ESET 文件监控方式解析!
ESET的监控非常细腻,环环相扣,占用资源非常舒适,下面我们来深入研究一下:
从高级设置-文件监控设置界面可以看到 ESET扫描文件于 打开、创建、执行时,这3者为主要的监控方式。
"打开":可以理解为 读取、访问。
"创建":可以理解为写入。
"执行":就是运行一个程序。
下面我们看到 文件监控 跟 高级设置的关系。
如下图:
当我们取消 创建的勾时,对应高级设置新建和修改参数变为灰色。
文件监控的-扫描与创建可以说是对应高级设置的开关, 高级设置可以理解为附加的设置。
当开关打开时,才可以选择附加的参数。
http://fj.ikafan.com/attachment/forum/201109/15/084339zkjt110za76c56h5.jpg.thumb.jpg
http://fj.ikafan.com/attachment/forum/201109/15/084341nqn15puobkxna7fo.jpg.thumb.jpg
从下面 2个图 可以看出扫描于执行 也是同样的道理。
http://fj.ikafan.com/attachment/forum/201109/15/084343g32lytqsg29iqi7f.jpg.thumb.jpg
http://fj.ikafan.com/attachment/forum/201109/15/084345p424xxwt2ds5pvsy.jpg.thumb.jpg
下面我们用样本来看看监控方式实际情况:
ThreatSense引擎参数可以理解为全局设置。 下面是默认参数。
http://fj.ikafan.com/attachment/forum/201109/15/0843468kxllrriflolf3hl.jpg
http://fj.ikafan.com/attachment/forum/201109/15/084348o0x4hokrc9vocz0m.jpg.thumb.jpg
我们先关掉监控把样本解压出来。此样本普启是不报的。
http://fj.ikafan.com/attachment/forum/201109/15/0843501n66kz90u02r1k0h.jpg.thumb.jpg
设置改为 只扫描于创建,高级设置默认
http://fj.ikafan.com/attachment/forum/201109/15/08434944p65h6ntzonxe34.jpg
我们把文件重命名
http://fj.ikafan.com/attachment/forum/201109/15/084352uqa586a5tu704068.jpg.thumb.jpg
病毒被高启发了。
http://fj.ikafan.com/attachment/forum/201109/15/084354w1nhbvbth72rl3n7.jpg.thumb.jpg
结论:即使ThreatSense引擎参数未开启高启,一个文件新建时也会被高级设置中-附加选项的高启发扫描。
下面我们试试”打开“。
如图取消 创建和执行,勾选打开, ThreatSense引擎参数 勾选高启发。
http://fj.ikafan.com/attachment/forum/201109/15/084356gmpmq7eiq675bv77.jpg.thumb.jpg
当我们鼠标移动上去 或 点属性 或 进入文件夹时,就会被高启发。
http://fj.ikafan.com/attachment/forum/201109/15/084406nny879u8h3zhhu19.jpg.thumb.jpg
ThreatSense引擎参数,若未勾选高启,而执行和创建都是取消的,ESET不报毒。
http://fj.ikafan.com/attachment/forum/201109/15/0844018tvti812vz988izu.jpg.thumb.jpg
http://fj.ikafan.com/attachment/forum/201109/15/084403eg4l4isuunrulnlg.jpg.thumb.jpg
下面我们试试取消 扫描于创建、执行、打开的勾 试试双击病毒样本。 结果ESET不报,样本运行。
http://fj.ikafan.com/attachment/forum/201109/15/084411mlqrtmesecl6360u.jpg.thumb.jpg
接下来我们试试另外几种情况:
如图,只勾选执行,ThreatSense引擎参数 取消高启发。高级设置勾选执行高启发。双击样本报毒。
反之,ThreatSense引擎参数开高启,取消高级设置执行高启,双击样本 同样报毒。
http://fj.ikafan.com/attachment/forum/201109/15/084413ou8fwxdbfoxrzkzo.jpg.thumb.jpg
http://fj.ikafan.com/attachment/forum/201109/15/084409itkaj98jxzata64k.jpg.thumb.jpg
同样我们试试创建。
只勾选扫描于创建,ThreatSense引擎取消高启,高级设置 新建默认高启。
http://bbs.kafan.cn/data/attachment/forum/201109/15/084415jrw0rq4g4q4rqjrp.jpg.thumb.jpg
http://bbs.kafan.cn/data/attachment/forum/201109/15/08441739msmfhfdjsyjji6.jpg.thumb.jpg
报毒
http://bbs.kafan.cn/data/attachment/forum/201109/15/0844195wsccbmhm2b5kcba.jpg
反之,ThreatSense引擎 勾选高启,高级设置取消新建的高启。
http://bbs.kafan.cn/data/attachment/forum/201109/15/084421y7kfppg990eqp7km.jpg.thumb.jpg
结果还是报毒。
http://bbs.kafan.cn/data/attachment/forum/201109/15/0844223pv4im84hzrphpzr.jpg
对不同机型监控设置的建议:
1.战斗机:战斗机也没必要浪费啊,推荐ThreatSense引擎开高启、取消扫描于打开和关机、高级设置默认。(极其牛B的 可以勾选打开)
2.大众机:推荐默认设置,想要加强一些的可以勾选高级设置-执行高启。
3.老爷机:追求极速的 ThreatSense引擎默认、取消打开和关机。
为什么这样选择和变化:
病毒的入口点为 网络(浏览器、播放器、下载工具等)和U盘(移动介质),从这些方式进入本机。
通过下图对比文件监控设置,可以看到 WEB默认设置比文件设置严格。
http://bbs.kafan.cn/data/attachment/forum/201109/15/09384800p1eooo0y1e1pgo.jpg.thumb.jpg
我们把杀软的监控当成三道防线:
web高启——>创建高启——>执行高启。 三者都开高启。
病毒往往会通过如加密、压缩等方式绕过web监控,文件写入本地后经过第二道防线。如果第二道防线也没用,那么第三道防线也是摆设。
但实际应用中,没有必要全部高启,这纯属浪费资源。我们只需前两者高启即可。
从上面的测试可以看到,ThreatSense引擎设置更多的针对扫描与打开,创建和执行都有附加的选项。
具体细节设置,大家可以根据自身实际仔细斟酌
来学习了。。 谢谢分享 不错!感谢分享! 好长的文章,学习了 灰常有用哦,谢谢楼主 在卡饭也有一模一样的帖子!O(∩_∩)O~ 学习中。 7# mb147258
两边混点银子用用。。。。{:soso_e141:} “执行高启”建议开启,可以防范U盘病毒因为U盘插入后,NOD32认为其内文件都不是“新建”的。