小红伞扫描器再现一个严重bug分析
小紅傘掃瞄器再現一個嚴重bug分析
今天偶然處理一台機器的病毒,中毒原因是用戶強行關閉小紅傘監控來進行遊戲安裝。結果,系統被感染威金變種。
決定用小紅傘進行全盤掃瞄,為防止意外,我設置掃瞄器的自動處理策略為:
第一策略:修復
第二策略:刪除
同時勾選了執行策略前備份到隔離區。
掃瞄完畢,查日誌,奇怪了:所有被發現的病毒文件都被隔離了兩次。病毒文件並沒有被刪除。
隨後我更改了幾種策略。發現有如下特點:
★第一策略設置為修復、隔離、重命名;第二動作設置為刪除;同時勾選了備份到隔離區,病毒文件不會被刪除,而是被隔離兩次。
★第一策略設置為修復、隔離、重命名;第二動作設置為刪除;不勾備份到隔離區,病毒文件可以被正常刪除(如果沒被進程或者服務鎖定的話)。正常
★第一策略直接設置為刪除(或覆寫並刪除),無論是否勾選備份到隔離區,病毒文件都可以正常刪除(如果沒被進程或者服務鎖定的話)。正常。
從觀察看,結論是這樣的:
如果掃瞄器發現第一策略執行失敗,立即執行的是備份到隔離區,然後第二策略被強行再次進行一次隔離(無論你設置的是否是刪除)。
以上問題不符合處理的邏輯性,按照正常設計,應該是 :處理前備份到隔離區是個強制命令,二兩步處理動作是順序嚴格執行,不受備份隔離策略的限制。
▲特別注意:我發的v8綠色掃瞄版卻不會有這個bug,測試表明:掃瞄版的處理邏輯正確。說明該問題是加載了小紅傘某個驅動造成的。
該問題我已經在多台機器上進行了證實。
因為德國人的固執。我也不準備進行反映了。我英語水平有限,說不來德國英語。請有能力的人反映一下吧。
