收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 ESET(NOD32) 关于eset监控漏毒的缓解策略
返回列表 发新帖
查看: 604|回复: 7
收起左侧

[讨论] 关于eset监控漏毒的缓解策略

[复制链接]
bbszy
发表于 2025-4-7 17:31:02 | 显示全部楼层 |阅读模式
本帖最后由 bbszy 于 2025-4-7 19:22 编辑

我在另一个帖子(https://bbs.kafan.cn/forum-37-1.html)提到了eset监控存在漏毒风险,归纳起来为如下几点:

1. 文件监控缺少访问扫描(读取扫描),仅有打开时扫描,而打开扫描不等于读取扫描,必须要有一个程序加载某个文件才能触发(例如记事本打开dll)。
2. 对于已存在的文件,默认设置下不开启高级启发扫描。
3. 对于可移动磁盘的文件、网络共享文件夹的文件以及在文件监控未打开时新创建的文件都被当作已存在的文件,监控手段仅剩下执行扫描。
4. “自解压文件”概念模糊,实际测试下来,其并不是单指sfx文件,而是更像是卡巴监控里说的“复合文件”的概念,安装包、autocad使用的fas文件等文件也被eset归自解压文件。
5. “自解压文件”仅在被创建或修改时被文件监控扫描,被打开、执行时“自解压文件”都不被监控,只对其内部文件解包后进行监控。
6. 对于已存在的文件,软件界面上不提供监控“自解压文件”的选项。

这几个风险点单看感觉问题不大,但是叠加在一起就构成了漏毒的完整路径。例如一个被感染型病毒感染过的安装包,放在u盘里,插入u盘后,用户没有进行手动扫描,而是直接从u盘运行这个受感染的安装包就会被感染。(复合文件在不解包的情况下是可以直接执行命令的,参考winrar创建sfx时的选项)

针对上述风险点,提出eset文件监控设置的优化建议。

1. 文件系统实时防护 - ThreatSense引擎参数, 打开加壳程序扫描、高级启发式扫描。
2. 打开针对已存在的“自解压文件”的监控(默认只针对新建和已更改的进行扫描),方法如下:
    (1)导出eset配置文件到xml文件;
    (2)搜索01010101,找到下方的<NODE NAME="SfxEnable" TYPE="number" VALUE="0" />,将 VALUE="0" 改为 VALUE="1"
    (3)保存修改后的xml文件,再导入回eset。

修改后关于性能的影响

由于智能优化的存在,这么修改后其实对性能影响不大,因为会利用云大量跳过白文件。对安装包的扫描可能也就第一次消耗资源一点,后面也不重复扫描了。虽然eset的云偶尔对文件信誉的错误标记以及刷新间隔较长,但是总体上还是开启智能优化的好。
如果有兴趣,可以关掉智能优化试试,绝对颠覆你对eset引擎轻量、高效的认识。
另外,ThreatSense引擎参数下对于压缩包的设置是会影响对于“自解压文件”处理策略,默认设置下,eset会扫描10层以内、3G大小内的文件。




p.s.
1. 之前听说essp对于漏毒情况有改善,因为触发liveguard扫描的时候会同时触发文件监控的扫描,如果这个猜想正确的话,这就等同于我打开针对已存在的“自解压文件”的监控。(未经验证)
2. 调整完上述设置后,你可能会遇到此前从来不被报毒的安装包等复合程序,eset监控开始报毒了。


评分

参与人数 1人气 +3 收起 理由
驭龙 + 3 版区有你更精彩: )

查看全部评分

回复

举报

驭龙
发表于 2025-4-7 17:55:12 | 显示全部楼层
关于ELG的情况,需要值得注意的是,如果文件没有触发ELG自动反馈,那基本上也不会触发后续的文件监控,不过目前的体验上是ELG遇到写入的新文件都会看一下,至于已知的优盘非新文件是否被ELG检测,并没有相关测试的结果确认
回复

举报

Rukia
发表于 2025-4-7 18:12:01 | 显示全部楼层

ELG遇到写入的新文件都会看一下

新文件是指未被ESET LiveGrid记录?还是指新创建的文件?
回复

举报

bbszy
 楼主| 发表于 2025-4-7 18:30:48 来自手机 | 显示全部楼层
驭龙 发表于 2025-4-7 17:55
关于ELG的情况,需要值得注意的是,如果文件没有触发ELG自动反馈,那基本上也不会触发后续的文件监控,不过 ...

哈哈 那还是打开我这个设置吧。
真没想到eset对于已存在的复合文件是不监控的。
回复

举报

驭龙
发表于 2025-4-7 18:47:01 来自手机 | 显示全部楼层
Rukia 发表于 2025-4-7 18:12
新文件是指未被ESET LiveGrid记录?还是指新创建的文件?

是livegurad不是livegrid二者不可等同于一个功能
回复

举报

Rukia
发表于 2025-4-7 19:03:43 | 显示全部楼层
驭龙 发表于 2025-4-7 18:47
是livegurad不是livegrid二者不可等同于一个功能

我的意思是新文件是指 ESET LiveGrid 信誉未知?还是新创建的?
回复

举报

驭龙
发表于 2025-4-7 19:23:18 | 显示全部楼层
Rukia 发表于 2025-4-7 19:03
我的意思是新文件是指 ESET LiveGrid 信誉未知?还是新创建的?

为什么非要提什么livegrid呢?我这里说的是livegurad,与信誉没关系,凡是电脑安装ESET以后出现的新生成文件,都会被livegurad检测,另外被标记为网络来源的文件,不管是不是新生成的文件,只要本地livegurad没检测过,livegurad就会触发检测
回复

举报

Rukia
发表于 2025-4-7 19:42:24 | 显示全部楼层
本帖最后由 Rukia 于 2025-4-7 19:47 编辑
凡是电脑安装ESET以后出现的新生成文件,都会被livegurad检测

我以为只有信誉未知的才会被ESET liveGuard 检测

检测和上传不是一回事儿
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-4-19 10:34 , Processed in 0.120111 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表