查看: 8622|回复: 49
收起左侧

[技术原创] 【原创翻译】Ransomware protection in Windows 10 Anniversary Update报告

  [复制链接]
猪头无双
发表于 2016-11-12 14:38:17 | 显示全部楼层 |阅读模式
本帖最后由 猪头无双 于 2016-11-12 20:43 编辑

大家好,我又愉快的滚过来了。这次翻译的内容是 “Ransomware protection in Windows 10 Anniversary Update”。Win10 RS1/年度更新中的勒索软件防护。

惯例感谢@驭龙   的大力支持,原文地址如下:

http://101.96.8.164/wincom.blob.core.windows.net/documents/Ransomware_protection_in_Windows_10_Anniversary_Update.pdf

惯例:()中的是酌情添加的话,目的是为了不影响汉语阅读者的理解,毕竟大家都是学过英语的人,都知道英语中各路省略,各路代词的问题,导致理解起来较为困难,所以我酌情添加;【】中还是吐槽/存疑的地方,欢迎大家共同帮忙,毕竟有的词汇即使在计算机语言的英-汉词典里也是一词多义,所以希望大家一起协助。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

译前记:现在防勒索软件是大势所趋。相信大家也在国外区看到了相关的测试报告和样本区的各种样本,甚至是解疑答难区或者病毒救援区的各种帖子。在翻译之前,想先跟大家说说我个人理解中,经常会中勒索的几个地方,还有普遍意义上的防护措施。个人意见,仅供参考。

1. 电子邮件附件:这一类多是企业和公共单位遇到的,在单位的局域网/服务器,对于我们卡饭人而言既是可宝贵的样本来源地——大毒窝,又是让人担惊受怕的休眠火山,谁也不知道哪天它就抽风了。

而电子邮件的附件经过局域网服务器的转发,变得更加可疑起来,有人说即使电脑里扫出病毒来,我也必须得打开,工作场合没办法。确实,尤其是大企业,各个小组之间,谁也不能保证都是那么纯良无害。我上大学的时候,卡饭刚过完一岁生日,那时候就有男生借助邮件往女生电脑摄像头上安远控木马呢(目的不用我说,大家都懂的 ),何况是现在。所以大家切记扫描附件,有问题的宁可先清除病毒之后再打开。如果实在没办法,自己找个Shadow Defender,或者雨过天晴(见卡饭下载区,有分享的),或者comodo的时光机等等,先建立个快照,之后再打开附件,即使中招,还原就是了。这些软件基本都是免费或者变相免费,而且安装完这些之后,基本上连杀毒的钱都省了。 只需要定期下个360急救箱,联网扫描一下,基本就是长治久安了。剩下的时间陪陪父母,或者泡个妹纸,生活多么愉快。实在不行还可以自己找麒麟臂一起左右互搏嘛。

2. QQ分享:这个其实和附件是一回事,只是更加常见一些。还是那句话,不要急着打开附件,先扫描一下,判断完好坏再说。或者来一招绝的——windows上不打开QQ,从pad上/平板上(指的是ios/andriod系统,或者说只要不是win系统都行)打开附件。之后把附件里你需要的神马文档/表格都用平板上的office另存一份其它格式的,再用QQ分享到电脑上

估计有人又迷糊了,什么意思呢?举个例子。假如希拉里和特朗普俩人商量今晚要和奥巴马开房,三个人一起斗地主。之后有个叫克林顿的黑客截获了这条消息,假冒希拉里的名义,给特朗普在QQ上发了一个带勒索病毒的约会时间表。那么特朗普先拿ios上的QQ打开“时间表”,这时候勒索软件没发威(一般windows上的勒索软件都是win系统的常见格式如exe、dll等,ios上没法运行 ),然后特朗普将这份时间表截个图,把图片又通过QQ发到了自己的windows电脑上。最后把时间表源文件删除。之后这两男一女愉快的在当天晚上到了如家酒店的502号大床房里,嗨嗨皮皮的关起门来斗地主去了 这样也是一种防勒索的变通手段。

