用户从隔离区恢复的文件自动加入白名单
http://bbs.ikaka.com/showtopic-9261620.aspx这个贴子说的“同一文件,V16+有时报毒,有时又不报”的问题,严格来说,按照该帖叙述的操作来说,这其实不应算是V16+的bug。
为啥?因为你自己认为是误杀了,所以才从隔离区恢复。是这个理儿吧?
这里要强调的是,不管是不是真的误杀,只要用户将V16+灭掉的文件从隔离区恢复(不管你恢复到哪里),V16+一律将其自动加入白名单。
我刚才拿一个真正的病毒,按照
http://bbs.ikaka.com/showtopic-9261620.aspx这个帖子的操作做了一遍,然后,在V16+所有监控全开的条件下,双击此.exe,病毒运行很流畅,V16+不报任何信息。这点不能怪V16+哦。
具体操作环境:XPSP3,True Image虚拟环境。双击从隔离区恢复的病毒,然后重启。
结果见截图:
1、重启后CAHIPS检测到的病毒活动:
附件:
您所在的用户组无法下载或查看附件2、病毒进程、病毒释放的文件及重启后用V16+快扫的结果:
附件:
您所在的用户组无法下载或查看附件3、病毒改动的注册表信息:
附件:
您所在的用户组无法下载或查看附件4、被恢复的病毒文件自动进入V16+的白名单:
附件:
您所在的用户组无法下载或查看附件用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.3)
