密码123.rar
(142.45 KB, 下载次数: 487)
2017-9-30 16:12 上传
点击文件名下载附件
请勿实机运行!!!火绒可以查杀,但主动防御无法阻止加密!
只开启火绒的“行为防护”和“系统加固”,并开启“勒索诱捕”。
运行病毒后“行为防护”没反应,“系统加固”弹窗,全部阻止后文件依然被加密,很多软件无法正常工作。
截图:
作者: CANDY77 时间: 2017-9-30 16:29
感谢反馈 该问题已转交给相关工程师处理,国庆期间尽快升级解决 ,感谢您的反馈,提前祝您国庆快乐~
作者: 蓝月随风 时间: 2017-9-30 16:38
关键行为
行为描述: 修改原系统的EXE文件
详情信息:
C:\install.exe
C:\Python27\python.exe
C:\Python27\python2.7.exe
C:\Python27\python2.exe
C:\Python27\pythonw.exe
C:\Python27\pythonw2.7.exe
C:\Python27\pythonw2.exe
C:\Python27\w9xpopen.exe
行为描述: 跨进程写入数据
详情信息:
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x7ffde008, Size = 0x00000004 TargetPID = 0x00000c9c
行为描述: 疑似加密敲诈行为
详情信息:
N/A
N/A
行为描述: 设置线程上下文
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
行为描述: 修改敏感的系统文件
详情信息:
C:\boot.ini ---> Offset = 0
C:\boot.ini ---> Offset = 224
C:\boot.ini ---> Offset = 256
C:\boot.ini ---> Offset = 272
C:\boot.ini ---> Offset = 400
行为描述: 修改注册表_启动项
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck
进程行为
行为描述: 隐藏窗口创建进程
详情信息:
ImagePath = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, CmdLine = "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"
行为描述: 创建进程
详情信息:
[0x00000c9c]ImagePath = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, CmdLine = "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"
行为描述: 设置线程上下文
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
行为描述: 枚举进程
详情信息:
N/A
行为描述: 跨进程写入数据
详情信息:
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x7ffde008, Size = 0x00000004 TargetPID = 0x00000c9c
文件行为
行为描述: 创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\nsj3.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp\System.dll
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe
C:\Documents and Settings\All Users\{a88c119a-c586-11e0-b5c8-806d6172696f}
C:\READ_IT.html
C:\~1\READ_IT.html
C:\RECYCLER\S-*\READ_IT.html
C:\Python27\READ_IT.html
C:\Python27\Tools\scripts\READ_IT.html
C:\Python27\Tools\pynche\READ_IT.html
C:\Python27\Tools\pynche\X\READ_IT.html
C:\Python27\Tools\i18n\READ_IT.html
C:\Python27\Tools\asinstall\READ_IT.html
行为描述: 修改原系统的EXE文件
详情信息:
C:\install.exe
C:\Python27\python.exe
C:\Python27\python2.7.exe
C:\Python27\python2.exe
C:\Python27\pythonw.exe
C:\Python27\pythonw2.7.exe
C:\Python27\pythonw2.exe
C:\Python27\w9xpopen.exe
行为描述: 创建可执行文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp\System.dll
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe
行为描述: 修改脚本文件
详情信息:
C:\AUTOEXEC.BAT ---> Offset = 0
C:\AUTOEXEC.BAT ---> Offset = 128
行为描述: 复制文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe
行为描述: 删除文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\nsj3.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp
行为描述: 查找文件
详情信息:
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nse4.tmp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = X:\*
FileName = D:\*
FileName = C:\*
FileName = C:\~1\*
FileName = C:\StaticAnalyze\*
FileName = C:\SAVEAS\*
FileName = C:\RECYCLER\*
FileName = C:\RECYCLER\S-*\*
行为描述: 修改原系统的可执行文件
详情信息:
C:\install.res.2052.dll
C:\Python27\tcl\Tix8.4.3\Tix843.dll
行为描述: 重命名文件
详情信息:
C:\boot.ini ---> C:\boot.ini.f49idjty
C:\bootfont.bin ---> C:\bootfont.bin.f49idjty
C:\eula.2052.txt ---> C:\eula.2052.txt.f49idjty
C:\globdata.ini ---> C:\globdata.ini.f49idjty
