数字签名时间印的作用。

显示全部楼层 · 发表于 2020-2-18 15:07:26

记录微笑发表于 2020-2-18 15:00
月神拉黑可能是他双击导致的。

我修改MD5, 再双击, 现在RP有反应...我试了开DAC和不开DAC都有反应
Dynamic Application Containment 组件: 由不明到已知恶意文件 (DAC/Suspect.0:2a:0!85449ee1146a)
RP再报 Real Protect-EC!85449EE1146A

显示全部楼层 · 发表于 2020-2-18 15:08:39

hklwk 发表于 2020-2-18 15:07
我修改MD5, 再双击, 现在RP有反应...我试了开DAC和不开DAC都有反应
Dynamic Application Containment 组 ...

我这里等了15分钟最后咖啡的一个驱动导致蓝屏了。

我待会到虚拟机里试试

显示全部楼层 · 发表于 2020-2-18 15:12:20

记录微笑发表于 2020-2-18 15:05
你可以试试关闭ATP的GTI信誉再双击

我这里最终以mfeavfk.sys驱动导致蓝屏告终

与样本同归于尽

显示全部楼层 · 发表于 2020-2-18 15:12:53

swizzer 发表于 2020-2-18 15:02
我这里　，样本加密了２０００多个文件后，RP才有反应，中途我还把有一些被加密的文件删了。。
感觉RP对 ...

我看较早前的ATP日志, 发现信誉一开始由50(未知), 跑到85(很可能是受信任文件), RP没反应

显示全部楼层 · 发表于 2020-2-18 15:13:34

swizzer 发表于 2020-2-18 15:12
与样本同归于尽

你那里威胁防护里面有没有开什么规则？
我开了阻止远程访问，我看这样本一开始触发了这个规则，我去关了访问保护再双击看看。

显示全部楼层 · 发表于 2020-2-18 15:16:51

记录微笑发表于 2020-2-18 15:05
你可以试试关闭ATP的GTI信誉再双击

我这里最终以mfeavfk.sys驱动导致蓝屏告终

ATP的GTI信誉是在威胁防护关闭吗?

显示全部楼层 · 发表于 2020-2-18 15:19:38

hklwk 发表于 2020-2-18 15:16
ATP的GTI信誉是在威胁防护关闭吗?

不是
在ATP里面点显示高级，然后往下拉找到信誉源选项，选择仅使用TIE信誉

显示全部楼层 · 发表于 2020-2-18 15:25:48

swizzer 发表于 2020-2-18 15:12
与样本同归于尽

我又双击一次，RP没反应。

不玩了不玩了

显示全部楼层 · 发表于 2020-2-18 15:36:54

记录微笑发表于 2020-2-18 15:25
我又双击一次，RP没反应。

不玩了不玩了

我这里未修改MD5 双击RP没反应
修改了MD5双击RP有反应

显示全部楼层 · 发表于 2020-2-18 15:37:38

www-tekeze 发表于 2020-2-18 13:58
智量入库报勒索，火绒Miss，双击看楼上。

加了个数签，特意恢复昨晚虚拟机看了下，智量仍然入库杀。。。双击，约10秒后才有动作，没看到火绒弹窗就被智量主防杀！game over 。。。火绒主防不试了，看5楼即可。。

[病毒样本] 数字签名时间印的作用。

本帖子中包含更多资源