nod32的hips能防御勒索吗？

iduserid

linzh 发表于 2017-1-4 03:38
那你就举出个例子来呗，哪一家族的勒索是通过u盘传播的，或者是其他角度传播的
勒索搞的就是游击 ...

对不起，我错了！
我说的话，请您忽略，视而不见！

ysj963

iduserid 发表于 2017-1-4 03:32
缉卫队大人好，
以理论我不懂，勒索病毒简单理解为“勒索”特征，
大多前提为加MI或锁机！

ESET为什么对感染性病毒无力，全局防注入可以解决吗？

iduserid

ysj963 发表于 2017-1-4 10:25
ESET为什么对感染性病毒无力，全局防注入可以解决吗？

ESET10勒索病毒防御测试，参考
http://bbs.kafan.cn/thread-2062419-1-1.html

这是其它人以前的测试，默认规则有点效果，但实话说，不理想！
高手自己制定规则，可能防御能力提升！

关于NOD32对于感染类型病毒效果不好，，原理我也不知道！

以我在本论坛瞧过的文字，和实际碰到的情况说（个人观点）。（我不用NOD32）

我用大蜘蛛，如果大蜘蛛认为文件是病毒，自动到隔离区，
你认为文件安全，从隔离区恢复，并加信任，
恢复后，文件通常实际还是不能正常运行，要重启动电脑，文件才能运行。（说不定在连网检测，不懂）
大蜘蛛可以“锁死”文件。

以前我们论坛有人提过MCAFEE处理可疑文件（时间久了，好像是MCAFEE）
文件被改名，并加了权限，MCAFEE处理它时，阻止它进一步“感染”，

NOD32这样的能力好像不太完美，

以前我用NOD32,发生过病毒越杀越多，（有可能没捉住根源文件）
通俗说：NOD32并没有“锁死”病毒文件，病毒还在扩散，
或者理解为病毒传染比NOD32“快一步”，NOD32慢半拍，

原理不懂，通俗理解就是这样，

当然不可否认NOD32的综合能力，要不然也不能在安全市场混这么久。

补充：电脑管家论坛，它们的客服提过查杀恶性病毒，有时要查杀多次，电脑重启动多次，
估计就是发生了，A生成B，B生成C，C生成D文件，
要先清理D，再清理C，，再，

linzh

iduserid 发表于 2017-1-4 03:55
对不起，我错了！
我说的话，请您忽略，视而不见！

跟我说啥对不起啊，你又没把我咋地。。
我只是把你的错误揪出来免得误导他人。。编辑一下答案就行啦
最后，视而不见不是这么用的吧骚年

iduserid

linzh 发表于 2017-1-4 10:49
跟我说啥对不起啊，你又没把我咋地。。
我只是把你的错误揪出来免得误导他人。。编辑一下答案就行啦
最 ...

勒索病毒，如果你关注这些信息，
有邮件传染的，有文档传染的，有上网页传染的，有系统漏洞的，
说不定会有U盘传染，这个方式，

我用通俗说的U盘病毒说明，只是告诉你病毒的分类，不是一种方式，
利用各种方式，最后加MI或者锁机，
因为加MI这一步，通常是合理的行为----本论坛有人自制加MI程序，测试各大安全软件，请先瞧下--
所以各大安全软件目前为此问题纠心，
个人用户可能很少有加MI文件这件事，
但世界这么大，其它行业，软件上应当有加MI这个行为，那是我未知的范围

加MI或者锁机前的动作是关键，---，传染方式（传染途径）----传染方式（传染途径）----

以前我在本论坛提过，勒索病毒只是以某一类特征，叫它勒索病毒，
实际面对是病毒很多种传染方式以及系统漏洞等等
各种传染方式，加上勒索，，统称，勒索病毒

中文学得好的，可以只关心“勒索”2字，，勒索2字之前通常是加MI2字，，加MI2字之前通常是以什么方式进入用户电脑，，
心有多大，世界多大，
眼神好不好，脑袋能想多少，决定人关注的多少，

ysj963

iduserid 发表于 2017-1-4 10:47
ESET10勒索病毒防御测试，参考
http://bbs.kafan.cn/thread-2062419-1-1.html

所以ESET用hips防注入了吧 ，我查了下，感染性病毒就是代码分割注入DLL等，ESS10不是已经支持DLL查杀了吗，模块已经全换成DLL了。

sunnyjianna

我可以说道高一尺魔高一丈么，这世上如果有号称防得住的盾，就会有钻研这方面漏洞的人。我觉得还是硬盘U盘备份靠谱，至于说ESET的HIPS防得住还是防不住的问题，我觉得收集过入库的肯定没事，新出来的说不准。HIPS更加是考验用户智商运气手气的东西，楼主问防不防得住，也要问自己看不看得懂

陈诺1887

学习了，刚才才去做了勒索的题，都还是满脑的问号，
这里就有解答了～！

linzh

iduserid 发表于 2017-1-4 11:07
勒索病毒，如果你关注这些信息，
有邮件传染的，有文档传染的，有上网页传染的，有系统漏洞的，
说不定 ...