C:\hosts ---> C:\hosts.f49idjty
C:\install.exe ---> C:\install.exe.f49idjty
C:\install.ini ---> C:\install.ini.f49idjty
C:\install.res.2052.dll ---> C:\install.res.2052.dll.f49idjty
C:\NTDETECT.COM ---> C:\NTDETECT.COM.f49idjty
C:\ntldr ---> C:\ntldr.f49idjty
C:\vcredist.bmp ---> C:\vcredist.bmp.f49idjty
C:\VC_RED.cab ---> C:\VC_RED.cab.f49idjty
C:\VC_RED.MSI ---> C:\VC_RED.MSI.f49idjty
C:\RECYCLER\S-*\Dc3.lnk ---> C:\RECYCLER\S-*\Dc3.lnk.f49idjty
C:\RECYCLER\S-*\desktop.ini ---> C:\RECYCLER\S-*\desktop.ini.f49idjty
行为描述: 修改敏感的系统文件
详情信息:
C:\boot.ini ---> Offset = 0
C:\boot.ini ---> Offset = 224
C:\boot.ini ---> Offset = 256
C:\boot.ini ---> Offset = 272
C:\boot.ini ---> Offset = 400
行为描述: 修改文件内容
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085 ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085 ---> Offset = 16166
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085 ---> Offset = 32322
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085 ---> Offset = 48473
C:\Documents and Settings\Administrator\Local Settings\Temp\146431085 ---> Offset = 64639
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp\System.dll ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe ---> Offset = 0
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe ---> Offset = 65536
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe ---> Offset = 131072
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe ---> Offset = 4096
C:\Documents and Settings\All Users\{a88c119a-c586-11e0-b5c8-806d6172696f} ---> Offset = 0
C:\Documents and Settings\All Users\{a88c119a-c586-11e0-b5c8-806d6172696f} ---> Offset = 258
C:\READ_IT.html ---> Offset = 0
C:\bootfont.bin ---> Offset = 0
C:\bootfont.bin ---> Offset = 16384
注册表行为
行为描述: 修改注册表_启动项
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck
其他行为
行为描述: 创建互斥体
详情信息:
oleacc-msaa-loaded
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
行为描述: 创建事件对象
详情信息:
EventName = Global\userenv: User Profile setup event
行为描述: 疑似加密敲诈行为
详情信息:
N/A
N/A
行为描述: 生成会话密钥
详情信息:
[CryptDeriveKey] Algorithm: CALG_AES_256 (0x00006610) Flags: 0x00000001
行为描述: 调整进程token权限
详情信息:
SE_LOAD_DRIVER_PRIVILEGE
行为描述: 打开事件
详情信息:
HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
行为描述: 可执行文件签名信息
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp\System.dll(签名验证: 未通过)
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe(签名验证: 未通过)
行为描述: 可执行文件MD5
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\nse4.tmp\System.dll ---> 55a26d7800446f1373056064c64c3ce8
C:\Documents and Settings\Administrator\Application Data\%temp%\****.exe ---> e815dba500b505fc995baa743d764efb
行为描述: 打开互斥体
详情信息:
ShimCacheMutex
行为描述: 解密数据
详情信息:
[CryptDecrypt] Data: 0x00B20000, CipherTextLen: 69136, PlainTextLen: 69120, Flags: 0x00000000
行为描述: 加载新释放的文件
详情信息:
Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nse4.tmp\System.dll.
作者: w-tekeze 时间: 2017-9-30 22:02
本帖最后由 w-tekeze 于 2017-9-30 22:09 编辑
已测试,证实楼主所言非虚。。
先介绍下测试环境: ①VB虚拟机XP系统 ②火绒为4.0.38.5版,测试前关闭实时监控,其余均开启。 ③开启火绒勒索透捕功能 ④火绒的“系统加固”选项全部勾选 ⑤添加了“基础防御-14II”规则
个人进行了些分析,供大家参考,欢迎讨论。。
从测试环境看,火绒除了关闭实时监控外,其它设置是很严格的,但最终还是失败了,主要原因是: 1. 这个勒索病毒只对系统分区的桌面和根目录加密,勒索透捕文件夹完好无损,自然失去了触发功能,同样,由于Windows等重要文件夹没有受到破坏,那“系统加固”和“基础防御-14II”规则也就没有了用武之地!
