense是默认扫描自解压文件，因此开文档保护以后，通过网络来源的文件被漏 ...

这样也挺好的，起码有进步。

风晓

感谢分享！！学习

hansyu

bbszy 发表于 2025-4-7 09:39
很难啊，咖啡那种只有执行监控的都能顺利通过测试。

我测了一下咖啡，那个cad病毒是直接打开cad后选择加载应用程序加载吗？但是加载完之后怎么判断有没有感染？我加载之后也没有什么其它反应。
咖啡右键扫描倒是可以检出，加载跟ESET一样是没反应。加载后我右键扫描cad的相关文件夹也没检出。

kf_51zc

是不是个别病毒样本识别的问题，不能作为普遍现象吧？