想到一个回避被微软入库的手段

显示全部楼层 · 发表于 2016-11-17 08:36:57

微软现在对于手工上报的样本，基本不闻不问，经常仍在一边几个月也不管。主要精力都放在WD客户端双击时候的程序行为上报分析，这也是微软现在主要的一个搜集病毒的手段。所以如果恶意软件上来先干掉WD的上报功能，或是直接干掉WD，那么光靠用户手工上报的话，一时半会儿是不会入库的

显示全部楼层 · 发表于 2016-11-17 10:54:42

本帖最后由驭龙于 2016-11-17 10:56 编辑

你的问题在于不了解Windows 10 WD，其拥有的PPL权限比Administrator权限更高，就算病毒获得管理员权限又有何用，也干不掉PPL权限的WD自我保护

显示全部楼层 · 发表于 2016-11-17 10:55:49

驭龙发表于 2016-11-17 10:54
你的问题在于不了解Windows 10 WD，其拥有的PPL权限比Administer权限更高，就算病毒获得管理员权限又有何用 ...

直接断网呢？先断网，再勒索加密。

显示全部楼层 · 发表于 2016-11-17 10:58:32

540923555 发表于 2016-11-17 10:55
直接断网呢？先断网，再勒索加密。

大多数断网的都无法连接服务器了，勒索自己都残疾了。

另外非法断网行为太大，WD不可能无动于衷，甚至有可能直接Behavior Level干掉样本了

显示全部楼层 · 发表于 2016-11-17 11:00:52

驭龙发表于 2016-11-17 10:58
大多数断网的都无法连接服务器了，勒索自己都残疾了。

另外非法断网行为太大，WD不可能无动于衷，甚至 ...

比如改HOST做不到吗？

显示全部楼层 · 发表于 2016-11-17 11:20:00

540923555 发表于 2016-11-17 11:00
比如改HOST做不到吗？

你试一试0.0.0.0 www.baidu.com
添加到HOSTS里，然后保存一下，看看你监控全开的WD会是什么反应

显示全部楼层 · 发表于 2016-11-17 11:27:24

驭龙发表于 2016-11-17 11:20
你试一试0.0.0.0 www.baidu.com
添加到HOSTS里，然后保存一下，看看你监控全开的WD会是什么反应

改HOST说没权限，但是通过复制粘贴，替换HOST文件是OK的

我从网上下载的改google Host的批处理，从来没被WD拦截过（监控全开）

显示全部楼层 · 发表于 2016-11-17 11:30:38

540923555 发表于 2016-11-17 11:27
改HOST说没权限，但是通过复制粘贴，替换HOST文件是OK的

谷歌的是正常的，WD不拦截，等我有时间重启WD的时候，我会给你测试

显示全部楼层 · 发表于 2016-11-17 11:34:06

驭龙发表于 2016-11-17 11:30
谷歌的是正常的，WD不拦截，等我有时间重启WD的时候，我会给你测试

我试了，有问题的HOST也没有拦截，只要是通过复制粘贴过去的HOST文件，就只有UAC的一个提示（和win7一样的）

显示全部楼层 · 发表于 2016-11-17 11:35:53

540923555 发表于 2016-11-17 11:34
我试了，有问题的HOST也没有拦截，只要是通过复制粘贴过去的HOST文件，就只有UAC的一个提示（和win7一样 ...

你那是不对的，你那种是跳转威胁网站，并不是阻止访问某些位置，OK

[技术探讨] 想到一个回避被微软入库的手段