【破烂的实测】微点双监控下发现一个双方特征的病毒处理流程

angir

RT，最近看到有关双微点监控的帖子，当时我是凭空推测
今天呢，在样本区http://bbs.kafan.cn/thread-600708-1-1.html这个帖子测试样本时，却让我找到了部分的答案

看图。解压过程中是MP主动防御版本最先跳出来的

看到了吧？文件夹这时那个1.exe还存在。点击删除。但是随后，杀毒软件的监控就跳了出来……

但是已经滞后了，看看文件夹，里面的1.exe已经不见了。这时候的删除就已经木有意义了……

刚刚做了补测，发现原因如下：
MP特征出来病毒后，我们会有一个反应过程，看到了，然后点击删除
点击删除以后，MP会调用自动清除系统，删除病毒，隔离区备份
但是这个空当里，样本还是存在于实机中的
这个时候，MPAV特征监控就来了，就在弹窗的时候，MP的自动清除系统也正好完成了样本的清除工作，样本消失
MPAV特征监控根据当时扫描的结果也弹窗，于是造成刚刚的文件不在，但是照样报


感想：我说的没错，确实是MP特征--MPAV特征这么一个流程的。估计原因是因为MP的特征比较小巧，快速扫描一次时间比特征库大得多的MPAV快……
但是这样的结果就造成了双方都可以特征的样本主防弹一次框，MPAV弹一次框……
我都有点郁闷的说，MPAV弹框的时候，1.exe已经不存在了，我点击删除，删除的难道是MP主防隔离区的文件

[ 本帖最后由 angir 于 2009-11-29 09:57 编辑 ]

尔等如此无情丶

单奔就好了！

245536252

单奔的路过

深秋

我个人猜想微点杀毒删除的应该不会是MP主防隔离区的文件吧？毕竟都是自己家的东西。难道是残余？搞不懂了~
如果是的话，微点官方在这方面确实需要改进了~

tianyayulin

我是设置手动删除病毒的。
测试也碰到这种情况。
如果微点两个产品同时安装，感觉这个问题是官方必须考虑解决的。
如果能够有这样的流程，感觉就好了：
主防探测是否安装微点扫描-如果有-屏蔽主防的特征码功能

angir

原帖由 深秋 于 2009-11-29 10:15 发表
我个人猜想微点杀毒删除的应该不会是MP主防隔离区的文件吧？毕竟都是自己家的东西。难道是残余？搞不懂了~
如果是的话，微点官方在这方面确实需要改进了~

乃真素木有幽默感

angir

原帖由 tianyayulin 于 2009-11-29 10:15 发表
我是设置手动删除病毒的。
测试也碰到这种情况。
如果微点两个产品同时安装，感觉这个问题是官方必须考虑解决的。
如果能够有这样的流程，感觉就好了：
主防探测是否安装微点扫描-如果有-屏蔽主防的特征码功能

屏蔽特征码功能……
估计这个建议不可能实现……
不过您可以上报，看看微点的回复是什么

tianyayulin

Legend  10:22:36
谢谢您的建议，这个功能我们会逐步完善。  

[ 本帖最后由 tianyayulin 于 2009-11-29 10:24 编辑 ]

龟蟹甲

这么说，主防的扫描引擎效率比杀毒的高？

eddysu

学习了，不说还真不知道这样的流程。