搜索
楼主: 761773275
收起左侧

[病毒样本] 远古勒索病毒, 能过GD

  [复制链接]
asdx145288
发表于 2019-5-6 16:00:19 | 显示全部楼层
huang1111 发表于 2019-5-5 19:11
卡巴斯基,关闭文件反病毒,双击,hips阻止运行!/

卡巴斯基大部分人应该都是用默认,不用hips试试?
infinitejustice
发表于 2019-5-6 17:05:10 | 显示全部楼层
这个就是LiveGrid上面那个机器学习引擎,所以所有产品都有更新。不过这种侦测率的改进不容易直观感觉到
yusakul
发表于 2019-5-6 18:17:12 | 显示全部楼层
kanbudao
xingkong520
发表于 2019-5-6 18:22:16 | 显示全部楼层
这个帖子看起来有点热闹,我康康出啥事了。
xingkong520
发表于 2019-5-6 18:43:23 | 显示全部楼层
温馨小屋 发表于 2019-5-5 23:29
我知道主动防御!=行为拦截,但是在论坛里大多数地方包括楼主都是这么默认的,新病毒爆发时这类HIPS基本没 ...

有点抱歉的是,hips是含有文件病毒检测的,所以能不能启发式报毒,这你要看卡巴是怎么安排的,但是在楼上我看到的是启发式报法,这点母庸置疑。
第二点,我并不认为在测试环境下必须要关闭hips,达到真正测试行为拦截的地步,因为这对于用户而言,是基本不可能这样去操作的,作为测试病毒而言,更需要是默认配置,默认开启的组件,才会出现普遍结论,尽管我测试卡巴的时候,hips每次没多大意外是会把文件拉进低限制组,但是不可否认,hips也有防御病毒的能力,并且,卡巴高级清除模式也是依赖hips来构建系统环境从而杀毒,单纯以hips无用论,真的叫不攻自破。sw的联动为的是更好的保护电脑安全,楼下的卡巴只保留监控模块的防御能力很低效,这也不是一个默认配置该产生的结果,真正的测试需要的是普遍结论,而不是狭义的特例。
主动防御在我看来是带hips的,而且hips作用并不小!某种意义上说,主动防御和行为拦截的概念存在歧义,才是你们吵闹的主要原因,我个人认为如果单纯的测试主防,放几年前的病毒,要么入库要么被启发规则逮住已是必然,又何必为没有实际意义的病毒而争吵?
以上是我个人观点。

评分

参与人数 1人气 +1 收起 理由
huang1111 + 1 根据版规,加1分以示鼓励

查看全部评分

xingkong520
发表于 2019-5-6 18:47:32 | 显示全部楼层
温馨小屋 发表于 2019-5-5 23:29
我知道主动防御!=行为拦截,但是在论坛里大多数地方包括楼主都是这么默认的,新病毒爆发时这类HIPS基本没 ...

顺便我做个好人,来科普一下卡巴hips分组方式
根据详细分析程序的行为,HIPS将应用程序分组。分组的指标有以下几个:
     •常规病毒扫描。
     •从数据库中查询此文件信誉情况(是否受信)。
     •检查数字签名。
     •在仿真安全环境(虚拟环境)中程序的可疑行为的检测结果。
     •将程序的行为和已知的恶意程序的行为对比分析的结果。
希望各位不要互相伤害了,有时间一起学习岂不美哉?

评分

参与人数 1人气 +1 收起 理由
huang1111 + 1 根据版规,加1分以示鼓励

查看全部评分

jdsh
发表于 2019-5-6 19:46:27 | 显示全部楼层
这个病毒的核心应该就是这个批处理吧,见附件




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
天耀群星
发表于 2019-5-6 20:49:30 | 显示全部楼层
左手 发表于 2019-5-5 21:55
我这实机双击。没有想像的那么多动作
只有这些。
什么原因。

有的病毒,用MD看不到进程,怎么拦截?杀毒也很重要,杀修防管都要有。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-22 03:44 , Processed in 0.060049 second(s), 16 queries .

快速回复 返回顶部 返回列表