ESET10勒索病毒防御测试

aboringman

qftest 发表于 2016-10-29 17:05
就是想知道正式版是不是加强了测试版时的防护，目前来看并没有嘛

测试版时一脸的懵逼，虽然当时AMS是开着的，但没有任何的作用，然后疯狂的读写开始了

windows7爱好者

aboringman 发表于 2016-10-29 17:07
测试版时一脸的懵逼，虽然当时AMS是开着的，但没有任何的作用，然后疯狂的读写开始了

在ESET的高启发手里
不杀的样本太难找了

fireherman

windows7爱好者 发表于 2016-10-29 17:11
在ESET的高启发手里
不杀的样本太难找了

这句话应该顶置（开玩笑的），否则ESET会被黑得体无完肤。

windows7爱好者

全新测试！
这些全部都是下载者，我给简单的编了1-6号

双击第一个


但是欣喜之余，发现起作用的仍然不是官方规则，而是僵尸网络防护的内部网址拉黑

我想了一下，先把hta 的类型双击完吧
果然发现全是僵尸网络防护在起作用，这些地址都被拉黑了
第二个



第三个


这个测试说明ESET对于下载者还是有很不错的防护能力，靠内部的网址拉黑，能起到不错的效果

qftest

windows7爱好者 发表于 2016-10-29 17:21
全新测试！
这些全部都是下载者，我给简单的编了1-6号

虽然是跑题十万里且没有什么技术含量的网址拉黑，但至少证明@#$@!$%^##了呀，对吧
我表示很欣慰

windows7爱好者

这次到真正的JS的下载者

我们的官方规则，终于起作用了

三个都为这个提示，属于HIPS规则部分，禁止EXPLORER启动脚本宿主程序
事实上还禁止了一大堆，但是这是有弊处的，我想你们应该知道


本次测试圆满结束，以后我会不定期更新和BD的样本对比测试
直到....直到ESET的反勒索和BD一样优秀为止
附上官方规则地址
hips http://support.eset.com/kb6119/
fw http://support.eset.com/kb6132/
先去喝口茶

windows7爱好者

qftest 发表于 2016-10-29 17:24
虽然是跑题十万里且没有什么技术含量的网址拉黑，但至少证明@#$@!$%^##了呀，对吧
我表示很欣慰

呼，我该去休息了
测试圆满完成了
这个帖子我会不定期更新的

qftest

windows7爱好者 发表于 2016-10-29 17:30
呼，我该去休息了
测试圆满完成了
这个帖子我会不定期更新的

辛苦了您哪，终于看到ESET官方规则挽回了一丁点面子

其实是老人

恭喜楼主，在微博都能看到你的成果了。

windows7爱好者

qftest 发表于 2016-10-29 17:34
辛苦了您哪，终于看到ESET官方规则挽回了一丁点面子

其实所谓的官方反勒索规则
看了看，就是暴力的入口防护，在不影响系统正常使用的情况下，禁止这个，禁止那个
防火墙部分也就是禁止了一堆系统程序联网
本身不涉及IE，所以对于EXPLOIT的防护仍然很鸡肋
也就防一下脚本下载器
对于勒索进入到了本地，就毫无卵用了
我觉得还不如我自己来一条禁止注入explorer的规则实在
或者禁止IE启动新程序