病毒会不会调用系统explorer.exe来执行一些操作？

zm2352

我在纠结要不要hips 全局放行explorer.exe
放行explorer.exe，其他程序全锁， 勒索病毒等还能操作文件吗？
主要防止其他程序删除和写入某些文件，但把explorer.exe锁了自己都删不了

pal家族

我只能说如果是卡巴的主防就不需要考虑锁explorer这回事了。

柯林

太过敏了吧，多测几个勒索看看，应该不带这么玩的
一般也就插个dll进去差不多了，几乎没听过--恕我孤陋寡闻
补充两句，个人印象中，有感染explorer的，有冒充explorer的，“直接控制explorer把用户踢出局的“印象中好像真没有
病毒要想存活，动作小、隐蔽性高，才能生存得久，动作太大的基本上“一蹦就完，隐秘性好的比如火焰病毒
你多测几个勒索看看，连加驱的几乎都没有，基本上很直接——母体释放出搞坏事的主体，直接加密就了事，其它多余的动作几乎都没有，可能你想得有点复杂了，或是病毒还没进化到你设想的那个状态

momng

不放心就锁上嘛，要用时改回来，不过至少改成询问。

ELOHIM

楼主大神用的什么安软？

cloud01

pal家族 发表于 2018-6-24 19:15
我只能说如果是卡巴的主防就不需要考虑锁explorer这回事了。

为什么？卡巴主防现在自动模式下可以防注入吗？病毒调用EXPLORER再调用CMD执行其他操作能防吗？

pal家族

cloud01 发表于 2018-6-24 21:05
为什么？卡巴主防现在自动模式下可以防注入吗？病毒调用EXPLORER再调用CMD执行其他操作能防吗？

想多了，权限继承罢了，另外楼主可没说是注入，哪来的那么多注入。。。。

cloud01

pal家族 发表于 2018-6-24 21:07
想多了，权限继承罢了，另外楼主可没说是注入，哪来的那么多注入。。。。

我觉得现在注入是最多的了，注入explorer更多，而且多步主防最难防这个。。

pal家族

cloud01 发表于 2018-6-24 21:08
我觉得现在注入是最多的了，注入explorer更多，而且多步主防最难防这个。。

推荐你使用大蜘蛛牌注入检测器。

www-tekeze

我用的火绒，对未知勒索也是用的防删规则，但我是默认放行explorer的，因为火绒对explorer有防篡改、防注入保护，但3楼柯大说的也对，目前的勒索调用或注入explorer的极少 (至少我双击过几十个样本还没碰到)，否则编写复杂还很容易被杀软拦截，所以我建议楼主还是放行explorer吧，可以省去很多不必要的麻烦。。。
最后提醒楼主下，防勒索备份是王道。。