当然你要非得较真说万一碰上了三大系统(win/ios/andriod)通吃的样本怎么办?我觉得如果你能有这样的运气赶上这种事,请你直接去买彩票吧!你可以肉身Fan{过}{滤}Qiang了。

3. 不良网站:这种例子也有,说白了就是病毒隐藏在网页上,通过你网页的缓存/下载等手段进入电脑,那么这时候,有网页防护的杀软自然会提前拦截。但是如果像红伞免费版那种,不提供网络防护的杀软怎么办?或者说网页防护没效果怎么办?本地引擎也会扫描的,所以说病毒不到电脑本地,是无法起作用的。

针对这种网站,我要说一般都是以钓鱼网站为主,或者假冒网站。这时候就要开启人脑识别大法了。熟记常见的网站地址,如果对方给你的网站地址是这样的:www.baidu.com?uid=12345678,当然后边的字符串我是仿照一般的分享网址瞎编的,如果真能进入度娘,只能说度娘这个娘们真随便,不是老子不纯洁[:01:]

扯远了,就是说,如果在常见的网址后边发现了诡异的字符串,一定要小心,这样的网址很可能就是骗局了。

最后欢迎大家让开宝贵的地方,我要开始占楼发帖了。

PS,转载请注明出处:卡饭论坛,猪头无双 。 (发现多少回了,精锐上原来有几个不要脸的,不论是转载谁的帖子都是不注明出处,连个谢谢都米有,顺路鄙视一下)

+++++++++++++++++++++++++++++++++++++++++++++++++

前注:

本文只为分享技术理念,没有任何其它的明示、暗示、揭示、解释及其它,请不要多想。

本文原样呈现文中内容,包括URL,及其它网络信息,如有更改,恕不另行通知。

本文版权所有,翻录必究。Copyright © 2016 Microsoft Corporation. All rights reserved.

请登录  Microsoft Trademarks (https://aka.ms/MSTrademarks) 查看是否侵犯商标权

本文中提及的相关真实公司或者真实产品之商标权归商标所有人所有。

+++++++++++++++++++++++++++++++++++++++++++++++++++

正文:

一、勒索软件

勒索软件这类威胁进来得到了媒体的高度曝光,并因为其带来的巨大经济价值而吸引了大量的恶意软件作者投身其中。其运作方式似乎看起来简单得像是骗人的(似的):感染设备,之后除非掏钱,否则拒绝用户对该设备或(设备上的)文件进行访问。然而,现在的攻击者的攻击手段变得日益复杂起来,而攻击带来的伤害也是(随着复杂性的增加而)水涨船高。人们可能很难理解勒索软件到底是什么,并对如何保护自己的设备免受这类威胁的伤害而感到茫然,如果不能称之为恐惧的话。这也就是我们编写此文档,让您了解何为勒索软件,您应该怎样保护您的设备(不受其侵害)以及我们是如何在win10的年度更新版里采取措施帮助您对勒索软件加以对抗的原因。

勒索软件如何感染设备

勒索软件通常以电子邮件/浏览器的方式感染设备。当用户使用邮件时,攻击者会传播一份电子邮件,在邮件中,会有一份带有恶意代码的附件或一个指向恶意网址的链接。攻击者希望用户会下载并运行附件或者单击恶意链接,并使设备感染。而在使用浏览器时,攻击者会利用浏览器的弱点或提供一个下载恶意软件的链接,而当用户误进恶意网址或误点击恶意软件的下载链接后*1,用户的设备受到了感染。下图具体展示了上述观点是如何实现的。

截图00.png

图1:勒索软件利用邮件、浏览器及恶意链接等基础手段诱使用户感染设备示意图
————————————————————————————————————————————————————————
*1 我们的调查揭示了自2016年1月—6月间,十大勒索软件中有6个采取邮件、浏览器漏洞及带漏洞的浏览器插件(进行攻击);而其它4个只是利用浏览器漏洞(发动攻击)

