楼主: ELOHIM
收起左侧

[一般话题] 引擎已升级至 > 1.1.13407.0

[复制链接]
Virus4
发表于 2017-1-10 16:29:08 | 显示全部楼层
ELOHIM 发表于 2017-1-10 16:27
病毒变种太快了……
微软疲于应付。
你想啊,要入库的实在是,太多了……

据说Cerber最快两小时更新一次。。。
ELOHIM
 楼主| 发表于 2017-1-10 16:33:55 | 显示全部楼层
Virus4 发表于 2017-1-10 16:29
据说Cerber最快两小时更新一次&#12 ...


上次在国外区提到过一个方法,貌似没有人在意。
前几天问230f4大神要了勒索样本来测试。

文件只读情况下,没任何毛病。


不过,也只能说,止于目前了。  如果用NTFS权限禁止重要文件夹\文件写入,那基本上可以杜绝大部分病毒了吧?不止勒索……

纯理论,请大神帮分析……
Virus4
发表于 2017-1-10 17:18:55 | 显示全部楼层
ELOHIM 发表于 2017-1-10 16:33
上次在国外区提到过一个方法,貌似没有人在意。
前几天问230f4大神要了勒索样本来测试。

我也是小白而已...

感觉要是程序修改文件权限的话就没办法了吧...
ELOHIM
 楼主| 发表于 2017-1-10 17:24:29 | 显示全部楼层
Virus4 发表于 2017-1-10 17:18
我也是小白而已...

感觉要是程序修改文件权限的话就没办法了吧...


反正我不会…………
下班,回家了。
ccboxes
发表于 2017-1-10 21:15:57 | 显示全部楼层
ELOHIM 发表于 2017-1-10 16:33
上次在国外区提到过一个方法,貌似没有人在意。
前几天问230f4大神要了勒索样本来测试。

NTFS权限也可以改,而且搞只读你自己编辑的时候还要改回来,基本没什么实用性。

实际上HIPS防这玩意儿太简单不过,未知程序访问文档时询问;禁止未知程序注入信任程序(比如禁止注册其全局钩子)。它基本就没招了,全盘加密的就禁止未知程序进行底层磁盘/文件系统访问。
iduserid
发表于 2017-1-10 22:14:13 | 显示全部楼层
本帖最后由 iduserid 于 2017-1-24 03:15 编辑
ccboxes 发表于 2017-1-10 21:15
NTFS权限也可以改,而且搞只读你自己编辑的时候还要改回来,基本没什么实用性。

实际上HIPS防这玩意儿 ...


--CnCrypt 文件保护--
http://bbs.kafan.cn/thread-2051644-1-1.html
CnCrypt制作,理论上有效,中文
简单试用,可以“(多个)信任程序”对应相应“文件夹”?已测试:属实,实用
--"启用保护"后,简单测试,重新开机,保护策略仍然有效果--
配置文件感觉在C盘,所以用了开机还原C盘的朋友此软件估计没效果

对文件夹的权限简易设置,NTFS Permissions Tools
http://dbcstudio.net/software/download/npt/links.html
普通用户足够,也可以瞧到限制过的文件夹
无需从文件夹--属性--安全--设置,方便很多
我没有在论坛多提这软件,因为权限正常设置,没啥难度,而且在我们论坛,权限大家讨论得并不热情,
估计就算我发话题,提这软件,也很快沉下去,,,发贴,我没太多激情了,被删过多次了

这2个配合使用,权限设置方便很多
防御“勒索”,目前还是方便的
ELOHIM
 楼主| 发表于 2017-1-16 20:55:54 | 显示全部楼层
ccboxes 发表于 2017-1-10 21:15
NTFS权限也可以改,而且搞只读你自己编辑的时候还要改回来,基本没什么实用性。

实际上HIPS防这玩意儿 ...

用解除文件只读的操作换重要文件不被恶意修改,相对于付费寻找真正好用的杀毒软件来保护,还是值得尝试的吧……

做好防火墙测试,打好补丁,使用标准用户强密码登录,管理员强密码,UAC最高,NTFS禁止读写,本地杀毒软件都提示扫描错误……

真正重要、珍贵的文件是不需要任何编辑操作的。即使有错误。

当然,可以将要编辑的文件复制一份。但是原来重要文件的时间属性将永远不可改写。


HIPS当然也可以。只不过有一点磨练人。

文件简单只读,或可避免部分U盘恶意文件。

同时,还有磁盘配额,applocker,bitlocker,应用软件限制,IP安全策略,证书规则,公钥策略等等一大堆免费的方法……

当然,所有这一切全靠用户掌控。
如果用户随意,那么一切皆空话。

(假如用户一路将HIPS提示允许,那么…………)

很开心大神会回复我……么么哒。
iduserid
发表于 2017-1-24 04:14:39 | 显示全部楼层
本帖最后由 iduserid 于 2017-1-24 04:37 编辑
ELOHIM 发表于 2017-1-16 20:55
用解除文件只读的操作换重要文件不被恶意修改,相对于付费寻找真正好用的杀毒软件来保护,还是值得尝试的 ...


多一句话,为什么传统HIPS软件没落了?

传统HIPS软件,天天加规则,修改规则实际OUT了,(实际效果还是有1些)
如果15年前就瞧电脑杂志的朋友就知道,那时很多个人防火墙软件,很多以端口规则,文件名规则,
后来木马自定义端口,自定义文件名,,一大把个人防火墙软件效果“一落千丈”,
所以有了:关闭设置了关闭的,同意设置了同意的,其它的出现选择项或者自动项,
现在的现实,网络发达,有了“云端”,因为网络发达,文件“共享”机会大了很多,有了白名单,黑名单,
你能想到的,基本上软件公司他们考虑到了,所谓HIPS软件一升级,
规则比你考虑得全,稳定比你做得好,
个人很难搞什么“多步规则”,所以论坛有人说安全软件主防有“评级”这意思。到什么状态,出现提示提示。(打个比方,很多人玩的HIPS以“点”在战斗,安全软件公司考虑的是以整体在战斗)
如果网络还和10年前一样,传统的HIPS软件可能还能活些时间。
现在处于什么“大数据”年代,传统的HIPS软件步伐太慢了。
(写“大数据”3字,我想到“马云”2字,联想真丰富)
当年微点“自动分析文件”(行为监控??)“自动上传可疑文件”(“半”云??)观点很先进,
哎,如果当时就做什么“云”,说不定现在行业前列。

微软安全方面的功能实际是给专业人士用的,不是给普通用户用的!

我也不知道说的什么费话,脑袋一冲动,回复你了。
瞧见就当没瞧见罢。
ansen98
发表于 2017-1-24 13:23:04 | 显示全部楼层
用了一段时间,这货还是好用的
ELOHIM
 楼主| 发表于 2017-1-24 16:51:19 | 显示全部楼层
iduserid 发表于 2017-1-24 04:14
多一句话,为什么传统HIPS软件没落了?

传统HIPS软件,天天加规则,修改规则实际OUT了,(实际效果 ...

感谢解答!~  新年快乐。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:33 , Processed in 0.106718 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表