楼主: B100D1E55
收起左侧

[讨论] 勒索防护对性能的影响

  [复制链接]
www-tekeze
发表于 2019-1-7 22:48:29 | 显示全部楼层
卡巴监控下:~26秒,大致相同
卡巴监控+改winrar md5:~44秒,出现性能拖累
卡巴监控+改winrar md5 + 覆盖已经解压的文件: ~69秒,非常明显的性能拖累


这样的话我宁可不用。。。并不是家家都有足够的白名单,况且云也有不稳的时候。。
generalbasic008
发表于 2019-1-7 22:51:05 | 显示全部楼层
飞碟1234 发表于 2019-1-7 22:23
呵呵,不要过分神话HIPS

我觉得是神话主防回滚了 ,锁定文件夹,只允许打开文件需要的程序写入和删除文件夹,并且只允许这些程序被必要父进程调用、严格点阻止这些程序被调用和篡改注入。关键是白名单要把控好,防止白名单程序被注入、篡改、防止被非必要程序调用。
www-tekeze
发表于 2019-1-7 22:55:38 | 显示全部楼层
generalbasic008 发表于 2019-1-7 19:15
最可靠还是HIPS自定义保护文件夹。回滚也是防个60%差不多了。

10楼说的对,HIPS不仅会带来些不便,而且同样有拦截点靠后问题,只是没多步主防那样厉害。

PS:用火绒HIPS锁死文件夹,但出现过少量被加密情况,总有效率大概百分之98、99,其它家不清楚。
B100D1E55
 楼主| 发表于 2019-1-7 22:55:44 | 显示全部楼层
灵果 发表于 2019-1-7 14:47
现在看一般的专业防护还是交给专业的杀毒软件比较合适,那些办公软件、备份软件、云盘软件五花八门的类似外 ...

某种程度上来说的确,第三方技术不过硬会带来更多不稳定因素(我随便测几个挖矿毒Acronis就有崩溃的现象)
B100D1E55
 楼主| 发表于 2019-1-7 22:57:45 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-1-7 23:17 编辑
191196846 发表于 2019-1-7 16:01
不包含回滚的勒索识别是不是影响就比较小?

比如国内360的云HIPS,火绒多步,Dr.web DPD 等等

是,不过带回滚的优势之一在于能诱导出更多行为进行判断,出问题回滚就行,不带回滚的话拦截点要比较靠前。所以有的会用诱饵法来降低一些潜在危险
generalbasic008
发表于 2019-1-7 22:58:36 | 显示全部楼层
www-tekeze 发表于 2019-1-7 22:55
10楼说的对,HIPS不仅会带来些不便,而且同样有拦截点靠后问题,只是没多步主防那样厉害。

PS:用火绒 ...

滞后是因为用了询问模式,如果是直接阻止没问题的,少量被加密也好过主防回滚,漏的更多,而且官方HIps规则肯定没有自定义严格,对父进程管控不合格,而且未必对父进程进行必要的保护。
B100D1E55
 楼主| 发表于 2019-1-7 22:59:08 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-1-7 23:16 编辑
meirh0102 发表于 2019-1-7 16:47
假如这家机构用的是ssd组了raid0测试那就可以排除硬件性能不足的影响,基本能确定是勒索防护影响了程序的正 ...

我测试用的是960 pro + core i9,已经算比较好的硬件了
硬件弥补这种性能问题是最不实惠最没办法的办法,硬件变快1倍,压缩包可以轻易增大一倍,问题还在那里
www-tekeze
发表于 2019-1-7 23:03:14 | 显示全部楼层
generalbasic008 发表于 2019-1-7 22:58
滞后是因为用了询问模式,如果是直接阻止没问题的,少量被加密也好过主防回滚,漏的更多,而且官方HIps规 ...

有道理,但管控太严规则复杂,可能出现冲突或失效,对用户要求也很高,不是普通人玩得转的。。
generalbasic008
发表于 2019-1-7 23:07:46 | 显示全部楼层
www-tekeze 发表于 2019-1-7 23:03
有道理,但管控太严规则复杂,可能出现冲突或失效,对用户要求也很高,不是普通人玩得转的。。

所以吧主防和HIPS都要。主防保护一部分,高启发保护一部分,HIPS保护一部分,三个重叠效果不会差,百分之几中毒的几率总是抹杀不掉的,我只追求自定义规则越来越完善,至于主防高启发什么留给厂家 ,我不操心。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 根据版规,加1分以示鼓励

查看全部评分

B100D1E55
 楼主| 发表于 2019-1-7 23:10:08 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-1-7 23:12 编辑
ELOHIM 发表于 2019-1-7 19:31
孰轻孰重首先要判断正确。
在被勒索以后如果有挽救措施,应该不遗余力的去开展工作。
在这个时候在乎性能 ...

不一定,电脑有每日备份的话中招后恢复快照即可,不一定要采取实时备份的手段。当然实时备份是易用性最强的,代价是特定情形下的性能拖累。

至于安全和性能的取舍不同应用场景需求不同,我就比较看重性能,不能容忍拖慢50%的情形

至于你提出的最后一个问题,给一组数据:

无Acronis监控的情况下,winrar cpu单核占用100%,进程磁盘写速率是16M/S (小文件写入所以速度低)
有Acronis监控的情况下,winrar cpu单核占用60%, 进程磁盘写速率是8M/S,此时多了一个System进程同样以8M/S进行I/O操作

这里猜测是I/O瓶颈,当回滚备份开启的时候I/O资源被抢占,CPU无法满载

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-30 04:26 , Processed in 0.092270 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表