我们的调查结果

不仅仅是您从媒体上了解到勒索软件(造成了巨大的损失),我们的实际调查结果也显示了,有越来越多的利用勒索软件的攻击企图(正在发生)。自2015年11月—2016年8月间,WD发现(用户)遭遇勒索软件(的次数)增长了400%。(见图2)

360截图-46763890.jpg

图2 WD检测到的勒索软件增长总量示意图

详细数据分析显示,越是老版的Windows系统越容易遭遇勒索软件。表3揭示了运行win10的设备要比运行win7的设备少碰见58%的勒索软件。勒索软件像其它恶意行为一样,是进化的。与此同时,我们持续改进win10系统,使恶意软件的编写者更难以利用恶意软件攻破并感染您的设备。作为目前最安全的系统版本,我们墙裂建议用户升级到win10系统。

截图01.png

我们目前对抗勒索软件的努力

微软的安全策略包括着眼于防护、检测与反馈(等环节)。下面将详细叙述我们的具体策略:

防护:在勒索软件到达系统本地之前进行阻止/拦截

检测:当勒索软件在设备上运行时进行甄别并封锁

反馈:为IT&安全(专家)提供专业的情报,以便他们甄别设备是否受到感染并及时反馈

以下策略是我们在win10年度更新版中所采用的:

  • 改进win10对勒索软件的防护并提供了升级版的edge浏览器,我们认为edge浏览器是我们所用过的最安全的浏览器,它能避免利用漏洞(的恶意软件)或利用漏洞的工具轻易接触edge中的数据。
  • 我们的电子邮件系统中运用了先进的机器学习系统,以避免携带勒索软件的邮件大规模扩散。
  • 改进了WD的云端检测能力与启发(技术)以便将检测时间改进至秒级。并在WD的云端检测系统中整合添加了URL的云信誉。这样做我们的反应能够更加迅速,在恶意行为发生之前能够拦截。
  • 提供了WDATP——Windows Defender 高级威胁防护技术来洞察您的网络上含有的潜在攻击,这样我们的企业安全团队可以进行(更有效的)探讨与反馈。



接下来让我们来更深入地看一下上述技术是如何在win10年度更新版里保护您免受勒索软件的威胁的。

评分

参与人数 4技术 +1 原创 +1 人气 +2 收起 理由
屁颠屁颠 + 1 16年年度奖励
a330391 + 1 感谢提供分享
驭龙 + 1 精品文章
ELOHIM + 1 猪头无双

查看全部评分

猪头无双
 楼主| 发表于 2016-11-12 14:38:45 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-12 20:28 编辑

二、防护

Win10&Edge浏览器上的投入

   在 win10年度更新版不断改进期间,  我们尽最大努力来确保恶意软件的作者会更难于利用win10和Edge的漏洞,以便于阻止勒索软件接触设备。

尤其是我们改进了edge来避免在(用户的)设备上利用漏洞进行包括勒索软件在内的所有恶意软件的下载与运行。漏洞是一串代码。通过这段代码,(恶意软件作者)可以利用软件自身的弱点来获得设备上的信息,或者能够在设备上安装恶意软件。我们通过增加防护措施(的手段)升级了Edge。这样就能阻止(有恶意软件)利用(edge)的弱点来运行其它程序。换句话说,即便在edge上发现了一处可以利用的漏洞,它也不再像(之前那样)容易被利用来下载任何恶意软件并加以运行。

Adobe Flash Player 是一个常用的浏览器插件, 并且被内置在 Microsoft Edge里 以保证您能安全地查阅Flash内容。 一些恶意软件的作者利Flash Player 的弱点来下载并运行恶意软件,比如说勒索软件。  在Win10年度更新版的edge浏览器中, Flash Player被设计只在自己的程序容器中运行。【换句话说,就是给flashplayer自身设置了一个固定的空间,类似于沙箱似的,让flash player只能在这个固定空间活动,不能超出范围】. 这将确保这些flash自身的弱点只能被flash player自己所调用,而恶意软件的作者想要利用flash player的漏洞来下载并运行恶意软件的话,(可以,)请先利用另一个漏洞从flash player程序容器中离开(,否则恶意软件将无法被flash player发现并调用)。

