收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 主防测试
123456789下一页
返回列表 发新帖
楼主: ,就一个.
 收起左侧

[病毒样本] 主防测试

  [复制链接]
驭龙
发表于 2018-6-11 12:44:33 | 显示全部楼层
,就一个. 发表于 2018-6-11 12:40
新设备用GPT的还是多,但是老设备几乎都是MBR分区,这个样本太毒啦,分区表填的是虚拟机的,中招后只能格 ...

这个类型的样本确实是危险,一般情况下老设备实机双击,基本上就完了。

不过这东西很少大面积传播
回复

举报

,就一个.
 楼主| 发表于 2018-6-11 12:49:04 | 显示全部楼层
驭龙 发表于 2018-6-11 12:44
这个类型的样本确实是危险,一般情况下老设备实机双击,基本上就完了。

不过这东西很少大面积传播

对,所以说中招只能说人品太差 或者手贱 比如我
回复

举报

驭龙
发表于 2018-6-11 12:51:54 | 显示全部楼层
,就一个. 发表于 2018-6-11 12:49
对,所以说中招只能说人品太差 或者手贱 比如我

我现在比较担心的是挖矿和勒索、远控、高等rootkit以及0day威胁,这些爆发的比较大
回复

举报

www-tekeze
发表于 2018-6-11 13:24:47 | 显示全部楼层
,就一个. 发表于 2018-6-11 12:40
新设备用GPT的还是多,但是老设备几乎都是MBR分区,这个样本太毒啦,分区表填的是虚拟机的,中招后只能格 ...

你当时中招后送到电脑店处理过么? 如果分区表只是被破坏,而不是被重新填写,那PE下用DG是可以恢复的。。。
不过我的硬盘从来都要进行分区表备份,就算被恶意重写也没事,照样可恢复,哈哈。。

PS:这是我三个硬盘的分区表备份,主硬盘还有MBR备份。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-6-11 13:31:45 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-6-11 13:32 编辑
驭龙 发表于 2018-6-11 12:51
我现在比较担心的是挖矿和勒索、远控、高等rootkit以及0day威胁,这些爆发的比较大

0day谁都怕,但其它的我不太担心,09年底开始玩影子和沙盘,虽然会有些不方便,但我始终坚持,这两个软件也一直在更新,对1803的Win10支持很好 (预览版不清楚),只要能兼容我会永远用下去,不想依赖于任何一款杀软。。
当然影子沙盘能做的只是本地防御,钓鱼盗号这类就主要靠自己的人脑启发了。。

回复

举报

,就一个.
 楼主| 发表于 2018-6-11 13:35:41 | 显示全部楼层
驭龙 发表于 2018-6-11 12:51
我现在比较担心的是挖矿和勒索、远控、高等rootkit以及0day威胁,这些爆发的比较大

勒索现在都搞出来加密MBR的了,现在的毒是越来越厉害了,锁MBR来要钱,还有远控这个东西防不胜防啊,目前没有任何智能主防可以完美拦截,但是可以利用漏洞利用防护来缓解一部分,所以现在很多杀软加入了漏洞利用防护,对于高等rootkit WD有内核隔离可以对付,就是不知道效果如何,还有就是一般的加密文件的勒索,就目前来看就趋势科技勒索克星做得是效果最好的,其次就是BD的ATD+反勒索模块结合的这种效果也还是可以的,虽然迈克菲那个小工具拦截率是极高,但是误报高得简直没得说,360极速浏览器都给我杀了,不知道以后加入个人版客户端效果怎么样,防勒索方面最差的几家就是GD和诺顿,杀不了的双击基本都是被过,卡巴的SW还可以回滚一部分被加密的,GD 和诺顿虽说带回滚,但是无法回滚被加密的文件,就算只回滚一个文件我都没遇到,光说防勒索这一块目前还是这个格局,之前做得好得一直都好,就目前我双击来只看防勒索 处于第一梯队的 趋势 BD FS 第二梯队的 WD 卡巴 大小A  瑞星之剑 360  第三梯队 GD 大蜘蛛 诺顿 金山毒霸 腾讯管家 小红伞  ESET 迈克菲 最后这些几个几乎都还在处于发展初期,官网上介绍说可以防勒索,实际只要过了查杀双击,要么实加密了来个友情提示告诉你发现有恶意加密行为意思阻止或删除样本,这种简直气人,我都被加密了删了样本有什么用?要么就是满怀希望的看见主防一直在回滚,等了半天最后一个没回滚成功,有的甚至什么反应都没有,就目前来看反勒索这一块才是各大杀软厂商需要恶补的,个别小厂商做得勒索保护效果都比最后这几家搞得好。
回复

举报

,就一个.
 楼主| 发表于 2018-6-11 13:37:39 | 显示全部楼层
www-tekeze 发表于 2018-6-11 13:24
你当时中招后送到电脑店处理过么? 如果分区表只是被破坏,而不是被重新填写,那PE下用DG是可以恢复的。 ...

这个样本我问过作者@深山红叶__ 了他当时说分区表他写的自己虚拟机的,他也无能为力。
回复

举报

驭龙
发表于 2018-6-11 13:42:40 | 显示全部楼层
,就一个. 发表于 2018-6-11 13:35
勒索现在都搞出来加密MBR的了,现在的毒是越来越厉害了,锁MBR来要钱,还有远控这个东西防不胜防啊,目前 ...

其实我如果开WDAC的话,这些威胁基本上全部没戏了,但后果是迅雷和各种绿色工具 全部不能用了,所以我没有开,准备过几天继续玩卡巴,当然如果以后有勒索爆发的话,我只能乖乖回去用WDAC+ESET了,但局限性太大,WDAC只认白名单的文件
回复

举报

www-tekeze
发表于 2018-6-11 13:51:05 | 显示全部楼层
,就一个. 发表于 2018-6-11 13:37
这个样本我问过作者@深山红叶__ 了他当时说分区表他写的自己虚拟机的,他也无能为力。

只有靠分区表还原了,如果事先没做备份,那就真的玩完了。。
回复

举报

ELOHIM
发表于 2018-6-11 14:10:23 | 显示全部楼层
www-tekeze 发表于 2018-6-11 11:24
我是12年6月份的华硕本子,BIOS里没有CSM设置项,去年买固态后也想弄成GPT的,但折腾了两天不成功,台机B ...

离 7 越来越远,不弄了
回复

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 16:20 , Processed in 0.095000 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表