KillMBR

aboringman

Norton：3

1. 2022/2/6 18:58:46,高,检测到 KillMBR2.exe (Heur.AdvML.C) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
2. 2022/2/6 18:58:46,高,检测到 KillMBR2.exe (Trojan.Gen.MBT) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
3. 2022/2/6 18:58:46,高,检测到 KillMBR3.exe (Trojan.Gen.MBT) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1
   
4. 2022/2/6 18:58:45,中,检测到 KillMBR1.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,已执行 威胁 操作: 1

复制代码

Standing by......

KillMBR1.exe双击，防御失败。



Reported

11111111111445

安天2x

谈谈MEMZ

Fs Protection
Kill 2X
KillMBR2：原因: Trojan.TR/Crypt.ZPACK.Gen7
KillMBR3：原因: Trojan.TR/KillMBR.kweyc

Miss 1X
KillMBR1
已上报

xiaobao233

火绒也寄了(扫描)

swizzer

我最好奇的还是智量升级过的主防方案能否防御

它并不是打开物理硬盘读写，所以不会被底层磁盘访问拦截. 它只是打开盘符进行写入，我们下个版本会增加拦截

本来就无法防御，甭管用fwrite还是DeviceIoControl都防御不了

现阶段智量的HIPS还远远不成熟呢








SSF

00006666

Jirehlov1234 发表于 2022-2-6 19:06
是要高级账号么

我这里没登录也能看诶



就在行为分析那页的底下

智量官方

swizzer 发表于 2022-2-6 19:52
本来就无法防御，甭管用fwrite还是DeviceIoControl都防御不了

现阶段智量的HIPS还远远不 ...

感谢@NICO-COOPER 和 @swizzer 的测试, 这个真的只是对某些行为理解不一样，我们不认为打开卷写入就是底层磁盘写入，卷是物理设备的上层形态。我们理解底层磁盘访问是对应的写入物理磁盘，在内核态表现为对物理设备的写入。不过打开卷写入确实能造成某些破坏，所以我们已经在新版中将直接对卷写入纳入了底层磁盘访问。

需要说明的是这个并不是写MBR，只是将分区表删除了，分区表是在MBR后面的东西，我们在新版中已经加入对删除分区表的拦截。另外对于这样纯破坏的东西在现实里用户遇到的概率不大, 因为对于攻击者来讲没有什么好处可言, 不像petya一样替换MBR后还可以勒索用户钱财，这也是很多杀软没有关注删除分区表的原因。这种程序技术含量低，跟format c:类似，所以检测也不困难，我们只花了不到10分钟就已经在新版加入了拦截功能。

biue

Systweak Antivirus

NICO-COOPER

智量官方 发表于 2022-2-6 22:56
感谢@NICO-COOPER 和 @swizzer 的测试, 这个真的只是对某些行为理解不一样，我们不认为打开卷写入就是底层 ...

还没权限评分，手动点赞希望你们的产品越做越好，早点注册安全中心，我就可以考虑抛弃诺顿了

petr0vic