123
返回列表 发新帖
楼主: 孙长老
收起左侧

[转帖] 发现一个神奇的东西,大佬们快来看看

[复制链接]
B100D1E55
发表于 2017-2-9 11:35:31 | 显示全部楼层
iduserid 发表于 2017-2-9 11:34
https://www.foolishit.com/cryptoprevent-malware-prevention/
它把自己说得很牛,
我在一个病毒测试 ...

你如果能访问油管的话,有一个up主叫cruelsister1,他测了很多防勒索的实际效果,你可以参考一下
B100D1E55
发表于 2017-2-9 11:40:12 | 显示全部楼层
boyaka 发表于 2017-2-9 11:21
你可以去拿你说的可以绕过本地mi-guan的样本来试。我保证你绕不过。
下面解释为什么绕不过,终结者的mi- ...

算法方面我没试过不清楚……
从你对versioning的描述来看,你是否有考虑过这种情况:勒索软件添加了自启动,当次加密,重启再加密一次。这样你的程序会不会把这个判为两个程序因而冲刷掉老版本呢?毕竟你还要给普通能改动文档的程序留条活路。当然也可能是我对你这个机制的理解有误。如果你强制最老的备份无法被修改,又如何能保证勒索恢复出来的文件一定是用户遭害前的最新版呢?
boyaka
发表于 2017-2-9 11:57:15 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:40
算法方面我没试过不清楚……
从你对versioning的描述来看,你是否有考虑过这种情况:勒索软件添加了自启 ...

感谢您的热心哈:)
是这样的,因为陷阱的文件无法被发现,因此不会存在加密后在启动一次的情况,它加密的过程中必然触发陷阱然后被清掉。
但就你问的问题,我再给你做一个假设,就是怎么防住加密以后在加密一次的情况。
这就是我最后把备份文件设计成三次备份的原因,这三次备份分别为:
最早的备份
昨天的备份
今天最新的备份。
这么设计是为了,哪怕你可以今天拼命的覆盖型的写备份,也只能影响到今天的备份。为什么设计成3次,而不选择更多次,因为更多次太占用硬盘空间了。
因此,如果是用户今天中了勒索软件,最坏的情况是你可以拿到昨天的备份。如果昨天这个文件没有被改过的化,你可以恢复到今天最早一次覆盖写之前的那次备份。
出此之外。连用户当前正在工作时,如果中了勒索软件,触发了陷阱检测系统,但手头还有为保存工作怎么办。陷阱系统一旦触发,对磁盘所有的写操作都会被挂起。但是这个时候会生成出一个临时文件夹,这个文件夹只运行保存新文件,但不允许修改、删除或者重名已经保存的新文件。用户在这时可以把为保存的工作文件保存在这个文件夹中。这就解决的你说的这类问题。


评分

参与人数 1经验 +20 人气 +1 收起 理由
屁颠屁颠 + 20 + 1 版区有你更精彩: )

查看全部评分

B100D1E55
发表于 2017-2-9 11:58:44 | 显示全部楼层
boyaka 发表于 2017-2-9 11:57
感谢您的热心哈:)
是这样的,因为陷阱的文件无法被发现,因此不会存在加密后在启动一次的情况,它加密 ...

哈哈多谢解答,你这么一说我有兴趣试用一下看看,给你点个赞
孙长老
头像被屏蔽
 楼主| 发表于 2017-2-9 16:36:41 来自手机 | 显示全部楼层
boyaka 发表于 2017-2-9 11:57
感谢您的热心哈:)
是这样的,因为陷阱的文件无法被发现,因此不会存在加密后在启动一次的情况,它加密 ...

没想到现身说法。。果然很铁
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 03:46 , Processed in 0.092709 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表