仅监控传入的文件的具体含义是什么？(附微软官方论坛答复)

显示全部楼层 · 发表于 2011-5-14 11:05:18

回复 10楼 markego 的帖子

你是明白了，我却糊涂了，因为我刚刚的测试让我摸不着头脑

显示全部楼层 · 发表于 2011-5-14 11:27:49

回复 11楼 zdshsls 的帖子

快来跟大伙分享下，一起研究研究。。。

显示全部楼层 · 发表于 2011-5-14 12:04:33

本帖最后由 zdshsls 于 2011-5-14 12:28 编辑

回复 12楼 markego 的帖子

我一会儿有时间会发帖的，呵呵
PS：我不发新帖了，在这里跟一下。

我发现就算是设置为仅监控传入，你在访问病毒所在文件夹的时候，MSE还是会报的

显示全部楼层 · 发表于 2011-5-14 12:49:36

回复 13楼 zdshsls 的帖子

不要用eciar测试有特殊性

即便你用eciar.com.zip，关闭下载扫描附件，mse的监控也会解这个zip，比较特殊

显示全部楼层 · 发表于 2011-5-14 12:52:53

2L正解
====
传入-写
传出-读
====
微软官人给的答案不一定就对，就跟客服和你说客套话一样，模板太固定
====
另：4L最后一段应该是“仅传入监控”

显示全部楼层 · 发表于 2011-5-14 12:57:15

回复 14楼 hj5abc 的帖子

我将传入传出关闭以后，下载eicar是没有反应的，我是压缩包解压以后放在硬盘上，然后打开传入

显示全部楼层 · 发表于 2011-5-14 13:22:15

回复 16楼 zdshsls 的帖子

我这里也是一样的
我之前就好似用eciar测试才会得出原先那个结论后来用很多样本测试情况就不是如此了
而且即便将eciar.com打包成zip，关闭扫描压缩包的选项，监控和扫描也会报

显示全部楼层 · 发表于 2011-5-14 16:18:52

MSE不可能会分开做一个intranet和internet的读取写入监控吧，只要是从硬盘读取写入都算是上传下载的应该，所以这个功能会影响到本地内容，总之现在设置成仅监控写入了就不卡EXE和大量快捷方式了，我也从裸奔装回来MSE了

显示全部楼层 · 发表于 2011-5-14 19:41:12

回复 17楼 hj5abc 的帖子

我怀疑MSE对蠕虫病毒代码有特殊的监控方式，这可能是根本原因

我最近有一点忙，就不再纠结这个问题了，呵呵。

显示全部楼层 · 发表于 2011-5-14 22:13:17

回复 19楼 zdshsls 的帖子

原来你也发现了，但是很RP啊，有的又报有的又不报

[技术探讨] 仅监控传入的文件的具体含义是什么？(附微软官方论坛答复)