病毒会不会调用系统explorer.exe来执行一些操作？

欧阳宣

其实你就算不操心这些中毒几率一样不大

柯林

zm2352 发表于 2018-6-25 17:47
恩，还是决定放行explorer，反正大部分陌生程序都丢沙箱
全局钩子和驱动也已经保护了，中毒几率应该不大

不知道你用的什么HIPS，你说这个，好像也有可能，只是好像不够直接——貌似病毒一般直接调用cmd搞事，不用再通过explorer去绕一下，侵入explorer实现某些目的好像是有，你参看其它人说的保护下这个进程

paul_guo

会，而且常见

，就一个.

cloud01 发表于 2018-6-24 21:08
我觉得现在注入是最多的了，注入explorer更多，而且多步主防最难防这个。。

对付远控WD还是可以的  有漏洞利用防护

ELOHIM

，就一个. 发表于 2018-6-27 19:55
对付远控WD还是可以的  有漏洞利用防护

厉害了。。我从来没有测试过WD的双击防御。

，就一个.

ELOHIM 发表于 2018-6-27 20:15
厉害了。。我从来没有测试过WD的双击防御。

我用什么安全软件都要双击一下，看下到底咋回事，5年前用MSE双击从来就没拦截过，隔了好久都对WD有偏见，那时候微软安全技术确实还不行，从17年初开始WD就突然变厉害了，迈克菲也是从17年开始，检测率是咔咔往上冒，后来才发现原来是用了ML，AI，在这样下去，我估计以微软后要被起诉的，不给别人留饭碗了

ELOHIM

，就一个. 发表于 2018-6-27 20:55
我用什么安全软件都要双击一下，看下到底咋回事，5年前用MSE双击从来就没拦截过，隔了好久都对WD有偏见， ...

受保护文件夹的保护可以防勒索。
有没有针对内核的攻击样本呢？
WD也可以玩玩。。

你在测试之前，把WD的云防御和可信级别在组策略手动调到最高，然后组策略禁止未签名程序运行，再加上系统默认的可信驱动加载机制，稍微弄弄系统墙，调一下浏览器设置，弄个标准用户登录系统。。。

再试试看。。

，就一个.

ELOHIM 发表于 2018-6-27 21:23
受保护文件夹的保护可以防勒索。
有没有针对内核的攻击样本呢？
WD也可以玩玩。。

效果还是很好的

ELOHIM

，就一个. 发表于 2018-6-27 21:27
效果还是很好的

微软目前需要增加一个系统墙弹窗提示攻击的功能。
端口扫描，洪水攻击一类的等。

这个功能也不必强制开启，留给有需要的高级用户和发烧友使用。

以前我想，为什么要有主动防御软件，因为系统的所有防护简直是太被动了。。。

黑客进来以后才能启动行为的日志记录或某些安全功能保护生效。
并不能有很好的态势感知和行为预测以及直观的针对文件的微软云信誉鉴定出现。