不服再测，ESS强大的HIPS原来是可以发现和阻止未知勒索病毒的！

cwl12315

如果不能规则处理自动化，这个帖子意义就不大了。当然单纯用FD保护一下重要数据目录，那倒是肯定够用的。

greenfinger168

cwl12315 发表于 2017-7-29 10:47
如果不能规则处理自动化，这个帖子意义就不大了。当然单纯用FD保护一下重要数据目录，那倒是肯定够用的。

可能你没有认真看我的标题

我所强调的根本不是一般的日常使用场景

HIPS开启交互模式根本就不适合一般用户使用，因为他们根本不具备那样的专业水平

HIPS交互模式只适合“高级用户”使用

HIPS交互模式对测试和研究病毒非常有帮助

卡饭论坛是个安全论坛，来这里的朋友应该对系统安全比较在意

其实我想表达的是HIPS交互模式非常适合对新软件的安全评测

westbyte

楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式只要允许了第一步，后面全部阻止也会被加密

greenfinger168

westbyte 发表于 2017-7-30 12:03
楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式 ...

[可疑文件]File name: q2oic2i0b.exe Detection ratio: 7 / 62 带有数字签名的勒索
原帖发布时间： 2017-7-18 21:30:15


紧接着2楼跟帖  ESET就已报毒  发表时间 2017-7-18 21:35:54


我是7月19日进行的测试    结果在28楼   发表时间 2017-7-19 12:15:11


对于这种可以检测出的“已知病毒”，根本轮不到HIPS上场！

cloud01

这一贴告诉我们 ，只要用ESET的AD规则，启用新应用程序全局监控就能防御，相当于严格化的UAC，其实只要监控C盘新应用程序启动就行了。为了简化判断，其实只要把所有软件都装在一个自建的文件夹，然后其他系统默认文件夹都禁止启用新程序，除了windows下询问，不知道这样是否可行。

greenfinger168

westbyte 发表于 2017-7-30 12:03
楼主测一下能防得住这个勒索病毒吗 http://bbs.kafan.cn/thread-2096756-1-1.html
在我虚拟机里开交互模式 ...

“在我虚拟机里开交互模式只要允许了第一步，后面全部阻止也会被加密”

我在虚拟机里测试的情况是

即使我把ESS里面“病毒防护-文件系统实时保护-THREATSENSE参数-正在清除-清除级别”设置成“不清除”

双击病毒样本，点击允许，弹出警告，点击允许，弹出警告，........一直这样循环

我还没有找到让这个病毒继续运行下去的方法

这也许是ESET对待已知病毒比较稳妥的做法

即使下载时报警，你不处理选择放行，保存下来的病毒也无法让你运行

我试过几次这种情况，想了解一下病毒是怎么运作的，ESET都不给机会

这样做的好处在于不给或减少给病毒制造者改进病毒的机会

你出现的问题，可以通过先恢复ESET默认设置，然后再重新设置来解决

其实，每次测试新病毒之前，建议最好都恢复默认设置，再把里面的设置重新设置一次

greenfinger168

cloud01 发表于 2017-7-30 17:02
这一贴告诉我们 ，只要用ESET的AD规则，启用新应用程序全局监控就能防御，相当于严格化的UAC，其实只要监控 ...

“这一贴告诉我们 ，只要用ESET的AD规则，启用新应用程序全局监控就能防御，相当于严格化的UAC”

非常赞同你这个观点！

Китай

UAC 2.0进化版 ?

wan719859056

cloud01 发表于 2017-7-28 21:00
你这实际操作不可行的，都不是在关键目录启用新程序，一般人不会开交互模式，写规则也只会管系统文件目录， ...

同意，一般人哪会去开交互模式啊，开一个软件弹窗真的点得手抽筋。很纠结交互模式是干嘛的，正常情况下打开没必要，不打开又被高级勒索过。

cloud01

greenfinger168 发表于 2017-7-30 17:40
“这一贴告诉我们 ，只要用ESET的AD规则，启用新应用程序全局监控就能防御，相当于严格化的UAC”

非常 ...

有一说一 ，我只推出我能推出的最直接结果，最怕论坛一些人通过几个技术问题推出你这个人是怎么样的。