【举个形象点的例子估计大家就明白了:假设flash player是块满是窟窿眼的奶酪,它的漏洞就算是奶酪上的窟窿。而恶意软件的作者就像《猫和老鼠》里的老鼠杰瑞,而微软的设计师就是汤姆猫。杰瑞要偷奶酪,而汤姆要抓老鼠。

360截图-9459515.jpg

过去奶酪直接是露天放着,所以杰瑞用自己的盘子偷奶酪很容易,而汤姆是无可奈何。现在汤姆想出来一个办法,我把奶酪放在一个柜子(edge浏览器)里的某个小抽屉(flash player程序容器)中。现在杰瑞进入抽屉很容易,但是由于抽屉的空间太小,它的盘子带不进来,那么除非它再从抽屉上打另外的洞把盘子放进来装奶酪,否则它也离不开抽屉,只能是在抽屉里和奶酪干瞪眼。而只要它开始打洞,汤姆猫就会听见声音来抓老鼠。 比喻不是太恰当,不知道各位看官明白了没有】

由于这项工作,我们可以阻止很多勒索类的威胁感染系统。.例如,单击一个恶意链接或许会转向一个利用 Neutrino exploit kit 的网页,该网页会检索软件,比如 Adobe Flash Player, 来看看是否它的漏洞便于利用,能为今后的下载、运行恶意软件服务;(但是检索之后发现) Neutrino 这个漏洞无法在edge上工作。这样即使你浏览了一个利用了  Neutrino exploit kit的恶意网址,你的设备依然安全。

我们同样(通过技术改进)使得恶意软件利用Edge浏览器来攻击Windows内核变得更难了。 内核是Windows系统中享有高度权限的核心(组件)。这也是为什么恶意软件作者频繁攻击Windows内核的原因。 内核负责处理来自软件的系统调用来与Windows进行交互。在Win 10 年度更新中, 我们限制了可以被 Edge利用的系统调用方式。这也增加了某个危险的Edge 漏洞代码不会逃逸出浏览器内置沙箱,进而危害系统其余部分,比如你的重要数据,的可能性。 举例来说, 如果某个恶意软件作者试图调用某个易受攻击的系统调用来逃出沙箱并以一种不符合新的限制条件的方式来下载安装勒索软件的话,Edge 会锁定该系统调用,保证系统安全。

【看来Edge浏览器也是内置沙箱了,但是看看网上所谓的破解新闻,似乎这沙箱机制也不是太管用,等待后续更新吧,比如RS2。】

我们也在win10 年度更新中改进了  Address Space Layout Randomization  (ASLR) 随机分配地址空间。来进一步帮助(用户) 防御针对内核的攻击。 当一个程序在内存中加载时, 它(过去通常是)被加载在某些(固定)可以预见的内存空间。这样,一些恶意软件会利用漏洞提前攻击这些肯定要被加载的内存位置。ASLR 随机分配了由内核调用的内存空间, 这使得利用内核漏洞(作恶变得)更加困难,成本更高。
猪头无双
 楼主| 发表于 2016-11-12 14:39:30 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-12 21:49 编辑

SmartScreen 过滤器 URL 信誉的改进

为了将更好地防止基于浏览器的勒索软件接近用户放在第一位,我们通过(积累了)大批来自于网络资源的数据来拓展SmartScreen 过滤器。而这些资源数据是微软智能安全图—— the Microsoft Intelligent Security Graph的一部分。这些数据让我们得以更深入地了解利用漏洞进行攻击的企图,包括企图扩散勒索软件的行为。因此我们能重读数据,深入了解, 研发策略与新的特性,并运用机器学习的手段来更好地防护恶意软件。这其中自然包括建立网站和网址的信誉。当你的下意识点击会跳转到某个不安全的网址时,比如会转向一个典型的勒索软件, 我们会有能力提醒你,该网页不安全。

