查看: 4841|回复: 20
收起左侧

[讨论] 几个月没用,ATD又强大了许多

[复制链接]
温馨小屋
头像被屏蔽
发表于 2019-3-22 22:19:06 | 显示全部楼层 |阅读模式
在沙盘里双击了一个勒索病毒,ATD顺着文件产生的链条把沙盘,IDM,chrome全给干掉了,甚至顺便删掉了好几个刚才在沙盘里双击然后miss的样本,连沙盘的快捷方式都删光了


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2019-3-22 22:21:23 | 显示全部楼层
回滚过分啦·
Sailer.X 该用户已被删除
发表于 2019-3-22 22:37:06 来自手机 | 显示全部楼层
bd加入回滚后,这个误回滚的毛病就一直都在。虽然陆续有人反馈,但官方那边确实没太大改进。直接手动加白名单吧。当然你要是有空也可以给bitsy@bitdefender.com发邮件反馈一下。
南巷清风拂明月
发表于 2019-3-22 23:12:11 | 显示全部楼层
我擦,真牛逼啊!一朝回到解放前
Miostartos
发表于 2019-3-22 23:23:43 | 显示全部楼层
这回滚也太蠢了把。
温馨小屋
头像被屏蔽
 楼主| 发表于 2019-3-22 23:41:31 | 显示全部楼层
STCn1000 发表于 2019-3-22 23:23
这回滚也太蠢了把。

这个回滚好像也是分等级的,如果有正规的数字签名的话ATD是不会删除文件的,只对强相关的程序结束进程,沙盘被结束进程了,IDM被删是因为我破解过,Chrome只报告没有操作。

删快捷方式和输入法配置文件确实是蠢得要死

Sailer.X 该用户已被删除
发表于 2019-3-23 00:18:23 来自手机 | 显示全部楼层
本帖最后由 霄栋 于 2019-3-23 00:19 编辑
温馨小屋 发表于 2019-3-22 23:41
这个回滚好像也是分等级的,如果有正规的数字签名的话ATD是不会删除文件的,只对强相关的程序结束进程, ...

虽然这个猜测很合理,但我测试的情况似乎并不完全如此。按照之前bd区的说法,bd并不是以进程本身来确定信誉。似乎当一个可信进程加载了未知的dll,该进程也不会被视为可信(这样或许有助于检测白加黑?)。不知道这种信誉机制如何应用于回滚。实际测试中,我这里正版沙盘的程序(start和sbiesvc)都被删除过,正版idm的程序也被删除过。唯一没删的是chrome主程序,但chrome的用户文件却被回滚了。加上之前bd把勒索加密的文件当衍生物回滚,我现在也不太确定bd这个回滚机制究竟是什么鬼。
www-tekeze
发表于 2019-3-23 01:13:15 | 显示全部楼层
厉害! 不愧碾压一切。。。想问下,如果装在影子里会不会把影子也给干了?    我只知道虚拟机不至于。。。
飞碟1234
头像被屏蔽
发表于 2019-3-23 12:13:00 | 显示全部楼层
这回滚是给系统重装做准备啊
静影沉璧
发表于 2019-3-23 12:15:55 | 显示全部楼层
我还是喜欢以前没有回滚的ATC。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 01:04 , Processed in 0.134256 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表