远古勒索病毒, 能过GD

MelissaBenoist

761773275 发表于 2019-5-6 15:02
正版?

嗯 对的

761773275

MelissaBenoist 发表于 2019-5-6 15:05
嗯 对的

还有位置不?

asdx145288

huang1111 发表于 2019-5-5 19:11
卡巴斯基，关闭文件反病毒，双击，hips阻止运行！/

卡巴斯基大部分人应该都是用默认，不用hips试试？

infinitejustice

这个就是LiveGrid上面那个机器学习引擎，所以所有产品都有更新。不过这种侦测率的改进不容易直观感觉到

yusakul

kanbudao

xingkong520

这个帖子看起来有点热闹，我康康出啥事了。

xingkong520

温馨小屋 发表于 2019-5-5 23:29
我知道主动防御!=行为拦截，但是在论坛里大多数地方包括楼主都是这么默认的，新病毒爆发时这类HIPS基本没 ...

有点抱歉的是，hips是含有文件病毒检测的，所以能不能启发式报毒，这你要看卡巴是怎么安排的，但是在楼上我看到的是启发式报法，这点母庸置疑。
第二点，我并不认为在测试环境下必须要关闭hips，达到真正测试行为拦截的地步，因为这对于用户而言，是基本不可能这样去操作的，作为测试病毒而言，更需要是默认配置，默认开启的组件，才会出现普遍结论，尽管我测试卡巴的时候，hips每次没多大意外是会把文件拉进低限制组，但是不可否认，hips也有防御病毒的能力，并且，卡巴高级清除模式也是依赖hips来构建系统环境从而杀毒，单纯以hips无用论，真的叫不攻自破。sw的联动为的是更好的保护电脑安全，楼下的卡巴只保留监控模块的防御能力很低效，这也不是一个默认配置该产生的结果，真正的测试需要的是普遍结论，而不是狭义的特例。
主动防御在我看来是带hips的，而且hips作用并不小！某种意义上说，主动防御和行为拦截的概念存在歧义，才是你们吵闹的主要原因，我个人认为如果单纯的测试主防，放几年前的病毒，要么入库要么被启发规则逮住已是必然，又何必为没有实际意义的病毒而争吵？
以上是我个人观点。

xingkong520

温馨小屋 发表于 2019-5-5 23:29
我知道主动防御!=行为拦截，但是在论坛里大多数地方包括楼主都是这么默认的，新病毒爆发时这类HIPS基本没 ...

顺便我做个好人，来科普一下卡巴hips分组方式

根据详细分析程序的行为，HIPS将应用程序分组。分组的指标有以下几个：
     •常规病毒扫描。
     •从数据库中查询此文件信誉情况（是否受信）。
     •检查数字签名。
     •在仿真安全环境（虚拟环境）中程序的可疑行为的检测结果。
     •将程序的行为和已知的恶意程序的行为对比分析的结果。

希望各位不要互相伤害了，有时间一起学习岂不美哉？

jdsh

这个病毒的核心应该就是这个批处理吧，见附件

天耀群星

左手 发表于 2019-5-5 21:55
我这实机双击。没有想像的那么多动作
只有这些。
什么原因。

有的病毒，用MD看不到进程，怎么拦截？杀毒也很重要，杀修防管都要有。