【Chrome和火狐好像早就这么干了

整合数据情报 也帮助我们发现了典型的攻击行为,尤其在这种行为正在发生并可以确认有紧急危险时;例如某些当代的恶意软件工具试图分发勒索软件的时候。我们可以利用这些已知信息更好地防护将要发生的威胁。过去六个月里,这类数据情报帮助我们每天阻止了多达20万次的漏洞攻击企图,当然20万次只是平均值。


商业与消费者生产力服务的投入

电子邮件是勒索软件经常感染的一个基本载体。2016年7月,, 我们发现了5800万次利用带有勒索软件威胁的邮件攻击我们的邮件服务客户的企图 。 勒索邮件的作者 在针对大企业的网络(发动攻击时)偏爱使用邮件。某位雇员会认为他收到的那封邮件来自可信的服务器端, 之后点击了邮件内的网址,或者打开了附件中的文件,然后中招了。

为了对抗包括勒索软件在内的恶意软件通过向我们的顾客或商业生产力服务用户发送邮件(发动攻击),我们采取了一些(特别的)技术。WD是这些技术中的一项,在过去的六个月中,我们为WD研发改进了提高检测率的技术。我们建立机器学习模块的初衷是为了保护设备,所以我们对它们增强,来捕获隐藏在邮件中的恶意软件。这些模块包括 建立专属触发功能(模块)来分析含有勒索行为的可疑附件。我们也 把新的启发模块添加到未来的WD邮件防护功能模块中 以更有效地封锁可疑附件。我们也开发了 更快的特征码分发渠道来更快地升级 WD。通过这些投入,我们相当程度上减少了WD的误报率。这些与其他多层防护技术结合起来,保证了恶意软件在最少的程度上通过邮件进行扩散。
猪头无双
 楼主| 发表于 2016-11-12 14:41:32 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-13 10:36 编辑

三、检测

在WD上的投入

在win10年度更新版中,我们利用云端服务与样本自动递交系统加强了WD, 以便其能对包括新兴勒索软件在内的新威胁做出迅速反应。

为确保 基于云的防护与样本自动递交系统能够检测并封锁新的恶意软件而不必等待下一次定义更新到来之后才能封锁样本, 即使该软件从未出现过。 定义更新的准备与分发需要花费数个小时,而我们的云端防护分发这些防护(代码)是按秒计算的。

云端同样允许封锁某个通过机器学习、启发和智能安全图包含的信号等手段后分辨出的特定新鲜恶意软件。 当WD遭遇可疑文件时会询问云端系统, 当云端系统判定该可疑文件是恶意软件,比如勒索软件,那么WD会迅速封锁该样本。如果云端不能确定, 它需要WD上传一份文件副本,这样云端可以运用启发、机器学习和自动分析等手段进行检测。如果云端确定这是恶意软件, 它会将相关信息提供给其它连云的WD用户,以保证他们能利用这种基于云端的防护,更快的封锁恶意样本。更多细节请参考TechNet上的文章“Block at First Sight”  。

WD 同样运用了行为启发技术来检测样本。如果一个样本的行为很类似勒索软件的行为,那么这个样本将很快被拦截并封锁。启发工作并不依赖于一套特殊的特征码来判断某个样本是否是恶意软件,取而代之的,WD会根据行为进行对该样本的判定。

【混过卡饭的都知道启发是怎么回事,不知道的看http://bbs.kafan.cn/thread-2059441-1-1.html帖子中关于启发的定义,讲的很贴切。】

换句话说,如果某个病毒作者妄图通过修改一部分文件来躲避检测【比如修改个MD5啊,加个壳或者加个花指令啊,再或者盗用正规数字签名等等】, 那么他会徒劳无功。 通过改进了行为启发, 我们能更有效的对抗勒索软件。2016年7月我们侦测到的勒索软件中有15%是靠这种手段发现的。 剩下的85%是靠传统特征码及云端防护发现的。

【也就是说,RS1版的WD在本地加强了行为启发,同时连云进行“实时”样本分析。】

猪头无双
 楼主| 发表于 2016-11-12 14:41:50 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-13 11:29 编辑

