样本区“摧毁者”的表现（含最新冰盾、火绒的）

x-天秤座

补充一下：我拿实机试的，你们千万别学我，这个软件真的会破坏电脑的。我是因为有台多的电脑，备份过系统，又有PE，才实机的。

以下是我个人电脑的使用情况，不同的应该有不同表现，不能一概而论。

这几天不是论坛安全软件纷纷出新版吗？例如冰盾4.3.0版，火绒6.0的正式版：6.0.0.33，于是我从论坛样本区找来了那个摧毁者病毒样本试一下---当然严格来说，这个软件不完全算病毒吧，就是个破坏工具，但是防止在不知情的情况下的破坏也算电脑安全防护吧？

先说冰盾4.3.0吧，行为防护挺好的，安装好后增强保护什么都选中，默认+第三方的全打开，另外我稍微作了一下弊（把第三方规则里面对系统目录的新建读写执行加强了，应该没事了）后，直接运行摧毁者，小狗出现了，也不多说，直接右键选问号那里点击。
然后冰盾开始弹窗，具体内容我忘了，不是命令行就是注册表吧，反正肯定是阻止...再阻止，全部阻止，最后不想阻止了想用冰盾弹窗里面那个终止程序功能，结果试了几次无法终止，用任务管理器也当然无法终止。
打开冰盾的安全工具，里面有个强行终止和强删除的，把PID输入也不能终止，也就是说，对于这个摧毁者进程，冰盾的弹窗那里无法终止、工具也无法终止进程。
最后好像握手言和了，小狗没什么反应，也不弹窗了，好像是没事了....，重启---蓝屏，冰盾默认规则没有拦住。

再来火绒6.0正式版，这次我把所有规则和防护（除了病毒扫描）全打开，然后把自己用了多年的规则包括论坛里面那个321条6.0的规则也全弄进去了，然后运行摧毁者，小狗出现了，不废话直接右键点中问号那里，等待。
然后，然后就开始屏幕乱跳，火绒开始弹窗但是无法点击，只有等计数到0后自动阻止...，不断阻止后，出现一个写MBR的弹窗也是不能点击，但是显示被阻止了...，结果最后电脑蓝屏了，重启后继续蓝屏。火绒6.0+自定义规则（主要询问的）也没有拦住。

其他安全软件，论坛帖子里面有测试情况介绍。反正我试了几个，不查杀的话，也没防住，不说名字了，因为是非正版，不好意思评价。

最后谁防住了，你们可能会奇怪：智量。
对，我这里---没搞规则，没有扫描杀，运行的时候一开始也没杀，直到出现小狗后我右键点击问号后，停了一会儿，右下角弹窗智量处理了情况，一看，摧毁者被杀了。智量很早不更新了，看情况这应该是检测到软件的恶意行为后查杀的。

另外一个就是外国的Trellix，设置里面默认基本选中，运行摧毁者，然后屏幕乱跳声音乱叫，最后重启了，居然电脑没事儿（系统没有被破坏），Trellix也正常，所以麦咖啡企业版的防护这方面确实是顶呱呱。

我的意思是：在不查杀的情况下，难道智量的行为检测防护方面直到现在都还能那么厉害？都还能和现在一些最新的安全软件比较，那么如果它真的一直更新和发展，会不会成为一个很出名的安全软件？

Komeiji-Reimu

蓝屏并不是MBR被破坏了，冰盾的禁止直接操作磁盘可以完美拦截他的mbr删除，蓝屏是因为他删了catroot，这个规则市场里没有，不过不是冰盾的问题。
关于智量，他就是检测到mbr被改了默认逻辑就是报毒而已，实际上你在冰盾弹第一个窗之后点击结束进程也是一样的效果。
冰盾默认规则很少，拦不住正常，市场规则也是有数的，显然不能尽善尽美，有些市场规则确实能拦住，但是太过激进，一些正常的软件也会被拦。不过未来冰盾推出云规则可能会改善这个问题。
一个手动Hips软件，肯定需要一些基础才能使用，并且永远无法代替杀毒软件，所以我说kfa+冰盾≈标准版

