防病毒阻止页呈现不一致的行为

防病毒阻止页呈现不一致的行为

43045
Created On 09/27/18 06:29 AM - Last Modified 06/01/23 07:58 AM


Symptom


使用 SSL 解密测试来自不同网站的病毒下载会产生不同的结果。

有时, 您会收到一页指示病毒/间谍软件下载块的响应页面, 并且在其他站点上没有看到响应页。在第一种情况下, 您还可以看到, 每当触发响应页面时, 重置只发送到服务器。原因是, 防火墙不是重置, 而是将响应页呈现给客户端, 并将其重置到服务器。

 

将重置防病毒配置文件的配置操作-这两者。

用户添加的图像

 

我们提供了两个示例的 EICAR 文件, 托管在不同的网站:

 

第一个网站

https://secure.eicar.org/eicarcom2.zip

在测试时, secure.eicar.org 解析为 IP 地址213.211.198.58

由此产生的威胁日志条目显示重置-这两种操作:

 

用户添加的图像

web 浏览器不存在响应页:

用户添加的图像

 

第二个网站

https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2. 邮编

在测试时, www.ikarussecurity.com解析为 IP 地址 91.212.136.200

 

用户添加的图像 

web 浏览器提供响应页:

用户添加的图像

 

 

Resolution


这种行为是 "设计的"。

 

https://secure.eicar.org/eicarcom2.zip 第一个网站所呈现的行为的原因 是, 我们没有在第一个数据包中检测到威胁. 在这种情况下, HTTP 标头已传输到客户端。在这种情况下, 我们无法发送响应页, 因此所采取的唯一操作是将重置发送到配置文件中配置的客户端和服务器。

在第二个网站的情况下, https://www.ikarussecurity.com/fileadmin/user_upload/testviren/eicarcom2. zip, 我们在响应的第一个数据包中及早检测到威胁, 因此我们能够向客户端发送响应页.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm6lCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language