还是那句话，那你举出例子啊。。。

---

还有传染是什么意思请你解释一下？也请你举例说明。。我猜一下，如果说是”传播，感染“之意的话，请问哪个勒索双击了会先发勒索邮件给他人，文档就更扯淡了，都加密了还“传染“个毛线？网页也是
如果你说的是运行的话，文档，邮件你不作死点开哪个不知道哪里来的文件，附件勒索会运行吗？说到底还是自己的锅，怎么还赖系统了。。网页挂马是一种，但是原理也是挂马利用漏洞将勒索下载到电脑里运行，效果等同于双击。系统漏洞？搞笑吧，零日漏洞用到这个上面是不是有点浪费啊？
说的话也漏洞百出，病毒感染系统没错，谁告诉你勒索就是病毒的？我们平常说的时候懒得分类罢了
勒索属于Malware，malware包括virus, trojan horse等
第二段似乎没有什么错误，那我来告诉你u盘传染是多么的不靠谱：
首先u盘是你的，是离线的，黑客没有任何办法通过网络来往你u盘里面丢东西。有这功夫足够把你电脑里面的全部文件都加密了；其次，现在各个杀软都把勒索定为头号威胁，发现就拉黑，有云的杀软相应时间几乎是秒级的，你拔插u盘都要用不少时间吧，更何况u盘是为了携带资料，等到你第二天再查u盘杀软早就入库咯；最后，勒索软件的动作很小，因为动作一大非常容易被杀软发现，所以勒索软件系统文件一律不碰，更别说u盘了
不懂就不要嘴硬装逼。。。连malware, virus and trojan horse的关系都分不清你还是好好去补补吧，漏洞真有这么多能给你随便用的么？微软的那帮人可不是吃素的，你就别来论坛瞎误导人了，一本正经的胡说八道
谁脑袋不好？谁眼镜不好？视而不见是什么意思请你百度一下好么？
再回复一些错漏百出的东西我可懒得纠正咯
看看你前面答的都是什么啊。。感染型病毒都出来了。。。别瞎冤枉人家病毒啊，ESET为什么防不住？你说你也不知道？还是去补补吧！反正不关感染性病毒的锅

fireherman

@linzh   

详细看完楼上很多坛友的回复，差点吐血。

首先对应主题：ESET的HIPS可以防勒索，但需要手动设置（手动写规则进行防护）。

其次就是楼上各位的误读和误解：

---

1，U盘感染，进而被勒索：

U盘（或者DVD光盘等外部介质）最多的是蠕虫，原因就是U盘/DVD【自动播放】释放病毒感染主机文件，例如exe, dll，让这些可执行程序（的代码）去感染全盘，继而波及CAD（autocad），DOC（office）；两者都属于【写代码进文件里的操作】。

既然是【写代码到文件里】，那么HIPS的FD规则就能防护，而【关闭自动播放】功能/【禁运设备】也可以防止。



感染U盘勒索不是没可能，只是情况比较少见：【自动播放】后进行重启并且锁屏；注入MBR加密；

而HIPS的RD规则防止写如注册表，FD规则防止直接磁盘访问（MBR）都能防住。

---

2，所谓的加密勒索，其实用实际的例子来说明最好：

我的电脑和你的电脑联网，进行远程协作，然后用 WinRAR / 7Zip 把你的文档加密压缩，然后删除原文档；你没有密码自然无法打开压缩文档，而我告诉你，你想要这些压缩文档的密码，请汇钱到我的账户……

加密勒索就是这么简单…… 典型的如 Cerber 就是如此。

显然……HIPS的FD规则【防写/删】锁定备份文档，它就没辙。（因为无法删除原文档，也无法对原文档进行写入密码的操作）

---

3，MBR注入重启并加密文档。

原理就是在磁盘底层写入恶意代码，然后修改注册表，继而强制重启电脑，抢在系统启动前（系统文件加载前）加密文档。

ESET的HIPS的FD规则就有这种防护MBR的功能（直接磁盘访问）