【技术帖再次来袭】窥探AMP BM隐形的强大，BM技术是遥测＋特征匹配[更新重磅内容]

airtech

我是不是可以放弃Norton了

---

很多人被命运安排，而我安排命运！

天天种菜

还是不错的啊啊

likeBBQ

还是再等一年半载才考虑win10和WD

47385024

学习中  楼主威武

qiang_liu

wd...............

空gintoki

技术贴顶顶ww

离不开好

看完给跪了,完全看不懂

chengleok

可以，确实很强

，就一个.

现在回过头来看这篇文章，发现WD确实是有这一回事，跟文章描述的一致，我双击很多次，的确很少遇到直接就出现行为监控直接拦截的样本，但是今天双击就遇到过几个不同种类的勒索，包括敲竹杠锁硬盘类的，加密文件类的，之前还测试过类似江民炸弹一类的，WD右键不报，文件监控也不报，双击瞬间还是不报，但勒索保护会提示阻止（但这个不影响样本做出后续的恶意行为)，但是过了十秒钟以后WD就会提示发现威胁，然后结束样本进程，干掉样本，锁屏一类的一开始直接还会禁用任务管理器，但被杀以后系统安然无恙，又恢复正常，重启以后依然正常，当然随时都是准备好U盘，万一失败了直接PE重装系统。包括恶意修改破坏加密MBR或者直接加密硬盘类的，WD勒索保护都能抵御，当然卡巴斯基应用程序控制也都可以防御，但不同的是有的样本运行以后就算卡巴开启应用程序控制且是自动阻止任何未知程序的底层磁盘访问的情况下，系统都会蓝屏，虽然强制断电开机后没事，可以正常进入系统，也算防御成功了，但WD的勒索保护我个人觉得更牛逼一点，对付这种破坏加密MBR的样本都可以成功阻止，包括一些用批处理来破坏MBR的，这种使用批处理结合白exe文件来破坏MBR一类的在刚刚出来的时候是很难通过普通监控查杀的方式来防御的，而且WD拦截后系统从未蓝屏死机过一次，记得几年前MSE刚出来的时候，那时候用的还是vista系统，实机双击被过，而且很多样本都miss，至此以后就在也没碰过微软的安全软件，现在到了win10时代，慢慢看着WD的蜕变，的确进步很大，

驭龙

，就一个. 发表于 2019-3-27 07:17
现在回过头来看这篇文章，发现WD确实是有这一回事，跟文章描述的一致，我双击很多次，的确很少遇到直接就出 ...

其实现在的WD不仅如此，还有很多新的改进，只是我太懒了，没有写，但WD已经越来越强大了