KillMBR3x

显示全部楼层 · 发表于 2022-1-22 16:03:59

SpyShelter Free

显示全部楼层 · 发表于 2022-1-22 16:06:06

swizzer 发表于 2022-1-22 15:43
请问，MDE阻断时具体是触发的什么规则？

~~有点不敢相信微软在这方面的防护也做得这么绝~~

只要发现奇怪的代码对计算机有损害的他都会阻断

显示全部楼层 · 发表于 2022-1-22 16:07:12

vaedzy 发表于 2022-1-22 16:06
只要发现奇怪的代码对计算机有损害的他都会阻断

EDR的一贯风格呢···

显示全部楼层 · 发表于 2022-1-22 16:14:56

swizzer 发表于 2022-1-22 16:07
EDR的一贯风格呢···

那是不是说，MDE实际的误报率也会很高呢 @vaedzy

显示全部楼层 · 发表于 2022-1-22 16:16:51

fzp070 发表于 2022-1-22 16:14
那是不是说，MDE实际的误报率也会很高呢 @vaedzy

不会啊不影响正常使用

显示全部楼层 · 发表于 2022-1-22 16:17:36

fzp070 发表于 2022-1-22 16:14
那是不是说，MDE实际的误报率也会很高呢 @vaedzy

EDR这么做其实严格来讲不算误报

因为EDR就是个探针，是用来分析攻击链，调查取证的，所以对于一些可疑行为都要阻断，随后一般都有管理员调查取证后再决定如何处置

再说了，正常使用也很少会碰到足以让EDR响应的行为的

显示全部楼层 · 发表于 2022-1-22 16:19:47

杀1.

显示全部楼层 · 发表于 2022-1-22 16:54:26

swizzer 发表于 2022-1-22 14:51
确实，这样本似乎是通过一些特殊手段引发蓝屏后写入MBR的，智量第二个也挂了···

~~讲真看到 ...~~

~~讲真卡巴要是连sw都过了就只能靠自定义hips了,而且也无法保证万无一失。~~

显示全部楼层 · 发表于 2022-1-22 16:57:03

vaedzy 发表于 2022-1-22 16:16
不会啊不影响正常使用

感谢两位热心解答！ @vaedzy @swizzer

显示全部楼层 · 发表于 2022-1-22 17:05:03

[病毒样本] KillMBR3x