毛豆防御加密病毒

柯林

默认主要是靠自动入沙防御，凡是未知程序（包括加密病毒），所有操作一律入沙，这一条很简单也很强悍，唯一的漏洞是签名认证问题（错把假冒病毒认证为安全或用户手动设为安全文件，就死翘翘）

另外一种，就是开HIPS，能够发现加密“特征动作”的话，一条规则就管死了；否则，只有文件保护（两个方法，一是把文本、图片、视频等文件纳入保护，禁止陌生程序更改，这个很简单，很容易做规则和加以掌控；二是计算机上所有的文件纳入保护，防止非法修改，这个带来的排除及管理很麻烦。）

有没有专门针对加密动作必须的COM接口或设备路径？发现的朋友请分享下。

---------------------------------------

目前看毛豆防御路线是：已知病毒，杀掉（隔离，删除）；未知病毒入沙，文件操作全部虚拟化，不会对实机造成伤害（潜在风险是文件认证问题，对于毛豆没有认证为安全，自己想要加白的程序，先右键在毛豆沙盘里跑下看看）

相关问题，请楼下补充与讨论

KK院长

未知病毒入沙。未知的程序禁止安装应该可以了。加密病毒没权限安装即完完。

柯林

KK院长 发表于 2016-3-4 09:49
未知病毒入沙。未知的程序禁止安装应该可以了。加密病毒没权限安装即完完。

拦截联网，基本上就废了
即使联网下载了加密指令，执行加密操作，全部虚拟化，“假”加密一次，没啥用

KK院长

柯林 发表于 2016-3-4 10:11
拦截联网，基本上就废了
即使联网下载了加密指令，执行加密操作，全部虚拟化，“假”加密一次，没啥用

忘了拦截联网(*^__^*) 嘻嘻，其实平时我们看到网友发来的所谓 美女.EXE 文件或100K文件基本上都不会收，点了也是HIPS 拦截。 加上文件备份，退一万不讲，中了也没事。

HEMM

这个多看看墨姐的帖子就可以，最近我不大舒服，没怎么看了，加密特有些样本的行为不大一样，光我就加了好几条新规则防御。由于最近没怎么去样本区，布吉岛最近是乍样，而且我每次的规则都是彻底重写，中间一段时间没用，我忘记那些服务器地址是要封死的了，不过服务器是不是常用的也布吉岛，可能过段时间会失效，不像广告联盟。
其中一个类型的抄了墨姐的，其余的有的要限制CMD,有的自动沙盒也许可以挡住，理论上，我没试过，因为胆子小，没双击，而且我也不稀饭沙盒，老是把我的游戏入沙，编写沙盒规则是可以，但我不稀饭用，不稀饭。
规则是要变的......反正我的不停的在变，当然好玩也是一个原因，毕竟我的应用程序多，规则量也跟着上去了。
加密特这个要从胆大心细经验多的墨姐那里取经，她忙的话，可以多看帖子自己领悟。
其实墨姐贡献了N个防护方案了，即使没开口详细说明，帖子也摆在那里，随便看看就能知道点皮毛。

柯林

HEMM 发表于 2016-3-4 12:22
这个多看看墨姐的帖子就可以，最近我不大舒服，没怎么看了，加密特有些样本的行为不大一样，光我就加了好几 ...

多测试就行，其实默认已经足以对付，一般没啥，有FD的只要规则不漏都能顶事
值得考虑的是关闭沙盘，开HIPS，防御上就复杂多了

按照这东东的流行路线，邮件、浏览器下载，基本见光死（HIPS有入口的都能搞定），最麻烦的是捆绑在安装包里的，纯HIPS如果信任安装包和合法路径（如系统目录与program files）就糟糕了

所以综合来说，最佳防御，还是HIPS+沙盘（HIPS安全模式就够了），一条未知入沙，即使安装进合法路径也没啥作用，HIPS顺便加一个数据保护规则（限制程序的文件操作），就够了

HEMM

柯林 发表于 2016-3-4 12:37
多测试就行，其实默认已经足以对付，一般没啥，有FD的只要规则不漏都能顶事
值得考虑的是关闭沙盘，开HI ...

啊？你确定默认的足以对付？你默认规则去双击墨姐的帖子内的样本试试，多双击几个......
我记得有些样本根本是防御无能，即使强悍如Angell 李子考虑周全的规则，也驾驭不住毛豆无法防御的点....

柯林

HEMM 发表于 2016-3-4 12:41
啊？你确定默认的足以对付？你默认规则去双击墨姐的帖子内的样本试试，多双击几个......
我记得有些样本 ...

抽空测几个看看吧

我另开一贴好了

Amitayus

不要打击柯大，那是毛豆的漏洞，与规则无关。

HEMM

柯林 发表于 2016-3-4 14:32
抽空测几个看看吧

我另开一贴好了

已看！嗯.....点赞