dght432

卡巴斯基标准版的应用程序控制不知道能不能拦住

momli

智量主防强大没用啊，动不动拖慢软件运行以及卡死系统，还活着的时候官方无法解决这些bug。可以说智量的强大主防是用稳定性换来的，也就只能个人玩玩

sanhu35

冰盾默认+第三方规则+  手动加一条 文件规则 C:\Windows\System32\CatRoot>设置删除询问  


摧毁开始。
开始的第一步就看到MBR修改弹窗  默认是询问阻止的。



摧毁自动停止后。  （不拦截Mbr和CatRoot 是会被自动重启了）
可以看到系统桌面被改成蓝屏壁纸，鼠标左右键被互换，系统字体被删，分辨率变小





重启后，分辨率自动恢复。  系统底层没有被破坏。修改MBR被最开始就被默认规则拦截。






几个关键点：
1。C:\Windows\System32\CatRoot>    防删除这个目录，可以防止无限蓝屏。
2。阻止陌生程序修改MBR
3。可以加强windows目录的保护 比如 CatRoot目录 、Fonts目录。
windows\*.exe  windows\*dll   windows\*.sys  等文件被修改删除

用规则市场里面我的规则+文件防护规则。  
额外再添加一条 C:\Windows\System32\CatRoot> 修改、删除就搞定了。
被恶意修改的不重要的地方，可以手动恢复。
最后不要实际测试任何恶意程序。

安全测评

HIPS跟杀毒软件不是一种维度的产品。
杀毒软件安装了就可以看效果了，能不能拦截一下子就看出来。
但是HIPS需要自己添加规则，分析恶意软件行为，然后根据行为设置规则，这样才可以拦截住。如果说某个行为没法提供规则来拦截，或者设置了规则被绕过，这些才是衡量一个HIPS的真正能力。
很多人可能不会设置比较复杂的规则，可以找一下其他人设置好分享的规则，或者加群交流。

wwwab

重启---蓝屏，MBR被破坏了吧

结果最后电脑蓝屏了，重启后继续蓝屏，MBR被破坏

谁跟你说重启之后蓝屏是MBR被破坏？MBR被破坏了你还能看得到BSOD界面？胡说八道

x-天秤座

Komeiji-Reimu 发表于 2024-6-26 19:31
蓝屏并不是MBR被破坏了，冰盾的禁止直接操作磁盘可以完美拦截他的mbr删除，蓝屏是因为他删了catroot，这个 ...

冰盾弹窗是无法结束进程的，工具也不行，我文字里面有写，你可以试一下。至于破坏MBR，火绒有提示，论坛帖子里面大佬说的是，所以开机是无法启动的，你正常重启后也是，因为MBR被破坏了。
----我仔细看了我这个回复，内容分两个：1，冰盾无法结束进程，工具也不行---阐述的是这个；2，破坏了MBR---开机是无法启动，重启后也无法启动---阐述的是这个。文章有误，我这个回复应该没错啊，属于内容修正了。

x-天秤座

wwwab 发表于 2024-6-26 21:43
谁跟你说重启之后蓝屏是MBR被破坏？MBR被破坏了你还能看得到BSOD界面？胡说八道

火绒有弹窗提示，上面写的。另外百度百科：“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。

这里面介绍的病毒破坏了MBR，还可以进系统呢，那么另外破坏了的蓝屏更是有可能。

高手高手，去修改下百度百科吧，对我们小民辱骂会降低你的高手身份的。

----看了也没错，从逻辑上来说，网上介绍了MBR被感染（相当于也破坏），同样可能进系统、也可能蓝屏（有概率）---这个属于猜测，但质疑需要数据说服MBR一定不会蓝屏。至于摧毁者破坏MBR只会不启动而不会蓝屏是另外一回事（文章有错，回复有修正）

wwwab

x-天秤座 发表于 2024-6-26 22:25
火绒有弹窗提示，上面写的。

你先回答我，那谁跟你说样本的唯一行为就是修改MBR，然后重启之后BSOD了就是MBR被改了？

样本是会有修改MBR的行为，但是你是怎么确定BSOD了就是MBR被改了？