卡巴斯基主防

病毒样本收集者

卡巴斯基主防可以回滚病毒对mbr的破坏吗

PanzerVIIIMaus

病毒样本收集者 发表于 2021-12-4 13:27
意思是如果把那个程序加入低限制组他就不能修改mbr了

默认设置下，卡巴斯基安全软件会将有待观察的未知程序列入应用程序控制的低限制组，在低限制组中，大部分可能造成风险的行为会被暂停并“询问”用户的意见
理论上应用程序控制可能会根据对象运作的危险进展、检查得出的信誉信息等要素，随时重新将该对象列为高风险组或不信任组（如果它可能是任何威胁，当它被做到这个地步的时候，威胁的运作其实基本休矣），但鉴于这块的敏感度较低，为了简化问题，我们忽略这个因素。


由于默认设置下“自动执行推荐操作”选项的存在，“询问”实际上等同于“允许”

所以默认设置下卡巴斯基如果扫描、主防都漏掉了MBR病毒……



所以，你的选择一般有两个：
·将“自动执行推荐操作”选项取消，但只做这一步的话就意味着弹窗会变得频繁

·在应用程序控制调节“低限制组”的一些高危行为为“阻止”（对于MBR病毒，主要围绕一些高危的磁盘写入操作进行“阻止”），这样对应的高危操作会被自动阻止

pal家族

mbr修复请使用特殊工具自行处理为好。
可以考虑用hips拦截所有对硬盘的低级写入

PanzerVIIIMaus

如果一个准备修改MBR的病毒，卡巴斯基未能通过早期监控检出，就只能通过主防提前拦截
但在个人版卡巴斯基安全软件中，利用应用程序控制功能，加大对“低限制级”程序的（主要是磁盘写入）限制也能在已有的自动主防之外有效地为MBR提供保护



一旦威胁对MBR的操作完毕，MBR是无法回滚的

当然，如果换用UEFI引导，MBR感染不会导致影响



对于UEFI引导的用户，修复MBR的感染总是非常简单，像分区助手、Diskgenius这种工具都很OK

对于MBR引导的用户，这个就较为麻烦，首先建议在常规Windows以及PE两个环境都使用360系统急救箱，降低修复后无法启动系统的概率。如果找不到威胁，次选才是于PE操作分区助手、Diskgenius等工具

病毒样本收集者

PanzerVIIIMaus 发表于 2021-12-4 11:14
如果一个准备修改MBR的病毒，卡巴斯基未能通过早期监控检出，就只能通过主防提前拦截
但在个人版卡巴斯基 ...

意思是如果把那个程序加入低限制组他就不能修改mbr了

adswm

pal家族 发表于 2021-12-4 10:11
mbr修复请使用特殊工具自行处理为好。
可以考虑用hips拦截所有对硬盘的低级写入

请问有哪些特殊工具呢

00006666

adswm 发表于 2021-12-7 19:54
请问有哪些特殊工具呢

一般的可以用分区工具例如:DiskGenius等来修复。

MBRLOCK加密的MBR大多都可以用这个工具来修复:https://bbs.kafan.cn/thread-2135185-1-1.html