楼主: greenfinger168
收起左侧

[分享] 不服再测,ESS强大的HIPS原来是可以发现和阻止未知勒索病毒的!

  [复制链接]
cwl12315
发表于 2017-7-29 10:47:37 | 显示全部楼层
如果不能规则处理自动化,这个帖子意义就不大了。当然单纯用FD保护一下重要数据目录,那倒是肯定够用的。
greenfinger168
 楼主| 发表于 2017-7-29 13:15:38 | 显示全部楼层
cwl12315 发表于 2017-7-29 10:47
如果不能规则处理自动化,这个帖子意义就不大了。当然单纯用FD保护一下重要数据目录,那倒是肯定够用的。

可能你没有认真看我的标题

我所强调的根本不是一般的日常使用场景

HIPS开启交互模式根本就不适合一般用户使用,因为他们根本不具备那样的专业水平

HIPS交互模式只适合“高级用户”使用

HIPS交互模式对测试和研究病毒非常有帮助

卡饭论坛是个安全论坛,来这里的朋友应该对系统安全比较在意

其实我想表达的是HIPS交互模式非常适合对新软件的安全评测






westbyte
头像被屏蔽
发表于 2017-7-30 12:03:11 | 显示全部楼层
本帖最后由 westbyte 于 2017-7-30 15:57 编辑

楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式只要允许了第一步,后面全部阻止也会被加密
greenfinger168
 楼主| 发表于 2017-7-30 16:07:54 | 显示全部楼层
本帖最后由 greenfinger168 于 2017-7-30 16:09 编辑
westbyte 发表于 2017-7-30 12:03
楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式 ...

[可疑文件]File name: q2oic2i0b.exe Detection ratio: 7 / 62 带有数字签名的勒索
原帖发布时间: 2017-7-18 21:30:15


紧接着2楼跟帖  ESET就已报毒  发表时间 2017-7-18 21:35:54


我是7月19日进行的测试    结果在28楼   发表时间 2017-7-19 12:15:11


对于这种可以检测出的“已知病毒”,根本轮不到HIPS上场!





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cloud01
头像被屏蔽
发表于 2017-7-30 17:02:42 | 显示全部楼层
这一贴告诉我们 ,只要用ESET的AD规则,启用新应用程序全局监控就能防御,相当于严格化的UAC,其实只要监控C盘新应用程序启动就行了。为了简化判断,其实只要把所有软件都装在一个自建的文件夹,然后其他系统默认文件夹都禁止启用新程序,除了windows下询问,不知道这样是否可行。
greenfinger168
 楼主| 发表于 2017-7-30 17:38:47 | 显示全部楼层
本帖最后由 greenfinger168 于 2017-7-30 17:41 编辑
westbyte 发表于 2017-7-30 12:03
楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式 ...

“在我虚拟机里开交互模式只要允许了第一步,后面全部阻止也会被加密”

我在虚拟机里测试的情况是

即使我把ESS里面“病毒防护-文件系统实时保护-THREATSENSE参数-正在清除-清除级别”设置成“不清除

双击病毒样本,点击允许,弹出警告,点击允许,弹出警告,........一直这样循环

我还没有找到让这个病毒继续运行下去的方法

这也许是ESET对待已知病毒比较稳妥的做法

即使下载时报警,你不处理选择放行,保存下来的病毒也无法让你运行

我试过几次这种情况,想了解一下病毒是怎么运作的,ESET都不给机会

这样做的好处在于不给或减少给病毒制造者改进病毒的机会

你出现的问题,可以通过先恢复ESET默认设置,然后再重新设置来解决

其实,每次测试新病毒之前,建议最好都恢复默认设置,再把里面的设置重新设置一次











greenfinger168
 楼主| 发表于 2017-7-30 17:40:41 | 显示全部楼层
本帖最后由 greenfinger168 于 2017-7-30 17:42 编辑
cloud01 发表于 2017-7-30 17:02
这一贴告诉我们 ,只要用ESET的AD规则,启用新应用程序全局监控就能防御,相当于严格化的UAC,其实只要监控 ...

“这一贴告诉我们 ,只要用ESET的AD规则,启用新应用程序全局监控就能防御,相当于严格化的UAC

非常赞同你这个观点!
Китай
发表于 2017-7-30 17:48:02 | 显示全部楼层
UAC 2.0进化版 ?
wan719859056
发表于 2017-7-30 18:42:05 | 显示全部楼层
本帖最后由 wan719859056 于 2017-7-30 18:43 编辑
cloud01 发表于 2017-7-28 21:00
你这实际操作不可行的,都不是在关键目录启用新程序,一般人不会开交互模式,写规则也只会管系统文件目录, ...

同意,一般人哪会去开交互模式啊,开一个软件弹窗真的点得手抽筋。很纠结交互模式是干嘛的,正常情况下打开没必要,不打开又被高级勒索过。
cloud01
头像被屏蔽
发表于 2017-7-30 20:27:02 | 显示全部楼层
greenfinger168 发表于 2017-7-30 17:40
“这一贴告诉我们 ,只要用ESET的AD规则,启用新应用程序全局监控就能防御,相当于严格化的UAC”

非常 ...

有一说一 ,我只推出我能推出的最直接结果,最怕论坛一些人通过几个技术问题推出你这个人是怎么样的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 19:57 , Processed in 0.093360 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表