2. 系统分区是选择性加密,但其他分区是全盘加密,破坏性极大。 
3. 这个勒索造成火绒的勒索透捕功能失效,算是半智能勒索吧? 官方恐怕应考虑调整勒索透捕文件夹的设置了。 4. 最后还是那句话,没把握的童鞋手别残! 手别残!! 手别残!!! 
作者: w-tekeze 时间: 2017-9-30 22:18
本帖最后由 w-tekeze 于 2017-9-30 22:25 编辑
w-tekeze 发表于 2017-9-30 22:02
已测试,证实楼主所言非虚。。
先介绍下测试环境: ①VB虚拟机XP系统 ②火绒为4.0.38.5版,测试 ...
补充: 虽然火绒靠系统加固阻止了病毒对NTDETECT.com和ntldr的删除,使电脑还能得以启动,但这个勒索不仅加密文档,连exe和dll文件也不放过,破坏性极大!
没把握的绒友请不要乱试!!!我曾发过篇帖子,当时有点怀疑火绒的勒索透捕文件夹设置得是否足够,从这个病毒情况来看,当初的担心还是有一定道理的。。@Chang_Feng @Nobuchika
https://bbs.huorong.cn/thread-40487-1-1.html
作者: w-tekeze 时间: 2017-10-1 11:03
本帖最后由 w-tekeze 于 2017-10-1 11:17 编辑
w-tekeze 发表于 2017-9-30 22:18
补充: 虽然火绒靠系统加固阻止了病毒对NTDETECT.com和ntldr的删除,使电脑还能得以启动,但这个勒索不仅 ...
再补充点,昨晚接着做了两种测试:
1. 将“基础防御-14II”换成3D[斩首]规则,其中的[FD]“反加密/文档图片反篡改”规则包含51种文件格式,能很好阻止该病毒对这些文档类文件的加密,但exe、dll、dat等并不在保护之列,最终各类应用软件还是报废(我应用软件是安装在D盘)。。
2. 不关闭火绒的实时监控,但把该病毒加入白名单,结果略微有些可喜变化,火绒弹出了一个报毒窗口,但此时大势已去,原因是该病毒加密是从最末一个分区开始,最后才到达C盘(即使将此病毒放在桌面或C盘根目录,甚至是Windows\System32目录里,然后双击运行),从这个情况看,该病毒应该可以称得上半智能勒索了。。
最后希望官方在火绒的行为分析方面能进行些改进或加强吧! 
作者: 1670338677 时间: 2017-10-1 11:21
占楼先
作者: w-tekeze 时间: 2017-10-1 12:26
欢迎大水笔,下个玩玩呗。。。不过没装虚拟机的话就别试,否则。。
作者: Nobuchika 时间: 2017-10-1 14:12
本帖最后由 Nobuchika 于 2017-10-1 14:17 编辑
有點棘手阿這玩意
順帶一提,目前正在構思自訂誘餌方便判斷的方法 例如寫兩條規則 一條監控誘餌文件的"讀"
當"讀"跳出彈窗的時候 約有一半的可能性是勒索(不管是啥勒索都會遍歷文件),使用者可以選擇忽略或結束進程
另一條監控另一個誘餌的"寫入" ,如果前面"讀"彈窗放行後,又跳出"寫入"警告窗的話,那大概就能判斷這是勒索程序的作為了,一定要選擇結束進程
用兩條規則來輔助判斷,感覺可行?
作者: w-tekeze 时间: 2017-10-1 14:40
Nobuchika 发表于 2017-10-1 14:12
有點棘手阿這玩意
順帶一提,目前正在構思自訂誘餌方便判斷的方法 例如寫兩條規則 一條監控誘餌 ...
