卡巴（或其它杀软）是如何做到回滚恶意软件操作的

显示全部楼层 · 发表于 2020-4-18 18:27:28

本帖最后由 K560987 于 2020-4-18 18:29 编辑

本人萌新一枚，请教一下各位大佬卡巴是如何做到回滚恶意操作的？

。样本区有人说是靠备份，在文件被加密后删掉加密后文件用备份文件代替。如果真是这样那整机的备份文件都放哪了？

在论坛搜了一下似乎没人问这个问题，特发此帖请教

显示全部楼层 · 发表于 2020-4-18 18:54:00

这就是SW的奇妙之处吧，并且卡巴也是会利用虚拟化环境的。
关系到SW是如何触发它的联动机制和拦截点的，反正应该是监控触发某些条件它才会备份恶意行为所做的操作吧。

显示全部楼层 · 发表于 2020-4-18 18:54:48

卡巴的不清楚，火绒、瑞星啥的是靠诱饵文件做到的，再结合沙箱、行为监测什么的应该能提前判断出敏感动作，识别到勒索病毒吧。

显示全部楼层 · 发表于 2020-4-18 18:58:14

本帖最后由 pal家族于 2020-4-18 18:59 编辑

https://bbs.kafan.cn/thread-2073728-1-1.html

显示全部楼层 · 发表于 2020-4-18 19:05:12

看了上面的解答,神奇吧

显示全部楼层 · 发表于 2020-4-18 19:18:51

巍巍发表于 2020-4-18 19:05
看了上面的解答,神奇吧

似乎没有详细的原理啊

显示全部楼层 · 发表于 2020-4-18 19:20:45

pal家族发表于 2020-4-18 18:58
https://bbs.kafan.cn/thread-2073728-1-1.html

这是有关毒库的吧？

似乎和回滚没有联系（？）

显示全部楼层 · 发表于 2020-4-18 19:26:59

K560987 发表于 2020-4-18 19:20
这是有关毒库的吧？似乎和回滚没有联系（？）

如果真是这样那整机的备份文件都放哪了？

起码先看看文章？

显示全部楼层 · 发表于 2020-4-18 19:53:50

pal家族发表于 2020-4-18 19:26
起码先看看文章？

文章里似乎只提到了个关于回滚的文件夹，那具体是如何实现的？

显示全部楼层 · 发表于 2020-4-18 19:59:41

本帖最后由 pal家族于 2020-4-18 20:00 编辑

K560987 发表于 2020-4-18 19:53
文章里似乎只提到了个关于回滚的文件夹，那具体是如何实现的？

这没啥好说的吧？记录下对文件和注册表的修改，备份被修改的文件，然后恢复不就完了。

[交流探讨] 卡巴（或其它杀软）是如何做到回滚恶意软件操作的