发现一个神奇的东西，大佬们快来看看

B100D1E55

iduserid 发表于 2017-2-9 11:34
https://www.foolishit.com/cryptoprevent-malware-prevention/
它把自己说得很牛，
我在一个病毒测试 ...

你如果能访问油管的话，有一个up主叫cruelsister1，他测了很多防勒索的实际效果，你可以参考一下

B100D1E55

boyaka 发表于 2017-2-9 11:21
你可以去拿你说的可以绕过本地mi-guan的样本来试。我保证你绕不过。
下面解释为什么绕不过，终结者的mi- ...

算法方面我没试过不清楚……
从你对versioning的描述来看，你是否有考虑过这种情况：勒索软件添加了自启动，当次加密，重启再加密一次。这样你的程序会不会把这个判为两个程序因而冲刷掉老版本呢？毕竟你还要给普通能改动文档的程序留条活路。当然也可能是我对你这个机制的理解有误。如果你强制最老的备份无法被修改，又如何能保证勒索恢复出来的文件一定是用户遭害前的最新版呢？

boyaka

B100D1E55 发表于 2017-2-9 11:40
算法方面我没试过不清楚……
从你对versioning的描述来看，你是否有考虑过这种情况：勒索软件添加了自启 ...

感谢您的热心哈：）
是这样的，因为陷阱的文件无法被发现，因此不会存在加密后在启动一次的情况，它加密的过程中必然触发陷阱然后被清掉。
但就你问的问题，我再给你做一个假设，就是怎么防住加密以后在加密一次的情况。
这就是我最后把备份文件设计成三次备份的原因，这三次备份分别为：
最早的备份
昨天的备份
今天最新的备份。
这么设计是为了，哪怕你可以今天拼命的覆盖型的写备份，也只能影响到今天的备份。为什么设计成3次，而不选择更多次，因为更多次太占用硬盘空间了。
因此，如果是用户今天中了勒索软件，最坏的情况是你可以拿到昨天的备份。如果昨天这个文件没有被改过的化，你可以恢复到今天最早一次覆盖写之前的那次备份。
出此之外。连用户当前正在工作时，如果中了勒索软件，触发了陷阱检测系统，但手头还有为保存工作怎么办。陷阱系统一旦触发，对磁盘所有的写操作都会被挂起。但是这个时候会生成出一个临时文件夹，这个文件夹只运行保存新文件，但不允许修改、删除或者重名已经保存的新文件。用户在这时可以把为保存的工作文件保存在这个文件夹中。这就解决的你说的这类问题。

B100D1E55

boyaka 发表于 2017-2-9 11:57
感谢您的热心哈：）
是这样的，因为陷阱的文件无法被发现，因此不会存在加密后在启动一次的情况，它加密 ...

哈哈多谢解答，你这么一说我有兴趣试用一下看看，给你点个赞

孙长老

boyaka 发表于 2017-2-9 11:57
感谢您的热心哈：）
是这样的，因为陷阱的文件无法被发现，因此不会存在加密后在启动一次的情况，它加密 ...

没想到现身说法。。果然很铁