恐怕还是不行哟。。。这个家伙似乎就没有遍历行为,运行后就从最末一个分区开始动手,而且不分文件类型,全部通吃啊。。
仅仅就这个病毒来说,在最后那个分区加入透捕文件夹,才会第一时间被触发。。作者: 绿坝-花季护航 时间: 2017-10-1 14:53
程序相对而言没有文档重要
作者: Nobuchika 时间: 2017-10-1 15:24
w-tekeze 发表于 2017-10-1 14:40
恐怕还是不行哟。。。这个家伙似乎就没有遍历行为,运行后就从最末一个分区开始动手,而且不分文件类型, ...
等看看官方的回應吧?
樣本先收著,我思考下自定義誘餌....要怎麼做才能防這類的勒索
作者: w-tekeze 时间: 2017-10-1 16:22
绿坝-花季护航 发表于 2017-10-1 14:53
程序相对而言没有文档重要
这个是肯定的。。。但很多人最后那个盘就是备份盘哦,还不得哭死。。
而我更惨,D盘是程序,E盘是文档。。 别谈用移动硬盘备份的事,这是两码事哈。。
作者: w-tekeze 时间: 2017-10-1 16:34
Nobuchika 发表于 2017-10-1 15:24
等看看官方的回應吧?
樣本先收著,我思考下自定義誘餌....要怎麼做才能防這類的勒索 ...
最简单但也最笨的办法,就是每个分区都象系统分区一样设置透捕文件夹,但这也太被动了。。
也许还需在主防的行为分析上做文章吧。。
等官人来看看,你也再想想。。 PS: 参考下板凳给出的行为跟踪。作者: 绿坝-花季护航 时间: 2017-10-1 17:12
w-tekeze 发表于 2017-10-1 16:22
这个是肯定的。。。但很多人最后那个盘就是备份盘哦,还不得哭死。。 而我更惨,D盘是程序, ...
你不是虚拟机上吗..
作者: 绿坝-花季护航 时间: 2017-10-1 17:14
w-tekeze 发表于 2017-10-1 16:22
这个是肯定的。。。但很多人最后那个盘就是备份盘哦,还不得哭死。。 而我更惨,D盘是程序, ...
我感觉重要的还是把文档类文件放在一个盘里,然后用自定义规则把删除勾上
作者: w-tekeze 时间: 2017-10-1 18:12
绿坝-花季护航 发表于 2017-10-1 17:12
你不是虚拟机上吗..
是在虚拟机上,没啥损失的。。。我的意思是,象这个勒索的行径,对我这种把程序放D盘,文档放E盘,备份放F盘的用户来说,如果中招损失将会是最惨的。。。默认情况下,我的文档和程序都是装在系统盘上啊,除备份盘中招,其它损失不算大。。
作者: w-tekeze 时间: 2017-10-1 18:14
本帖最后由 w-tekeze 于 2017-10-1 18:19 编辑
绿坝-花季护航 发表于 2017-10-1 17:14
我感觉重要的还是把文档类文件放在一个盘里,然后用自定义规则把删除勾上 ...
这个没说的,同意。。。
不过我全硬盘处于影子保护,就不用加这条规则了,哈哈。。
作者: Nobuchika 时间: 2017-10-1 18:18
绿坝-花季护航 发表于 2017-10-1 17:14
我感觉重要的还是把文档类文件放在一个盘里,然后用自定义规则把删除勾上 ...
不能,光勾選刪除還不夠,最佳狀況是勾選寫入和刪除
作者: 绿坝-花季护航 时间: 2017-10-1 18:30
Nobuchika 发表于 2017-10-1 18:18
不能,光勾選刪除還不夠,最佳狀況是勾選寫入和刪除
的确,只要把编辑软件排除就可以了
作者: 绿坝-花季护航 时间: 2017-10-1 18:33
w-tekeze 发表于 2017-10-1 18:14
这个没说的,同意。。。 不过我全硬盘处于影子保护,就不用加这条规则了,哈哈。。 ...
全硬盘处于影子保护
那你的文档也就没了
作者: w-tekeze 时间: 2017-10-1 18:43
绿坝-花季护航 发表于 2017-10-1 18:33
那你的文档也就没了
啥意思?
