费尔的文件陷阱 是否重启无效？虚拟机测试了驱动保护的病毒

幽冥の龙

我用这个帖子里的  
http://bbs.kafan.cn/thread-1782154-1-1.html

强化了这个恶作剧
http://bbs.kafan.cn/thread-1783619-1-1.html

当然费尔是可以拦截的所以全程我把防御都处于关闭状态

运行强化之后的 恶作剧

电脑被重启，重启后费尔拦截，点了清除

之后手动重启电脑，依旧费尔报警，刚才清除的东西又回来了

于是我把隔离区的还原，添加到文件陷阱里去，然后再把这些文件删了，按文件陷阱的说明当文件再被创建的时候能跟踪到是谁创建的是吧？

可是重启后还是回来了，并且木马陷阱里我添加的记录也没有，那木马陷阱是否只能抓捕当前创建的母体？ 电脑重启后就无效了？

那费尔如果在已经中此类 驱动还原的病毒木马的情况下，该如何修复系统呢？还是无能为力？

夜微凉

毒后清除能力不佳，费尔能回滚，在于黑盒记录样本步骤，然后根据记录回滚，关闭防御后，黑盒也就不工作了，可能有些动作没记住，导致中毒后清除回滚不给力，而且人家还是加驱的 这个病毒概念很新颖啊，加上大部分杀软免杀，伪装注入的话 估计要悲剧

幽冥の龙

夜微凉 发表于 2014-11-4 07:07
毒后清除能力不佳，费尔能回滚，在于黑盒记录样本步骤，然后根据记录回滚，关闭防御后，黑盒也就不工作了， ...

但那个文件陷阱不是说可以抓到是哪个创建的么
只是目前看来应该只是对删了马上再生的病毒木马起作用，电脑重启过程中再生似乎不起作用。
重启的过程中费尔还没有启动的关系吧？

夜微凉

幽冥の龙 发表于 2014-11-4 09:00
但那个文件陷阱不是说可以抓到是哪个创建的么
只是目前看来应该只是对删了马上再生的病毒木马起作用，电 ...

系统加固，驱动保护选择无签名拒绝，估计有效

幽冥の龙

夜微凉 发表于 2014-11-4 09:09
系统加固，驱动保护选择无签名拒绝，估计有效

这个可以让费尔在系统重启过程中拦截系统加载驱动？应该只是拦截正常使用过程中新添加的驱动吧

夜微凉

幽冥の龙 发表于 2014-11-4 09:22
这个可以让费尔在系统重启过程中拦截系统加载驱动？应该只是拦截正常使用过程中新添加的驱动吧

看谁加载快了

bb2009

这个东西微点也无能为力
别问我咋知道的，我不想说

zzl2008

期待官方给出解释

七宝

夜微凉 发表于 2014-11-4 07:07
毒后清除能力不佳，费尔能回滚，在于黑盒记录样本步骤，然后根据记录回滚，关闭防御后，黑盒也就不工作了， ...

还是你懂得多啊～

klinxun

夜微凉 发表于 2014-11-4 07:07
毒后清除能力不佳，费尔能回滚，在于黑盒记录样本步骤，然后根据记录回滚，关闭防御后，黑盒也就不工作了， ...

我倒是本身觉得关闭杀软部分防御来测试某个功能是不靠谱的……