查看: 19769|回复: 58
收起左侧

[其他相关] 默认规则防毒能力测试---对抗加密勒索的能力到底怎么样

[复制链接]
柯林
发表于 2016-3-4 14:37:05 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2016-3-4 14:54 编辑

comodo默认设置,防御病毒的能力到底如何?很多人好奇。俺也是好奇宝宝,测试一下看看。
--------------------------------------------------------------------------------------------------------
一楼:基本情况说明
二楼以后:部分测试结果

=========================
测试目的:了解自动沙盘防御的能力
测试方法:实机测试,有限测试【短期测试,有限样本测试】
导向性:无 【客观测试,无任何导向性】
测试报告:成功,记录成功;失败,记录失败。
警告:本帖内容,仅代表一时个体性,本人不对你因本帖所导致的任何后果负责,请理智选择,切勿随意模仿!
===== 测试有风险,本帖所述内容,请谨慎参考======
系统环境:64位win7

==============
所用安全软件:CIS  
CIS设置(默认设置)

沙盘部分








----------------------
防火墙部分






=============================
具体测试报告在二楼

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +40 原创 +1 人气 +1 收起 理由
mxf147 + 40 版区有你更精彩: )
绯色鎏金 + 1 感谢提供分享
KK院长 + 1 大家方心玩加密勒索吧!

查看全部评分

柯林
 楼主| 发表于 2016-3-4 14:37:24 | 显示全部楼层
本帖最后由 柯林 于 2016-3-4 15:33 编辑

1号样本测试,来源http://bbs.kafan.cn/thread-2031450-1-1.html
测试结果:防御成功,文件没有被加密【其间系统较卡,样本大量占用cpu】
测试报告(毛豆日志【沙盘内的内容不贴了】)


***********************************
2号样本测试 ,来源:http://bbs.kafan.cn/thread-2031348-1-1.html
动作一大堆,隔离进沙盘,对实机无影响
毛豆日志自己看:

************************************
3号样本测试,来源http://bbs.kafan.cn/thread-2031272-1-1.html
测试结果,防御成功,没有被加密
毛豆日志点评:这货主要行为,调用cmd.exe,相继执行C:\Windows\System32\consent.exe与C:\Windows\System32\wbem\WMIC.exe ,创建aygdohvrlcur.exe到我的文档目录里,由aygdohvrlcur.exe执行加密操作
防火墙显示,aygdohvrlcur.exe已联网(毛豆默认设置不阻挡入沙程序联网)

AD行为一大堆,与2号样本差不多:
样本释放的恐吓信息:

小结:自动入沙很强大,对付这些东东就小菜一碟,默认已经绰绰有余。只要毛豆不抽风,根本不是问题,测试不过是浪费时间。建议用ccav,那个bug较少

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2016-3-4 14:37:51 | 显示全部楼层
本帖最后由 柯林 于 2016-3-4 16:13 编辑

4号样本测试,来源http://bbs.kafan.cn/thread-2030958-1-1.html
此类东东,行为模式一样的,一来就调用cmd.exe,然后创建病毒文件exe到我的文档里进行加密操作【执行文件操作前,UAC会弹窗询问(如果没有拦截到之前的创建病毒exe动作,此时还有一个拦截机会——UAC的拦截)】

自动入沙,操作虚拟化,没用


***********************************
5号样本测试,来源http://bbs.kafan.cn/thread-2030565-1-1.html
一样的,不起作用
病毒联网:
基本行为一样的,似乎没多大创意:启动cmd.exe,创建病毒体到我的文档执行操作:


针对加密勒索病毒,有N多环节可以拦截:入口防御--阻止病毒体exe等文件创建;我的文档等危险位置禁运或入沙;不明程序禁止联网;手动HIPS禁止不明程序访问数据盘、文档图片等文件等

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2016-3-4 14:38:08 | 显示全部楼层
本帖最后由 柯林 于 2016-3-9 21:40 编辑

有限简单测试表明,自动沙盘机制很强大,应对这些常见的加密勒索,很轻松,完全能够胜任!当然,这个只是有限的测试,要就此得出一个明确的结论,显得还不够严谨,测试仅供参考。个人观点,一般普通应用,如果不会设置,就用默认,在环境还算可以的地方,没啥大问题,如果会设置,还是适当地加强。对一般人很重要的一点,要有好的习惯和良好的安全意识,养成善于保护自己的好习惯。


另外强调下,默认的入沙权限部分限制级,还是宽了,防御截图、QQ粘虫之类,需要限制级别才行。普通用用,一般遇不到什么强毒的环境也倒无所谓,环境差,或者需要高一点安全性的,需要拔高一点限制级别,至少拉到低权限(像默认自带沙盘规则第一条入沙规则,来自网络与U盘的不可信程序,拉高为限制级别吧,一般也影响不大,个别受影响的程序加白下
柯林
 楼主| 发表于 2016-3-4 15:36:43 | 显示全部楼层
没多大意义的测试,实际与逻辑推理是一样的
HEMM
发表于 2016-3-4 15:44:55 | 显示全部楼层
这么强大?嗯.......介个......
好吧!实机必须必写个服字
柯林
 楼主| 发表于 2016-3-4 15:53:54 | 显示全部楼层
HEMM 发表于 2016-3-4 15:44
这么强大?嗯.......介个......
好吧!实机必须必写个服字

实际证明,跟当初想的一样,入沙确实很强,自动入沙理念先进,只要毛豆不抽,沙盘不被穿,拦截没有问题

由于是文件操作全部虚拟化,数据保护都不需要再增添什么额外的,加不加都一样,这个比做HIPS规则方便且强大多了

CCAV很有前途,弄个CCIS就ok了,或者最好是提供沙盘与防火墙组件下载,杀毒么,用家自己配一个
cwl12315
发表于 2016-3-4 15:59:49 | 显示全部楼层
本帖最后由 cwl12315 于 2016-3-4 16:03 编辑

毛豆对加密勒索,只要入沙了,基本无问题。不过现在有些病毒自带数签,默认还是会漏
-------------------------------------------------

PS. CCAV不知道怎么回事,装BD重启会卡,装卡巴重启会卡,只有单装CCAV没事。不晓得是不是个人问题。
HEMM
发表于 2016-3-4 16:12:57 | 显示全部楼层
本帖最后由 HEMM 于 2016-3-4 16:17 编辑
柯林 发表于 2016-3-4 15:53
实际证明,跟当初想的一样,入沙确实很强,自动入沙理念先进,只要毛豆不抽,沙盘不被穿,拦截没有问题
...


啊!我还是更稀饭CF,CIS就算了,CCAV嘛......和我8字不合,免得我看它不爽它看不不爽的。
实机双击我可不敢,游戏多欢乐多,嗯...俗话说的好,胆子小没烦恼~
没想到你还真双击啊.......我记得....嗯..好吧!
自动沙盒我不稀饭,虚拟影子沙盒三用不惯不会用。
毛豆似乎不好搭配,除非不勾选虚拟化,但有这个功能吧,不勾选我又觉得怪对不起它的,勾选了怕和虚拟化各种BB安软打架,也是难
HEMM
发表于 2016-3-4 16:14:07 | 显示全部楼层
cwl12315 发表于 2016-3-4 15:59
毛豆对加密勒索,只要入沙了,基本无问题。不过现在有些病毒自带数签,默认还是会漏
-------------------- ...

说那么多,快把规则交出来我抄一斤~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 02:51 , Processed in 0.144484 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表