四、反馈

Windows Defender Advanced Threat Protection WD高级威胁防护释出

在win10 年度更新版中,我们提供了 Windows Defender Advanced Threat Protection (ATP)。 这项新服务能提供企业级安全运营团队一个深入安全事件内部的角度(进行分析)并在他们的网络上发布警示。  企业级安全运营团队现在可以通过这一新的调查层面,直接从ATP服务控制台对勒索软件攻击做出调查并迅速响应。

WD的 ATP 服务日志记录*了WD在网络上监控到的全部设备上的安全事件与行为,之后把这些信息与云端分析进行整合以持续搜索并检测可能被其他防护层次错过的攻击信号。Windows Defender ATP 控制台提供详细的机器与文件/进程时间轴。该时间轴包含深度日志、, 流程执行树、注册表变化以及 文件与网络的运营(情况)。这些有助于安全团队迅速理解勒索软件是如何进入设备 , 它所造成的危害达到何种程度, 以及它是如何通过一个被感染的端点在网络中生存发展的。详细情况如图5所示。 通过整合生产力服务 ATP, 这些服务分享信息来提供一个更加全局性的角度(来观察) 企业(网络中)的攻击是什么样子。

01.jpg

图5:ATP提供系统级服务示意图

______________________________________________________________________________________________

*原文中是“The Windows Defender ATP service logs security events and behaviors across all the devices it monitors within a network” 英语中的log作为名词指日志,动词有记录的意思,很明显此处是一词两用,既使用了名词用法,也使用了动词用法,所以根据汉语习翻译为“WD的 ATP 服务日志记录*了WD在网络上监控到的全部设备上的安全事件与行为”


额外投入

除了操作系统中的上述改变, Microsoft Edge 与新释出的企业级情报服务之外,我们也提供了许多关于最新型威胁的信息与研究。去年,我们出版了一些博文公开了 勒索软件威胁的详细情况以及相关信息的下载地址。并在MMPC上针对经常被问及的关于勒索软件的问题进行了解答。同时,我们也在如何增强保护对抗勒索软件的相关信息里提供了方法。
猪头无双
 楼主| 发表于 2016-11-12 14:42:15 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-13 22:08 编辑

今日Win10


日益增长的可疑行为向我们揭示了勒索软件可能就隐藏在我们的系统中。 因此,新的勒索软件种类日益增多, (利用)每一条社会工程策略与恶意软件的分布式服务模块来感染设备。

在win10年度更新中 我们采用了新技术来加强win10系统对抗恶意软件,包括勒索软件的能力。 我们如此做的目的是为了能够增大用户在使用edge时,(被恶意软件)利用特定漏洞的难度。我们也增强了  URL 信誉来更好地提示你 可能的不安全网站。 我们增强了封锁邮件的能力,以保证每封邮件到达我们客户与商业生产力套装的顾客 (手里时都是安全无害的)。我们提供了Windows Defender ATP让企业在面对勒索软件的攻击时能够更容易地调查并作出反应,等等。

为帮助对抗勒索软件, 我们鼓励您升级到win10年度更新版系统, 接受默认的安全设置,确保你的设备得到最新的更新来保证安全, 并采取更广泛的备份策略。

除此之外, 为帮助您的公司, 我们也在WD中采用了 Block at First Sight 云服务, 并提供Windows Defender ATP与 Block at First Sight 云服务一起提供另一层安全防护。

网络威胁永不会消失,我们的努力也不会消失。当我们稍有进步时,(我们知道)我们还需要做更多工作。我们将继续投入(资源)参与对勒索软件的调查。相关信息请参看 微软 产品选集。我们也诚挚地邀请您通过微软恶意软件防护中心博客监督我们的进步。
猪头无双
 楼主| 发表于 2016-11-12 20:42:41 | 显示全部楼层
本帖最后由 猪头无双 于 2016-11-13 12:50 编辑

更多参考文献


Microsoft Malware Protection Center blog posts about ransomware

Ransomware information on the Microsoft Malware Protection Center website

Ransomware threat intelligence report on the Microsoft Malware Protection
Center website

