Mac版卡巴优化建议

[GGTest]

-1、Version：21.1.0.150c （MAC）

0、作为安全研究人员，电脑上有后门木马倒也正常，但有时很难区分卡巴指出的风险项是可控风险还是外部引入的未知风险，因此有以下建议：

1、路径显示不完全，且无法复制路径，可以考虑提供路径复制按钮。

2、对于txt、php、py等文本格式的文件，可以考虑摘取部分字符串作为举证，以便人工研判。

[Yliven]

尊敬的用户您好:

首先，感谢您选择我们的产品，同时也非常感谢您提出的宝贵建议，您的建议我们已经收到并会转交相关部门，希望在今后的版本中给您带来最好的产品体验。

 

关于完整威胁信息，您可以转到“报告”中查看具体内容，在屏幕上方点击“保护”，列表中点击“报告”即可。

这里应可以实现您需要的第一个功能。

关于“举证”目前产品中暂无法使用这样的功能。如果您有认为存在错误检测的情况，您可以将样本压缩并设置一个密码后发送给我们。

密码：infected

 

技术支持邮箱：china-support@kaspersky.com

 

谢谢

[GGTest]

尊敬的用户您好:

首先，感谢您选择我们的产品，同时也非常感谢您提出的宝贵建议，您的建议我们已经收到并会转交相关部门，希望在今后的版本中给您带来最好的产品体验。

 

关于完整威胁信息，您可以转到“报告”中查看具体内容，在屏幕上方点击“保护”，列表中点击“报告”即可。

这里应可以实现您需要的第一个功能。

关于“举证”目前产品中暂无法使用这样的功能。如果您有认为存在错误检测的情况，您可以将样本压缩并设置一个密码后发送给我们。

密码：infected

 

技术支持邮箱：china-support@kaspersky.com

 

谢谢

 

 

感谢回复，问题1、2均已解决。

对于问题2，已经采取方式获取到原文，确认属于pdf文献中的网络攻击演示demo代码，触发了检测规则，技术上应属于正报。因工作需要，已手工加白名单处理。

 

处置过程供参考：

报告显示，在目录 “/System/Volumes/Data/.Spotlight-V100/Store-V2/12BF4F81-xxxx-xxxx-xxxx-317911E0EDFE/Cache/0000/0000/000e” 下扫描到了可疑文件，但我并不清楚这个目录是什么程序产生的，初步推测是macOS的TimeMachine自动创建的快照，并且权限被系统控制，即使root身份也无法访问此文件内容。（如图所示）

因此先隔离可疑文件，随后恢复被隔离的文件，恢复到指定目录下（如桌面）即可查看文件内容。