用了7、8年的影子还没听说过呢。。
实际上我明白你说的是PS影子系统,但真正会玩影子的人,都是用的SD影子卫士,甩PS三条街哈。。
作者: 绿坝-花季护航 时间: 2017-10-1 18:58
w-tekeze 发表于 2017-10-1 18:43
啥意思? 用了7、8年的影子还没听说过呢。。 实际上我明白你说的是PS影子系统 ...
你排除了
作者: w-tekeze 时间: 2017-10-1 20:11
汗哦,最重要的就是文档、相片这类,如果排除了还怎么靠影子保护呢?
用SD的右键穿透保存啊,略微麻烦点,但又不是办公室的文秘人员,哪有那么多的文档需要修改和保存呢? 
作者: 绿坝-花季护航 时间: 2017-10-1 20:39
w-tekeze 发表于 2017-10-1 20:11
汗哦,最重要的就是文档、相片这类,如果排除了还怎么靠影子保护呢? 用SD的右键穿透保存 ...
每修改一个就要再操作一次...
作者: w-tekeze 时间: 2017-10-1 20:48
9月初也玩了个勒索病毒,我在虚拟机和实机上都详细测试了,但不知怎么搞的,这个帖子后来被加了200的权限,是帖主加的还是官人加的?
名字叫“不太清楚”,链接在这里,但已经打不开了,都盖到61楼了。。
我敢在实机上测试靠的不就是SD影子吗? 
https://bbs.huorong.cn/forum.php?mod=viewthread&tid=40656&extra=page%3D6&mobile=no
作者: w-tekeze 时间: 2017-10-1 20:52
本帖最后由 w-tekeze 于 2017-10-1 20:55 编辑
绿坝-花季护航 发表于 2017-10-1 20:39
每修改一个就要再操作一次...
肯定的啊,但你又不是办公室的文秘人员。。
习惯后根本不觉得麻烦。。 修改、保存多的话,对文件夹穿透保存就行,也并不是每个文件都要操作一次。。。作者: 声嘶力竭 时间: 2017-10-1 21:16
w-tekeze 发表于 2017-10-1 20:52
肯定的啊,但你又不是办公室的文秘人员。。 习惯后根本不觉得麻烦。。 修改、保 ...
我一点都感觉不到意外……火绒的勒索诱捕早就落伍了……官方不重视,没办法系列…
作者: w-tekeze 时间: 2017-10-1 22:05
声嘶力竭 发表于 2017-10-1 21:16
我一点都感觉不到意外……火绒的勒索诱捕早就落伍了……官方不重视,没办法系列… ...
哈哈,你也来啰,我还准备艾特你呢。。
我在5楼给了个链接,也不是说官方不重视,可能对付这类所谓的“智能勒索”,目前的诱捕措施或策略吧,还需要改进完善哦。。
等官人来看看再说吧。。。作者: nat 时间: 2017-10-1 22:05
火绒的行为分析方面能要进行些改进或加强。
作者: w-tekeze 时间: 2017-10-1 22:45
nat 发表于 2017-10-1 22:05
火绒的行为分析方面能要进行些改进或加强。
是啊,希望官方对这个样本的行为能好好分析研究下。。。从我在地板给出的火绒配置情况来看,够严厉了吧? 但离开了样本入库,只靠主防、系统加固和规则,包括开启勒索诱捕,但结局还是GG了。。
作者: 肆随飗林 时间: 2017-10-2 01:37
关于勒索病毒这问题我一直有条思路,不过我不懂编程不晓得实现这一功能有没有难度。就是默认禁止任何软件加密图片视频文档之类的格式,然后弄个自定义 白名单仅允许电脑上某几个软件加密这样文件作者: w-tekeze 时间: 2017-10-2 10:22
肆随飗林 发表于 2017-10-2 01:37
关于勒索病毒这问题我一直有条思路,不过我不懂编程不晓得实现这一功能有没有难度。就是默认禁止 ...