Windows Defender Block at First Sight on TechNet

SmartScreen on TechNet

Windows Defender Advanced Threat Protection on TechNet

Virtual Security Summit: Fighting Cybercrime with the Microsoft Intelligent
Security Graph on Channel 9

【上述参考文献的地址各位可以自行下载官方PDF或自行百度】

鸣谢

Eric Douglas
安全搜索团队

Rodel Finones
安全搜索团队

Tanmay Ganacharya
安全搜索团队

Aaron Hulett
安全搜索团队

Karthik Selvaraj
安全搜索团队

Robert Sim
安全平台团队

Raviv Tamir
Windows Defender ATP 团队

Sue Hotelling
企业与安全团队

Vincent Tiu
安全搜索团队

David Weston
安全搜索团队

+++++++++++++++++++++++++++++++++++++++++++++++

译后记:

到11月13日12:02 为止,本文全文翻译完毕。

从整体上看,这是一篇科普文档,面向的是小白级用户,主要介绍的是win10年度更新版,也就是RS1版在针对防勒索软件方面的改进。

这里可以看出科普文档与技术性文档的不同:科普文档重在科普,简单介绍相关技术,重点偏重于对相关概念的揭示;技术文档【参考ESET区拙作“ESET的多层防护与效果”一文】重点在于揭示各个层次间的技术流程。

回到本文,本文介绍了个人版与企业版的RS1的各自应对办法。个人版中主要是利用Edge浏览器的沙箱+WD的本地行为启发/云端分析的办法来对抗勒索;企业版除了上述两样,重点是ATP技术的简单解释。通过白皮书我们可以发现,企业版ATP更强调网络层级的作用,并且通过总控台详细揭示各个层面的威胁信息,达到防护目的。

这也算是回答了一个卡饭用户在使用企业版安全组件【比如VSE、EES、SEP、OFFICESCAN等】的时候的一个疑问:某某软件在样本区表现并不算如何好,为什么还有人愿意用?/某某软件卡死了,漏毒,防不住XX样本,万物杀,为什么还有人愿意用? 我用过时间最长的就算是VSE了,FSCS和SEP这种简单易用的企业版也用过。因此以VSE的使用经历举个例子来回答这类问题。

单纯的看VSE/MES一类软件,查杀效果和个人版比最多就算持平,甚至个别的还有不如;VSE虽然有规则,但是防不住硬盘炸弹,没有 ND,FD和RD还不是很全面,为毛还有人用?除了变相免费之外,更主要的是用企业版的人都知道自己电脑里有些什么玩意,哪些地方可能中毒,哪个文件需要排除,更主要的是,用这些东西的人都知道自己的网络习惯是什么样。所以他们不需要考虑很多,要么是全盘禁运,个别放行;要么是全盘放行,个别禁运。所以这些东西对他们而言很安全。

相比之下,各位可以去看看铁壳区,自从@驭龙  的帖子 http://bbs.kafan.cn/thread-2062494-1-1.html 发布之后,有多少小白盲目的去用SEP14版了,之后各路问题频繁出现。这就是没有准确对自己的网络习惯进行定位的缘故。这些用户只看见所谓的强大功能,比如A杀,比如B杀,却连最基本的报毒位置都不会看,

这些单词每个意思我都懂,放在一起就不懂了。


这是我回复某位用户“看不懂英语就别玩杀软”之后得到的回复。那么问题来了,整个计算机网络说白了都基于英语,因为最早的电脑和计算机语言都是英语国家的人发明的。所以各种代码、日志、目录全是英语。甚至整个win系统都是英语。如果不信的自己打开C盘,众多文件夹挨个点开,你能清楚明确的告诉自己哪个文件夹是放程序的,哪个文件夹是存临时文件的,下载下来的片子都在什么地方,缓存的歌曲都在哪个分区吗?如果你能做到,那么恭喜你,你已经初步掌握了电脑,如果能闭上眼睛,在脑海里告诉自己我的C盘除了系统之外有几大类东西,分别在哪儿;D盘里有几大分类,分别是什么东西·····那么你就可以用各种杀软了,因为你已经知道了该做什么,不该做什么,哪些东西你能碰,哪些东西碰不得。

但是如果你做不到的话,说句不好听的,请你还是远离国外杀软,尤其是收费版吧。因为这些杀软在误报(有时候还得涉及到反馈和排除呢)之后,你都找不到地方去恢复,换句话说,你都调教不好。最后结局只能是杀软激活码吃灰,还得得到你一句抱怨:某某杀软不行,垃圾。何苦来哉?你还不如干脆抱着国产360、金山、企鹅踏踏实实的泡妞打游戏呢,何苦跟一堆二进制码较劲?

