123
返回列表 发新帖
楼主: 王国之心00
收起左侧

[分享] 一个亲戚用江民速智版被盗50万(白加黑木马)

[复制链接]
刻舟求剑
发表于 2017-11-1 10:53:07 | 显示全部楼层
dsb2466 发表于 2017-10-30 21:23
任何一款安软对于加入了信任区的文件,对其任何操作都是直接放行的,如果按照你所说的那样去做信任区,那 ...

你这个问题问得好,首先你要明白,信任区既不是法外之地,也不是某些软件的保护伞。不是说一旦进了信任区就彻底安全了,软件就不再受管制了,不是这样的。我个人认为信任区就好比一个临时工专用的上班通道。你要知道不是所有的软件都需要通过信任区工作的,正常(五证齐全的)的软件安全软件是不会拦截的,如果一个非恶意软件被安全软件拦截说明它和正常(五证齐全的)软件肯定有一些区别,可能是由于缺少了某些必要的东西,从而导致安全软件无法识别。那么在问题解决之前可以通过信任区来运行该软件,如果该软件是恶意软件伪装的,那么在出现明确风险行为时依然会被安全软件拦截。我认为这才是信任区的正确使用方法。如果像你说的那样加入了信任区的文件,对其任何操作都直接放行,远的不说,前不久国内某安全厂商就发生过一次白名单安全事故,这和添加信任区是一样的,万一用户判断失误把恶意软件加进信任区,那么后果不堪设想。
刻舟求剑
发表于 2017-11-1 11:01:09 | 显示全部楼层
yfdyh000 发表于 2017-11-1 10:14
直接处理有利有弊,误杀添麻烦,系统崩溃也未尝不可能。不同用户/环境的需求不同,很难一概而论。

这个可以设置的,只是趋势科技默认自动处理而已,如果你确认被移除的文件是安全的,你可以还原,还原后该文件会自动进入例外列表里面。我个人喜欢让安全软件自动处理威胁
jefffire
头像被屏蔽
发表于 2017-11-1 11:25:21 | 显示全部楼层
刻舟求剑 发表于 2017-11-1 10:53
你这个问题问得好,首先你要明白,信任区既不是法外之地,也不是某些软件的保护伞。不是说一旦进了信任区 ...

据我所知不存在这样的安全软件 只能劳烦您自个儿编一个了。
dsb2466
头像被屏蔽
发表于 2017-11-2 02:28:09 | 显示全部楼层
刻舟求剑 发表于 2017-11-1 10:53
你这个问题问得好,首先你要明白,信任区既不是法外之地,也不是某些软件的保护伞。不是说一旦进了信任区 ...

从你的回复,能看出你对安软的相关原理或者常识并不了解。
首先你要明白,信任区既不是法外之地,也不是某些软件的保护伞。
信任区是需要用户手动添加进去,目的就是因为杀软的某些提示对用户造成了困扰,所以,无论这个提示是正确的还是错误的,一旦用户点击了添加信任的按钮,就代表用户不希望有这个提示。如果作为杀软,对于在信任区的文件还继续坚持提示,那么,这就不是一个合格的杀软,因为你已经和你存在的初衷相违背了。

我个人认为信任区就好比一个临时工专用的上班通道。
信任区是VIP通道,不是临时通道

你要知道不是所有的软件都需要通过信任区工作的,正常(五证齐全的)的软件安全软件是不会拦截的,如果一个非恶意软件被安全软件拦截说明它和正常(五证齐全的)软件肯定有一些区别,可能是由于缺少了某些必要的东西,从而导致安全软件无法识别。
没有“五证齐全”的说法。安全软件判断一款软件是否有病毒,会从多个维度进行判断,要说“证”的话,那我估计也就只有数字证书了,对于大厂的数字证书而言,杀软一般会直接加白(云端或者本地库),目的是为了防止误报。而对于更多的没有证书的文件的话,拦截提示框又分为病毒提示框和主防行为提示框,病毒这种提示框比较容易简单理解,就是代码上重合度较高,或者文件的命名呀、存放位置呀、调用方式呀之类的,符合规则就报毒,这种误报率较小,但是依然会有误报。而对于主防类的话,只要一个未知的程序运行之后,某些行为符合我们的提示规则(比如灰或者未知的进程间注入、文件释放、甚至是文件读写),则杀软都会报出提示。

那么在问题解决之前可以通过信任区来运行该软件,如果该软件是恶意软件伪装的,那么在出现明确风险行为时依然会被安全软件拦截。
明确风险行为”——问题来了,什么才是明确的风险行为:
  • 关机算不算明确的风险行为?——脚本关机,杀软一定要拦截,还不准用户加白?
  • 进程之间的HOOK算不算明确的风险行为?——外{过}{滤}挂或者辅助常用的正常系统功能,杀软就一定要拦截,还不准用户加白??
  • powershell执行代码算不算明确的风险行为?——用户正常写的,作为杀软就一定要拦截,还不准用户加白???


上面只是列举了最简单的3个操作逻辑,他们是既可以作为正常功能使用,但同时也是病毒作恶常用的3种方式,如:
  • 脚本关机就是常见的恶作剧程序(寒暑假放假的时候,小学生就很喜欢写这种东东)
  • 白加黑程序的常见手段
  • 一种越来越流行的利用office来攻击的方式


所以,很多东西不是你所理解的非黑即白的策略,杀软通常还会存在灰和未知(当然,未知在某些逻辑下,会直接当黑处理)。信任区的存在,正是解决了【当杀软出现误报的情况下,用户可以在杀软公司修复之前,自己处理,以免发生更大的问题】,如果按照你所理解的方式来设计信任区,那么一旦出现误报问题的时候,基本上也就是你公司倒闭的时候啦。。哈哈



蒙宝宝
发表于 2017-11-2 11:17:40 | 显示全部楼层
江民现在还活着吗。。
王国之心00
 楼主| 发表于 2017-11-2 12:17:20 | 显示全部楼层
本帖最后由 王国之心00 于 2017-11-2 12:19 编辑
蒙宝宝 发表于 2017-11-2 11:17
江民现在还活着吗。。

菲尔微点已经半死不活了,江民搞房地产搞红酒,资金比瑞星金山火绒雄厚的多。江民的个人版杀毒现在就是个壳子而已,主要靠企业安全和副业赚钱。当年王江民搞房地产还是明智的,现在看看那些专一搞安全的瑞星微点菲尔金山都被360腾讯这些搞死了。
蒙宝宝
发表于 2017-11-5 17:50:59 | 显示全部楼层
王国之心00 发表于 2017-11-2 12:17
菲尔微点已经半死不活了,江民搞房地产搞红酒,资金比瑞星金山火绒雄厚的多。江民的个人版杀毒现在就是个 ...

咦,江民做房地产和红酒去了?  什么时候的事情 我竟然都不知道。。。
pal家族
发表于 2017-11-5 19:22:14 | 显示全部楼层
某位朋友貌似对安全软件甚至是计算机知识严重缺乏了解。但又非常喜欢yy。
无论是在网络论坛还是显示社会,这样都很不可取。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 09:19 , Processed in 0.135096 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表