诺顿回滚是不是被砍了

显示全部楼层 · 发表于 2017-5-28 12:02:36

驭龙发表于 2017-5-27 08:38
不是砍了，是文件加密的时候不能备份，所以无法恢复加密的文件

看来诺顿的回滚比起卡巴区别比较大啊？

显示全部楼层 · 发表于 2017-5-29 16:04:06

本帖最后由 popu111 于 2017-5-29 19:32 编辑

大概是不备份文件，只记录系统级操作吧。
YR的加密过程我在博客(https://bobiji.com/post/yourransom/)中有说。虽然是老版本，但新版本本质差别不大，同样为了效率使用对称的AES密钥，且密钥保存在内存中。从中可以看出，如果回滚系统记录的是文件修改或是程序的内存，那都是可以轻松解密回滚的。

显示全部楼层 · 发表于 2017-6-1 20:19:48

不知诺顿的回滚和卡巴的有什么不同啊

显示全部楼层 · 发表于 2017-6-2 12:49:46

四川缉毒总队发表于 2017-6-1 20:19
不知诺顿的回滚和卡巴的有什么不同啊

注意看帖子

比如病毒把某个注册表键值从1修改成2，诺顿会把2再修改回1
某个病毒创建了驱动，创建了服务，创建了注册表，诺顿会一一删除。

但是如果是文件被删除了，被加密了，就是不能恢复的即便是卡巴斯基和趋势科技，也是有条件的，有限制的恢复。

显示全部楼层 · 发表于 2017-6-2 12:50:42

谢谢告知，受教了

[讨论] 诺顿回滚是不是被砍了