如果你真心想学习,建议多思考一下前人的帖子,多多分析为什么这里要这么办,不这么办行不行。不要盲目套用别人的东西,这种电脑设置不像衣服裤子,大号小号将就一下都能穿,顶多是难看还是好看的问题。一旦套用不好,电脑死机、卡机、蓝屏算谁的?算你自己的,你不甘心,算别人的,人家早就说这玩意到你电脑上你要结合实际再修改,可你自己不听啊!

再有,卡饭是个藏龙卧虎的地方,网络背后的真实身份可能出乎你意料之外。比如@平淡  @sddmao  @秘书  @月光下的忍者 @小邪邪  这些老人在的时候(我看看能不能炸出几个核潜艇 ),卡饭的团队里有一位网友,真身是中国某个科学院的院士 你能想象得到吗?至少我当时是被惊着了。所以有一句网络俗语说得好:“莫装B,小心遭雷劈”。 包括我在内,我们所了解到的永远都是皮毛,我们所能想到的建议和意见,很大程度上软件的设计团队都想到了。所以在这些人面前卖弄聪明,实在是不智啊 然而总有那么几个人认为自己一个人的智慧顶的上人家几十人上百人多年智商的总和。 对于这类人,实在是说不了什么,且让他们自娱自乐去吧。

总而言之,研究杀软是一个辛苦活,使用倒是很简单,希望各位有志于彻底弄懂杀软的一起努力,而不是浮光掠影的追随大神的脚步(不是指责任何一位前辈的意思),人家说这个好我就用这个,人家说那个好我就用那个。真正花心思琢磨,打造属于你自己的安全保障体系。

完工。

评分

参与人数 2人气 +2 收起 理由
秘书 + 1 我来了
cpcpcpy + 1 版区有你更精彩: )

查看全部评分

ELOHIM
发表于 2016-11-12 21:37:36 | 显示全部楼层
支持楼主翻译技术贴。辛苦。
不过,再宣传微软的安全策略,恐怕坐不住的更多了。
—>>
所以,我得出一个总结,论反勒索,还是第三方软件好。
比如:
卡巴斯基就有非常优秀的反勒索工具和经验。推荐一下。
猪头无双
 楼主| 发表于 2016-11-12 21:51:55 | 显示全部楼层
ELOHIM 发表于 2016-11-12 21:37
支持楼主翻译技术贴。辛苦。
不过,再宣传微软的安全策略,恐怕坐不住的更多了。
—>>

没见我上一个翻译报告的结尾说的吗?测试勒索软件防护从来没有测试工具的,因为检测工具效果的时候太麻烦。
ELOHIM
发表于 2016-11-12 21:56:31 | 显示全部楼层
猪头无双 发表于 2016-11-12 21:51
没见我上一个翻译报告的结尾说的吗?测试勒索软件防护从来没有测试工具的,因为检测工具效果的时候太麻烦 ...


嗯。
我等你半天啊,都不敢回复。
怕你再占楼,我挨一顿心灵百步穿杨之苦。

勒索软件可以 进电脑,还是说明一件事,用户把关不严。
不请自来的客,要么是内置的,要么是非法入侵的,要么是用户手动下载的。
还有一种情况:请君入瓮,但是,被“君”闹翻了天……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|讨论汇| 卡饭论坛  

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.1( 苏ICP备07004770号 ) GMT+8, 2017-3-26 03:55 , Processed in 0.214664 second(s), 10 queries , Memcache On.

快速回复 返回顶部 返回列表