先顶顶你。。。说真的,我也有类似想法,待会发个帖子详细说一下,到时通知你来帮我盖楼哈。。
作者: 肆随飗林 时间: 2017-10-2 10:29
w-tekeze 发表于 2017-10-2 10:22
先顶顶你。。。说真的,我也有类似想法,待会发个帖子详细说一下,到时通知你来帮我盖楼哈。。 ...
我上次发的移动硬盘u盘防病毒的方法也这里也适用 建立个文件夹保存重要文件 NTFS写入权限拒接复制删除用dism++直接编辑的话可以用dism++无视权限的启动编辑软件
作者: 绿坝-花季护航 时间: 2017-10-2 10:29
w-tekeze 发表于 2017-10-1 20:48
9月初也玩了个勒索病毒,我在虚拟机和实机上都详细测试了,但不知怎么搞的,这个帖子后来被加了200的权限 ...
你不怕穿影子的
作者: Nobuchika 时间: 2017-10-2 10:34
声嘶力竭 发表于 2017-10-1 21:16
我一点都感觉不到意外……火绒的勒索诱捕早就落伍了……官方不重视,没办法系列… ...
我說阿.....
勒索誘捕只是一個補充性的功能,有問題就要改進,沒有落伍不落伍的問題
不然你也可以像我一樣自製誘餌阿
你要放哪裡,放幾百個都可以
作者: 声嘶力竭 时间: 2017-10-2 11:20
Nobuchika 发表于 2017-10-2 10:34
我說阿.....
勒索誘捕只是一個補充性的功能,有問題就要改進,沒有落伍不落伍的問題
明着知也
不明着死缠烂打也
不想说的太直接···免得某些人说我是火绒黑
作者: 声嘶力竭 时间: 2017-10-2 11:23
w-tekeze 发表于 2017-10-1 22:05
哈哈,你也来啰,我还准备艾特你呢。。 我在5楼给了个链接,也不是说官方不重视,可能对付这 ...
不用看······一切都在我的预料中·····火绒的实时保护和行为防御的问题我早就知道····看了好几个版本还是没修复等后期看看官方会不会对行为防御和实时保护的模块进行升级改进
作者: w-tekeze 时间: 2017-10-2 11:26
肆随飗林 发表于 2017-10-2 10:29
我上次发的移动硬盘u盘防病毒的方法也这里也适用 建立个文件夹保存重要文件 NTFS写入权限拒接复制删除 ...
本来是完全可以的,但这种方法首先是对使用者要求太高,另外,和3D规则类似,限制多用户体验不太好,简言之,就是不够智能,有点小众啊。。
作者: w-tekeze 时间: 2017-10-2 11:37
Nobuchika 发表于 2017-10-2 10:34
我說阿.....
勒索誘捕只是一個補充性的功能,有問題就要改進,沒有落伍不落伍的問題
1. 同意你说的。。。哈哈,他说话就那样,别管他哈,让他多挑点刺也不是坏事嘛。。
2. 你能自制诱饵,别人可做不到哦,话说简单的把诱捕文件夹复制到其它分区或目录,达不到触发作用吧。。 我还没试过。作者: w-tekeze 时间: 2017-10-2 11:41
声嘶力竭 发表于 2017-10-2 11:20
明着知也不明着死缠烂打也
不想说的太直接···免得某些人说我是火绒黑 ...
哈哈,相信大家会理解你吧,想说就大声说出来嘛。。
作者: 声嘶力竭 时间: 2017-10-2 11:43
w-tekeze 发表于 2017-10-2 11:37
1. 同意你说的。。。哈哈,他说话就那样,别管他哈,让他多挑点刺也不是坏事嘛。。 2. 你能 ...
看的出来……大多数用的是默认(防御被穿透谁背锅)。谁会折腾那些!!!就和地雷一样,看你会不会玩规则……还有hips能不能很强……但是弹窗你懂的!
作者: w-tekeze 时间: 2017-10-2 11:45
声嘶力竭 发表于 2017-10-2 11:23
不用看······一切都在我的预料中·····火绒的实时保护和行为防御的问题我早 ...
