勒索防护对性能的影响

www-tekeze

卡巴监控下：~26秒，大致相同
卡巴监控+改winrar md5：~44秒，出现性能拖累
卡巴监控+改winrar md5 + 覆盖已经解压的文件： ~69秒，非常明显的性能拖累

这样的话我宁可不用。。。并不是家家都有足够的白名单，况且云也有不稳的时候。。

generalbasic008

飞碟1234 发表于 2019-1-7 22:23
呵呵，不要过分神话HIPS

我觉得是神话主防回滚了 ，锁定文件夹，只允许打开文件需要的程序写入和删除文件夹，并且只允许这些程序被必要父进程调用、严格点阻止这些程序被调用和篡改注入。关键是白名单要把控好，防止白名单程序被注入、篡改、防止被非必要程序调用。

www-tekeze

generalbasic008 发表于 2019-1-7 19:15
最可靠还是HIPS自定义保护文件夹。回滚也是防个60%差不多了。

10楼说的对，HIPS不仅会带来些不便，而且同样有拦截点靠后问题，只是没多步主防那样厉害。

PS：用火绒HIPS锁死文件夹，但出现过少量被加密情况，总有效率大概百分之98、99，其它家不清楚。

B100D1E55

灵果 发表于 2019-1-7 14:47
现在看一般的专业防护还是交给专业的杀毒软件比较合适，那些办公软件、备份软件、云盘软件五花八门的类似外 ...

某种程度上来说的确，第三方技术不过硬会带来更多不稳定因素（我随便测几个挖矿毒Acronis就有崩溃的现象）

B100D1E55

191196846 发表于 2019-1-7 16:01
不包含回滚的勒索识别是不是影响就比较小？

比如国内360的云HIPS，火绒多步，Dr.web DPD 等等

是，不过带回滚的优势之一在于能诱导出更多行为进行判断，出问题回滚就行，不带回滚的话拦截点要比较靠前。所以有的会用诱饵法来降低一些潜在危险

generalbasic008

www-tekeze 发表于 2019-1-7 22:55
10楼说的对，HIPS不仅会带来些不便，而且同样有拦截点靠后问题，只是没多步主防那样厉害。

PS：用火绒 ...

滞后是因为用了询问模式，如果是直接阻止没问题的，少量被加密也好过主防回滚，漏的更多，而且官方HIps规则肯定没有自定义严格，对父进程管控不合格，而且未必对父进程进行必要的保护。

B100D1E55

meirh0102 发表于 2019-1-7 16:47
假如这家机构用的是ssd组了raid0测试那就可以排除硬件性能不足的影响，基本能确定是勒索防护影响了程序的正 ...

我测试用的是960 pro + core i9，已经算比较好的硬件了
硬件弥补这种性能问题是最不实惠最没办法的办法，硬件变快1倍，压缩包可以轻易增大一倍，问题还在那里

www-tekeze

generalbasic008 发表于 2019-1-7 22:58
滞后是因为用了询问模式，如果是直接阻止没问题的，少量被加密也好过主防回滚，漏的更多，而且官方HIps规 ...

有道理，但管控太严规则复杂，可能出现冲突或失效，对用户要求也很高，不是普通人玩得转的。。

generalbasic008

www-tekeze 发表于 2019-1-7 23:03
有道理，但管控太严规则复杂，可能出现冲突或失效，对用户要求也很高，不是普通人玩得转的。。

所以吧主防和HIPS都要。主防保护一部分，高启发保护一部分，HIPS保护一部分，三个重叠效果不会差，百分之几中毒的几率总是抹杀不掉的，我只追求自定义规则越来越完善，至于主防高启发什么留给厂家 ，我不操心。

B100D1E55

ELOHIM 发表于 2019-1-7 19:31
孰轻孰重首先要判断正确。
在被勒索以后如果有挽救措施，应该不遗余力的去开展工作。
在这个时候在乎性能 ...

不一定，电脑有每日备份的话中招后恢复快照即可，不一定要采取实时备份的手段。当然实时备份是易用性最强的，代价是特定情形下的性能拖累。

至于安全和性能的取舍不同应用场景需求不同，我就比较看重性能，不能容忍拖慢50%的情形

至于你提出的最后一个问题，给一组数据：

无Acronis监控的情况下，winrar cpu单核占用100%，进程磁盘写速率是16M/S （小文件写入所以速度低）
有Acronis监控的情况下，winrar cpu单核占用60%， 进程磁盘写速率是8M/S，此时多了一个System进程同样以8M/S进行I/O操作

这里猜测是I/O瓶颈，当回滚备份开启的时候I/O资源被抢占，CPU无法满载