双击自信的来，扫描的别来了

b17273896

@驭龙趋势的勒索克星搭配WD效果好吗?

，就一个.

ccboxes 发表于 2018-5-17 11:48
界面当然看不到，无论是加载的模块还是文件我都搜了，没有RealProtect的那几个DLL。昨天就在怀疑，现在是 ...

不能妄下定论  我特意换了个1208版本 16.0R10

左手

2018/5/17 星期四 21:26:18    删除文件 风险提示:敏感    阻止并结束进程
进程: c:\users\administrator\desktop\tilde ransomware.exe
目标: C:\autoexec.bat
规则: [应用程序]?* -> [文件]?:\; autoexec.bat

，就一个.

ccboxes 发表于 2018-5-17 18:39
对了，提醒楼主注意，卡巴的主防能回滚被加密的文档，所以加密了不算，只要主防能杀，就算成功。

我玩双击6.7年了，我知道的，首先卡巴主防对于这个样本联网状态PDM是云杀不是行为杀，所以病毒无法运行就删了，这跟触发实时监控没区别，所以只能断网测试，KIS跟那个卡巴防勒索软件都试了，断网状态下文件瞬间被加密，主防被过了，没有触发行为监控杀，所以就没有后续什么回滚了，都没有反应怎么回滚？然而趋势的防勒索助手在完全断网时完美拦截。

x291502676

，就一个. 发表于 2018-5-17 21:52
我玩双击6.7年了，我知道的，首先卡巴主防对于这个样本联网状态PDM是云杀不是行为杀，所以病毒无法运行就 ...

前排图片不是云杀的，是病毒运行加密以后触发SW ，SW再回滚，不是云杀，至于你的为什么被过了就不知道了

x291502676

，就一个. 发表于 2018-5-17 21:52
我玩双击6.7年了，我知道的，首先卡巴主防对于这个样本联网状态PDM是云杀不是行为杀，所以病毒无法运行就 ...

我觉得诺顿也防不住。。

ccboxes

，就一个. 发表于 2018-5-17 21:13
不能妄下定论  我特意换了个1208版本 16.0R10

样本来一波，我这边下了好几个样本，就是触发不了RealProtect

欧阳宣

故意关闭扫描测主防一点意义都没有，因为根本不是日常使用环境

，就一个.

欧阳宣 发表于 2018-5-18 00:11
故意关闭扫描测主防一点意义都没有，因为根本不是日常使用环境

此话有道理，但是针对于发现主防跟其他防护模块的不足有帮助，发现以后可以上报跟官方，建议改进，这对于软件防御未知威胁有帮助  以为大规模病毒爆发大家都可以杀，动静太大了，现在云又先进，就怕小众的病毒，那种很不起眼的病毒，又没有广泛传播，大家都没有入库，这时候就要靠主防跟启发了，所以主防强一点还是比较有好处的，个人认为是这样。

，就一个.

ccboxes 发表于 2018-5-17 22:38
样本来一波，我这边下了好几个样本，就是触发不了RealProtect

好滴.. 没密码1208  16.0 R10 刚刚双击的  0点15分