自己杜撰的微点主动防御软件防御流程（仅仅是娱乐用）

angir

回复 10# 白羊座


    确实是扫两遍
有些样本区的样本，下载后解压，木有反应。退出文件夹再次进入（这时特征无论如何都会报的），还是很安静（设置为讯问后处理），然后
1重命名文件，有时候这时才会报警。
2：重命名后运行，运行后1秒左右就会报特征了

白羊座

回复 11# angir


    我觉得可能是对特定的加壳文件不扫描，等自动脱壳后扫，简单的文件就直接扫描
不管怎么说，扫一遍没反应这种活就是无用功，知道这个壳比较恶心或者是动态的，不如不扫

angir

回复 12# 白羊座


    或许是：有一定的静态脱壳能力，在第一次特征就扫描一次
然后，对于其他壳就在运行后自动脱了再扫？
其实微点主动防御版本的特征码模块挺小巧的，我还没有听说过因为2次特征扫描而拖慢系统的情况出现……

但是二次特征可能是真的存在的，我11L的情况就是一个佐证

白羊座

回复 13# angir


    也许那只是一个压缩文件，不是壳，一般杀软都不喜欢进压缩文件扫描，哪怕那个压缩文件是exe

angir

回复 14# 白羊座


    非也……
或许你可以去样本区装上微点主防试试
虽然情况不多
不过带壳入库的情况可能存在，可能不存在
但是由于微点主防的特殊性，绝大部分的精力都拿在防御运行的程序上，所以带壳入库的可能又不存在。MPAV就由于虚拟机的存在更加不需要带壳入库了……

so，我觉得可能是二次特征扫描的可能比较大