McAfee R135 更新

显示全部楼层 · 发表于 2025-10-30 22:07:39

每月一更，这次终于修复隔离区中文提示乱码问题，难得。
另外，neo引擎启用trust库。

版本号

隔离区提示

显示全部楼层 · 发表于 2025-10-30 22:11:00

昨天还没更新，今天就出了，这个月比较准时啊，哈

也不知道啥时候能添加文件读写监控的设置选项，唉，感觉没希望啊

显示全部楼层 · 发表于 2025-10-30 22:44:03

驭龙发表于 2025-10-30 22:11
昨天还没更新，今天就出了，这个月比较准时啊，哈

也不知道啥时候能添加文件读写监控的设置选项，唉，感 ...

应该没什么希望，像之前msi文件由于不是可执行文件不监控，但是很多威胁使用这种类型的文件传播，所以才在interpreter scan模块里加入msi类型文件。

之后打开msi文件时就会调用云来检测msi包整体，不过不会用库解包扫描，只有手动扫描才会调用neo引擎的msi解包模块检查里面的文件。

显示全部楼层 · 发表于 2025-10-30 22:49:58

hansyu 发表于 2025-10-30 22:44
应该没什么希望，像之前msi文件由于不是可执行文件不监控，但是很多威胁使用这种类型的文件传播，所以才 ...

曾经的McAfee，真的回不来了吗？当年月神刚刚出的时候多么惊艳四射啊，唉

显示全部楼层 · 发表于 2025-10-30 22:52:17

要不是因为只能单文件排除太麻烦了。不然我那个到2077年的咖啡就可以用上了

显示全部楼层 · 发表于 2025-10-30 22:54:38

驭龙发表于 2025-10-30 22:49
曾经的McAfee，真的回不来了吗？当年月神刚刚出的时候多么惊艳四射啊，唉

感觉很奇怪一点就是像shellcode文件（txt或者其他格式）有些McAfee也会云拉黑，虽然不知道结果是抄VT还是怎么来的，但是监控本身不是读写扫描就算木马下载器下载到本地也检测不到，不知道意义何在。

显示全部楼层 · 发表于 2025-10-30 23:04:46

hansyu 发表于 2025-10-30 22:54
感觉很奇怪一点就是像shellcode文件（txt或者其他格式）有些McAfee也会云拉黑，虽然不知道结果是抄VT还是 ...

我忘记McAfee有没有AMSI了，如果有就说得通为什么杀shellcode，如果没有，那可能只是简单的抄？

显示全部楼层 · 发表于 2025-10-30 23:11:16

驭龙发表于 2025-10-30 23:04
我忘记McAfee有没有AMSI了，如果有就说得通为什么杀shellcode，如果没有，那可能只是简单的抄？

有amsi，但是样本区那种白exe+黑dll+shellcode的类型，ESET解压就能杀shellcode，那执行exe就意义不大。

McAfee解压不能杀，执行EXE也不会杀，除非dll已被拉黑。

显示全部楼层 · 发表于 2025-10-30 23:22:47

hansyu 发表于 2025-10-30 23:11
有amsi，但是样本区那种白exe+黑dll+shellcode的类型，ESET解压就能杀shellcode，那执行exe就意义不大。
...

理论上，有AMSI的话，那肯定应该杀shellcode的，但McAfee的逻辑，我想不明白了

话说，McAfee会不会是有计划以后上内存监控？现在应该没有，不然不可能不杀内存中的shellcode

显示全部楼层 · 发表于 2025-10-30 23:26:10

驭龙发表于 2025-10-30 23:22
理论上，有AMSI的话，那肯定应该杀shellcode的，但McAfee的逻辑，我想不明白了

话说，McAfee会不会是 ...

现在的neo引擎用的yara规则，很适合上内存监控，不知道有没有计划，希望能加上，哪怕没有读写，多个内存监控也是好的。

[资讯] McAfee R135 更新