查看: 6867|回复: 16
收起左侧

[技术探讨] 想到一个回避被微软入库的手段

[复制链接]
540923555
发表于 2016-11-17 08:36:57 | 显示全部楼层 |阅读模式
微软现在对于手工上报的样本,基本不闻不问,经常仍在一边几个月也不管。主要精力都放在WD客户端双击时候的程序行为上报分析,这也是微软现在主要的一个搜集病毒的手段。所以如果恶意软件上来先干掉WD的上报功能,或是直接干掉WD,那么光靠用户手工上报的话,一时半会儿是不会入库的
驭龙
发表于 2016-11-17 10:54:42 | 显示全部楼层
本帖最后由 驭龙 于 2016-11-17 10:56 编辑

你的问题在于不了解Windows 10 WD,其拥有的PPL权限比Administrator权限更高,就算病毒获得管理员权限又有何用,也干不掉PPL权限的WD自我保护
540923555
 楼主| 发表于 2016-11-17 10:55:49 | 显示全部楼层
驭龙 发表于 2016-11-17 10:54
你的问题在于不了解Windows 10 WD,其拥有的PPL权限比Administer权限更高,就算病毒获得管理员权限又有何用 ...

直接断网呢?先断网,再勒索加密。
驭龙
发表于 2016-11-17 10:58:32 | 显示全部楼层
540923555 发表于 2016-11-17 10:55
直接断网呢?先断网,再勒索加密。

大多数断网的都无法连接服务器了,勒索自己都残疾了。

另外非法断网行为太大,WD不可能无动于衷,甚至有可能直接Behavior Level干掉样本了
540923555
 楼主| 发表于 2016-11-17 11:00:52 | 显示全部楼层
驭龙 发表于 2016-11-17 10:58
大多数断网的都无法连接服务器了,勒索自己都残疾了。

另外非法断网行为太大,WD不可能无动于衷,甚至 ...

比如改HOST做不到吗?
驭龙
发表于 2016-11-17 11:20:00 | 显示全部楼层
540923555 发表于 2016-11-17 11:00
比如改HOST做不到吗?

你试一试0.0.0.0    www.baidu.com
添加到HOSTS里,然后保存一下,看看你监控全开的WD会是什么反应
540923555
 楼主| 发表于 2016-11-17 11:27:24 | 显示全部楼层
驭龙 发表于 2016-11-17 11:20
你试一试0.0.0.0    www.baidu.com
添加到HOSTS里,然后保存一下,看看你监控全开的WD会是什么反应

改HOST说没权限,但是通过复制粘贴,替换HOST文件是OK的


我从网上下载的改google Host的批处理,从来没被WD拦截过(监控全开)
驭龙
发表于 2016-11-17 11:30:38 | 显示全部楼层
540923555 发表于 2016-11-17 11:27
改HOST说没权限,但是通过复制粘贴,替换HOST文件是OK的

谷歌的是正常的,WD不拦截,等我有时间重启WD的时候,我会给你测试
540923555
 楼主| 发表于 2016-11-17 11:34:06 | 显示全部楼层
驭龙 发表于 2016-11-17 11:30
谷歌的是正常的,WD不拦截,等我有时间重启WD的时候,我会给你测试

我试了,有问题的HOST也没有拦截,只要是通过复制粘贴过去的HOST文件,就只有UAC的一个提示(和win7一样的)
驭龙
发表于 2016-11-17 11:35:53 | 显示全部楼层
540923555 发表于 2016-11-17 11:34
我试了,有问题的HOST也没有拦截,只要是通过复制粘贴过去的HOST文件,就只有UAC的一个提示(和win7一样 ...

你那是不对的,你那种是跳转威胁网站,并不是阻止访问某些位置,OK
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:55 , Processed in 0.118183 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表