卡巴（或其它杀软）是如何做到回滚恶意软件操作的

显示全部楼层 · 发表于 2020-4-18 20:16:02

你关心这个干嘛

能用不就行

显示全部楼层 · 发表于 2020-4-18 21:03:12

pal家族发表于 2020-4-18 19:59
这没啥好说的吧？记录下对文件和注册表的修改，备份被修改的文件，然后恢复不就完了。

。。。假如勒索加密了一部蓝光电影（100G .mp4）（考虑极限情况）那卡巴岂不是要备份100G的文件？

显示全部楼层 · 发表于 2020-4-18 21:24:19

K560987 发表于 2020-4-18 21:03
。。。假如勒索加密了一部蓝光电影（100G .mp4）（考虑极限情况）那卡巴岂不是要备份100G的文件？

Hello，

我相信敲竹杠还跑不到你D盘以后的磁盘就会被拦截了。如果都跑到D盘还没拦截，估计也就走特了。

显示全部楼层 · 发表于 2020-4-18 21:27:32

K560987 发表于 2020-4-18 21:03
。。。假如勒索加密了一部蓝光电影（100G .mp4）（考虑极限情况）那卡巴岂不是要备份100G的文件？

不会的大于一定大小的文件不会被备份的。
如果你真的那么倒霉一开始就加密的你的电影，那你也只能自认倒霉。

显示全部楼层 · 发表于 2020-4-18 22:20:31

hello

这种备份不会很大量的备份，而且回滚的备份可能会漏文件
如果担心这些数据的安全，可以使用KTS，并且选择备份文件，卡巴斯基会备份这些文件，并保护备份文件的文件夹

显示全部楼层 · 发表于 2020-4-19 07:02:30

Hello，

我找到一篇较早介绍 Kaspersky System Watcher 的白皮书，供参考：

https://media.kaspersky.com/pdf/Kaspersky_Lab_Whitepaper_System_Watcher_ENG.pdf

另外，AV-Comparatives 在 2018 年 11 月有测试过几个安全软件对于恶意软件的清除能力，报告中也有提到有关“清除、回滚”的部分，供参考：

https://www.av-comparatives.org/tests/malware-removal-test-2018__trashed/#result-details

显示全部楼层 · 发表于 2020-4-19 08:14:37

记录修改，然后回滚；
影子系统知道吗？他不是备份，只是把修改操作从驱动层重导向。

显示全部楼层 · 发表于 2020-4-19 09:20:13

一般是按信誉选择性记录修改，如果KSN拉白就不会记录，我记得之前有人测过回滚的效率，如果使用第三方修改版WinRAR解压就会产生备份造成的性能下降。卡巴在大多数情况下只备份关键的修改，比如注册表和doc等文档类型的修改，exedll什么的被加密了回滚一般会漏掉

显示全部楼层 · 发表于 2020-4-19 12:00:56

温馨小屋发表于 2020-4-19 09:20
一般是按信誉选择性记录修改，如果KSN拉白就不会记录，我记得之前有人测过回滚的效率，如果使用第三方修改 ...

感想解答，我本以为回滚是什么黑科技

没想到只是即时备份

显示全部楼层 · 发表于 2020-4-19 12:15:35

K560987 发表于 2020-4-19 12:00
感想解答，我本以为回滚是什么黑科技没想到只是即时备份

这个很普通的科技绝大部分杀软都做不到呢。

[交流探讨] 卡巴（或其它杀软）是如何做到回滚恶意软件操作的