但你也得说点具体的嘛,有什么好想法就具体说说,不着边际的就不好了。。
作者: w-tekeze 时间: 2017-10-2 11:53
绿坝-花季护航 发表于 2017-10-2 10:29
你不怕穿影子的
放心吧,现在手机看帖,没法上图。。。回家后详细给你说说,简言之,配合火绒的系统加固,形成的是种多重防御、立体防御,至少现阶段来说,还没啥病毒能穿透得了影子。。
作者: 声嘶力竭 时间: 2017-10-2 11:57
w-tekeze 发表于 2017-10-2 11:45
但你也得说点具体的嘛,有什么好想法就具体说说,不着边际的就不好了。。 ...
实时保护拦截不住·就靠行为防御·但是我看了很多测试·发现个问题!
行为防御的拦截点.卡位不对(会翻车)有点和小A的IDP的感觉(侧漏)!
作者: w-tekeze 时间: 2017-10-2 12:07
声嘶力竭 发表于 2017-10-2 11:43
看的出来……大多数用的是默认(防御被穿透谁背锅)。谁会折腾那些!!!就和地雷一样,看你会不会玩规则… ...
同意。。。我在39楼也说了,方法可能有很多,但都不够智能,对用户要求高干扰还大。。
那你有些什么想法就具体说说啊。。 我现在出门了,回家后发个帖子具体说一下,就放在安全工具或者安全技术探讨吧,到时记得来帮我盖楼哦。。
作者: tianhu3 时间: 2017-10-2 12:14
本帖最后由 tianhu3 于 2017-10-2 12:15 编辑
w-tekeze 发表于 2017-10-2 12:07
同意。。。我在39楼也说了,方法可能有很多,但都不够智能,对用户要求高干扰还大。。 那你 ...
还是让火绒有一个类似科摩多的可疑程序自动手动的沙盒,或卡巴未知程序低权限运行,或高级精准回滚
作者: tianhu3 时间: 2017-10-2 12:18
火绒的安全防御还不够智能,过于死板
作者: w-tekeze 时间: 2017-10-2 12:20
声嘶力竭 发表于 2017-10-2 11:57
实时保护拦截不住·就靠行为防御·但是我看了很多测试·发现个问题!
行为防御的拦截点.卡位不对(会翻车 ...
准备吃饭啰,待会回复你吧。。。本来准备点评的,顺便再盖一层楼哈。。
作者: 声嘶力竭 时间: 2017-10-2 12:21
w-tekeze 发表于 2017-10-2 12:07
同意。。。我在39楼也说了,方法可能有很多,但都不够智能,对用户要求高干扰还大。。 那你 ...
一言不合就中奖……吓我!
作者: w-tekeze 时间: 2017-10-2 13:18
声嘶力竭 发表于 2017-10-2 11:57
实时保护拦截不住·就靠行为防御·但是我看了很多测试·发现个问题!
行为防御的拦截点.卡位不对(会翻车 ...
1. 原来就和你说过,我用火绒才四个多月,算新人吧,所以你说的卡位不对会翻车,我不清楚就不多言了。。。不过我也发现,火绒的主防有时反应比较慢,所以我的“扫描时机”是调成“中”,就我这个二代笔电i3的CPU来说,对电脑速度绝对没影响的。。。用手机电脑版回帖,有点蛋疼哦,稍不注意就丢了,先回复吧。。。
作者: laopoyf 时间: 2017-10-2 13:19
火绒的勒索诱捕只能算个半残品吧。。。。。
作者: laopoyf 时间: 2017-10-2 13:22
w-tekeze 发表于 2017-10-1 11:03
再补充点,昨晚接着做了两种测试:
1. 将“基础防御-14II”换成3D[斩首]规则,其中的[FD]“反加密/文档图 ...
感觉这病毒数字和瑞星应该可以杀。。。能否做个测试呢
作者: w-tekeze 时间: 2017-10-2 13:24
声嘶力竭 发表于 2017-10-2 11:57
实时保护拦截不住·就靠行为防御·但是我看了很多测试·发现个问题!
行为防御的拦截点.卡位不对(会翻车 ...
