ESET 文件监控方式解析!

sanhu35

ESET的监控非常细腻，环环相扣，占用资源非常舒适，下面我们来深入研究一下：
从高级设置-文件监控设置界面可以看到 ESET扫描文件于 打开、创建、执行时，这3者为主要的监控方式。
"打开"：可以理解为 读取、访问。
"创建"：可以理解为写入。
"执行"：就是运行一个程序。
下面我们看到 文件监控 跟 高级设置的关系。  

如下图：
当我们取消 创建的勾时，对应高级设置新建和修改参数变为灰色。
文件监控的-扫描与创建  可以说是对应高级设置的开关， 高级设置可以理解为附加的设置。
当开关打开时，才可以选择附加的参数。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

从下面 2个图 可以看出  扫描于执行 也是同样的道理。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

下面我们用样本来看看监控方式实际情况：
ThreatSense引擎参数可以理解为全局设置。 下面是默认参数。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

我们先关掉监控把样本解压出来。  此样本普启是不报的。

                               
登录/注册后可看大图

   


设置改为 只扫描于创建，高级设置默认

                               
登录/注册后可看大图

我们把文件重命名

                               
登录/注册后可看大图

病毒被高启发了。

                               
登录/注册后可看大图

结论：即使ThreatSense引擎参数未开启高启，一个文件新建时也会被高级设置中-附加选项的高启发扫描。



下面我们试试”打开“。
如图取消 创建和执行，勾选打开， ThreatSense引擎参数 勾选高启发。

                               
登录/注册后可看大图

当我们鼠标移动上去 或 点属性 或 进入文件夹时，就会被高启发。

                               
登录/注册后可看大图

ThreatSense引擎参数，若未勾选高启，而执行和创建都是取消的，ESET不报毒。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

下面我们试试取消 扫描于创建、执行、打开的勾 试试双击病毒样本。 结果ESET不报，样本运行。

                               
登录/注册后可看大图

接下来我们试试另外几种情况：
如图，只勾选执行，ThreatSense引擎参数 取消高启发。高级设置勾选执行高启发。双击样本报毒。
反之，ThreatSense引擎参数开高启，取消高级设置执行高启，双击样本 同样报毒。

                               
登录/注册后可看大图

                               
登录/注册后可看大图

同样我们试试创建。
只勾选扫描于创建，ThreatSense引擎取消高启，高级设置 新建默认高启。
   

                               
登录/注册后可看大图

                               
登录/注册后可看大图

报毒

                               
登录/注册后可看大图

反之，ThreatSense引擎 勾选高启，  高级设置取消新建的高启。

                               
登录/注册后可看大图

结果还是报毒。

                               
登录/注册后可看大图

对不同机型监控设置的建议：
1.战斗机：战斗机也没必要浪费啊，推荐ThreatSense引擎开高启、取消扫描于打开和关机、高级设置默认。（极其牛B的 可以勾选打开）
2.大众机：推荐默认设置，想要加强一些的可以勾选高级设置-执行高启。
3.老爷机：追求极速的 ThreatSense引擎默认、取消打开和关机。


为什么这样选择和变化：
病毒的入口点为 网络（浏览器、播放器、下载工具等）和U盘（移动介质），从这些方式进入本机。
通过下图对比文件监控设置，可以看到 WEB默认设置比文件设置严格。

                               
登录/注册后可看大图

我们把杀软的监控当成三道防线：
web高启——>创建高启——>执行高启。   三者都开高启。
病毒往往会通过如加密、压缩等方式绕过web监控，文件写入本地后经过第二道防线。如果第二道防线也没用，那么第三道防线也是摆设。
但实际应用中，没有必要全部高启，这纯属浪费资源。我们只需前两者高启即可。
从上面的测试可以看到，ThreatSense引擎设置更多的针对扫描与打开，创建和执行都有附加的选项。
具体细节设置，大家可以根据自身实际仔细斟酌

东苑

来学习了。。

u2k

谢谢分享

wolook2010

不错！感谢分享！

孩子一样

好长的文章，学习了

yjx

灰常有用哦，谢谢楼主

mb147258

在卡饭也有一模一样的帖子！O(∩_∩)O~

houjie19880808

学习中。

sanhu35

7# mb147258

两边混点银子用用。。。。  {:soso_e141:}

bdrdc

“执行高启”建议开启，可以防范U盘病毒因为U盘插入后，NOD32认为其内文件都不是“新建”的。