几个月没用，ATD又强大了许多

显示全部楼层 · 发表于 2019-3-22 22:19:06

在沙盘里双击了一个勒索病毒，ATD顺着文件产生的链条把沙盘，IDM，chrome全给干掉了，甚至顺便删掉了好几个刚才在沙盘里双击然后miss的样本，连沙盘的快捷方式都删光了

显示全部楼层 · 发表于 2019-3-22 22:21:23

回滚过分啦·

显示全部楼层 · 发表于 2019-3-22 22:37:06

bd加入回滚后，这个误回滚的毛病就一直都在。虽然陆续有人反馈，但官方那边确实没太大改进。直接手动加白名单吧。当然你要是有空也可以给bitsy@bitdefender.com发邮件反馈一下。

显示全部楼层 · 发表于 2019-3-22 23:12:11

我擦，真牛逼啊！一朝回到解放前

显示全部楼层 · 发表于 2019-3-22 23:23:43

这回滚也太蠢了把。

显示全部楼层 · 发表于 2019-3-22 23:41:31

STCn1000 发表于 2019-3-22 23:23
这回滚也太蠢了把。

这个回滚好像也是分等级的，如果有正规的数字签名的话ATD是不会删除文件的，只对强相关的程序结束进程，沙盘被结束进程了，IDM被删是因为我破解过，Chrome只报告没有操作。

删快捷方式和输入法配置文件确实是蠢得要死

显示全部楼层 · 发表于 2019-3-23 00:18:23

本帖最后由霄栋于 2019-3-23 00:19 编辑

温馨小屋发表于 2019-3-22 23:41
这个回滚好像也是分等级的，如果有正规的数字签名的话ATD是不会删除文件的，只对强相关的程序结束进程， ...

虽然这个猜测很合理，但我测试的情况似乎并不完全如此。按照之前bd区的说法，bd并不是以进程本身来确定信誉。似乎当一个可信进程加载了未知的dll，该进程也不会被视为可信（这样或许有助于检测白加黑？）。不知道这种信誉机制如何应用于回滚。实际测试中，我这里正版沙盘的程序（start和sbiesvc）都被删除过，正版idm的程序也被删除过。唯一没删的是chrome主程序，但chrome的用户文件却被回滚了。加上之前bd把勒索加密的文件当衍生物回滚，我现在也不太确定bd这个回滚机制究竟是什么鬼。

显示全部楼层 · 发表于 2019-3-23 01:13:15

厉害！不愧碾压一切。。。想问下，如果装在影子里会不会把影子也给干了？

我只知道虚拟机不至于。。。

显示全部楼层 · 发表于 2019-3-23 12:13:00

这回滚是给系统重装做准备啊

显示全部楼层 · 发表于 2019-3-23 12:15:55

我还是喜欢以前没有回滚的ATC。

[讨论] 几个月没用，ATD又强大了许多

本帖子中包含更多资源