楼主: B100D1E55
收起左侧

[讨论] 勒索防护的吐槽

  [复制链接]
jefffire
头像被屏蔽
发表于 2017-8-16 12:02:10 | 显示全部楼层
我觉得一年花个几十上百块就想当甩手掌柜,世界上哪有这种好事。
B100D1E55
 楼主| 发表于 2017-8-16 12:06:46 | 显示全部楼层
jefffire 发表于 2017-8-16 12:02
我觉得一年花个几十上百块就想当甩手掌柜,世界上哪有这种好事。

看情况吧。我觉得一年花个几十块阻挡80%以上的流行攻击还是可以的。但是天天弹窗搞排除让用户心力憔悴的话就是另一回事了
jefffire
头像被屏蔽
发表于 2017-8-16 12:08:51 | 显示全部楼层
B100D1E55 发表于 2017-8-16 12:06
看情况吧。我觉得一年花个几十块阻挡80%以上的流行攻击还是可以的。但是天天弹窗搞排除让用户心力憔悴的 ...

天天弹窗搞排除。基本还是没有吧,改MD5,自己写程序还是少数,不然早混不下去了。
B100D1E55
 楼主| 发表于 2017-8-16 12:16:01 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-8-16 12:17 编辑
jefffire 发表于 2017-8-16 12:08
天天弹窗搞排除。基本还是没有吧,改MD5,自己写程序还是少数,不然早混不下去了。

如果没有的话就没有那些万物杀的评价了,我自己用某大厂产品的时候经历过……当然我个人的使用习惯可能没有代表性,坛子里其他抱怨是有看到的。这个事情其实侧重哪个都有点理,有人就赞同用户要“行为规整”“不用小厂/绿色/非主流软件”,否则出了问题别怪人。我觉得杀软应该做得比这种描述要好一些才有意义。更别提一些杀软reputation库地域性还是比较明显的,依赖这种东西来报毒的话……感觉对一些用户并不是很友好
jefffire
头像被屏蔽
发表于 2017-8-16 12:21:25 | 显示全部楼层
B100D1E55 发表于 2017-8-16 12:16
如果没有的话就没有那些万物杀的评价了,我自己用某大厂产品的时候经历过……当然我个人的使用习惯可能没 ...

所以不同厂家的策略不一样,这算是市场细分吧
B100D1E55
 楼主| 发表于 2017-8-16 12:23:28 | 显示全部楼层
solstice1988 发表于 2017-8-16 12:01
全程弹弹弹问问问和压根不弹直接提用户决定的都不是好杀软,个人以为好杀软判断勒索还是用户主动行为 ...

适当提问是没什么问题,不过你说的情况建立在用户明确知道“这是个压缩软件,而不是其他什么东西”,否则社工下用户“明知道”这是正常软件,结果却是被加密也是有可能的。
此外我觉得用户看到杀软弹窗一般会优先选择阻挡,能仔细看进程名、操作文件的大概还算比较少了。
B100D1E55
 楼主| 发表于 2017-8-16 12:25:19 | 显示全部楼层
jefffire 发表于 2017-8-16 12:21
所以不同厂家的策略不一样,这算是市场细分吧

是,百花齐放是好事……不过我有时候还是觉得有一些实在是太不负责了,如果是AI课project要不及格的
猫大人
发表于 2017-8-16 12:42:26 | 显示全部楼层
本帖最后由 猫大人 于 2017-8-16 12:48 编辑

就像你说的杀软防止勒索技术上难度非常大。

那咋办?hips弹窗呗,这只是防勒索技术没有突破的情况下加强对用户防护的一个手段罢了。
况且,hips类弹窗大多都附带了对目标程序的一些行为分析,给了你信息去判断,并不能算是无脑丢回给用户。
说是说杀软把问题丢回给用户,但是讲真作为杀软,我用尽了侦测手段也没法检测出这个是不是病毒勒索或者什么恶意软件,咋办呢?难道直接放过吗?这才是更不负责任吧。

所以面对这种情况,杀软一般就两个选择:
1.罕见的应用程序(说的就是你FS),无脑拒绝访问
2.弹窗提示

也就是说不少所谓弹窗少,智能的杀软,其实也就相当于一些经常弹窗的杀软设置了“自动拒绝可疑操作”。
相比下来,可选择性反而更少




cloud01
头像被屏蔽
发表于 2017-8-16 12:49:12 | 显示全部楼层
B100D1E55 发表于 2017-8-16 11:48
我一直觉得过分询问用户的安全软件应该被称作“系统控制软件”,毕竟那种除了底下监控部分的工程成分之外 ...

说得对,HIPS规则不细化到最终干什么很难判断。
B100D1E55
 楼主| 发表于 2017-8-16 12:54:11 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-8-16 12:56 编辑
猫大人 发表于 2017-8-16 12:42
那些hips类弹窗就不能单纯用杀软的角度去判断了。

就像你说的杀软防止勒索技术上难度非常大。

其实弹窗不是主要问题,像emsi那种带鉴定性质的弹窗我个人还算可以接受(如果误报不高的话)

其他那种直接自动误杀阻挡/隔离,或者是过分详尽的行为弹窗(例如提示程序在进行注入)来骚扰用户我觉得并不是什么好事。例如一些正常软件也会注入,那么是防止还是不防止呢?这种情况下安软更妥当的做法是结合更多行为信息综合判断,而不是仅仅把“注入”这个信息告诉用户让用户自己纠结。

同理,ransom防护策略过分简单有时带来的用户决策成本极大,普通用户就算参与判断在社工伪装下也很无力,这是我本文想说的。至于用户用不用是另一回事
FS那种误报杠杠的,也有ESET那种杀不出来默认直接放行,至于其他处在中间的真要针对性攻击我看也悬
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:40 , Processed in 0.106149 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表