2. 这次主防翻车的原因我在前面就解释过了,很简单,首先这个勒索是从最后那个分区开始动手的 (这导致诱捕功能迟迟发挥不了作用),而且自带加密程序,不需要联网下载 (导致“联网控制”也发挥不了作用)。 另外,这个勒索不仅是最后才到达C盘,而且只选择桌面和根目录下手,针对系统或系统文件几乎就没有什么动作,既然动作如此之小,那主防如何进行行为分析呢? 扑街也就成了必然结果。。。最后靠系统加固,阻止了对启动配置文件的删除,否则系统都得瘫痪,还更惨哦。。。
作者: w-tekeze 时间: 2017-10-2 13:28
laopoyf 发表于 2017-10-2 13:19
火绒的勒索诱捕只能算个半残品吧。。。。。
应对某些所谓的“智能勒索”,确实还需要改进。。。
作者: w-tekeze 时间: 2017-10-2 13:31
本帖最后由 w-tekeze 于 2017-10-2 13:43 编辑
laopoyf 发表于 2017-10-2 13:22
感觉这病毒数字和瑞星应该可以杀。。。能否做个测试呢
你说的杀是靠样本入库还是主防? 火绒的实时监控也可以杀啊,明确报的就是勒索病毒,帖主一开始就说过了。。。仅靠主防的话,如果没有动作如何进行分析? 如果无法分析又怎么可能进行拦截? 所以,很难很难。。。
作者: 声嘶力竭 时间: 2017-10-2 13:42
w-tekeze 发表于 2017-10-2 13:31
你说的杀是靠样本入库还是主防? 火绒的实时监控也可以杀啊,明确报的就是勒索病毒,帖主一开始就说过了啊 ...
赶紧写!重点跑偏系列!!!!!主动防御不是靠诱饵!而是你的工作原理···你当病毒傻!地雷看不下去了(HIPS)
睡觉·等你等的花儿都谢了作者: w-tekeze 时间: 2017-10-2 13:53
声嘶力竭 发表于 2017-10-2 13:42
赶紧写!重点跑偏系列!!!!!主动防御不是靠诱饵!而是你的工作原理···你当病毒傻!地雷看 ...
帖主说的是主防无法拦截,我在测试过程中又暴露了诱捕功能的缺陷,但这是两个不同的问题,两者间没有必然联系。。。但没有关系啊,都可以谈一下,各抒己见嘛。。。
作者: 声嘶力竭 时间: 2017-10-2 14:02
w-tekeze 发表于 2017-10-2 13:53
帖主说的是主防无法拦截,我在测试过程中又暴露了诱捕功能的缺陷,但这是两个不同的问题,两者间没有必然 ...
重点是 你这个大神写的 帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢睡觉·等会在来看·晚安作者: w-tekeze 时间: 2017-10-2 14:05
laopoyf 发表于 2017-10-2 13:22
感觉这病毒数字和瑞星应该可以杀。。。能否做个测试呢
忘记说了,我也将这个样本上传了三家在线扫描网站,遗憾的是报毒率很低,平均来说30%左右,应该说火绒对这个样本的入库还是很及时的。。。我不在家无法上图,但大家都可以自己上传试一下。。
作者: w-tekeze 时间: 2017-10-2 14:29
声嘶力竭 发表于 2017-10-2 14:02
重点是 你这个大神写的 帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子呢帖子 ...
好吧,先睡个觉。。。现在不在家哦,晚饭在丈母娘家也有着落了,而晚上10点半之后又要审核啰。。
也许得等明天吧,不过我会第一时间艾特你的哈。。作者: w-tekeze 时间: 2017-10-2 15:40
tianhu3 发表于 2017-10-2 12:14
还是让火绒有一个类似科摩多的可疑程序自动手动的沙盒,或卡巴未知程序低权限运行,或高级精准回滚 ...
就不客气了,真接谈下我的看法吧,不喜勿喷哈,欢迎大家讨论。。。
1. 关于沙盒。 自动沙盒可以说火绒也有,详情参见火绒的技术白皮书。 手动沙盒没有,但这个对用户要求还是太高,如果给办公一族使用,电脑用坏可能也用不上的。我的看法是,与其集成到火绒内增大体量,还不如让感兴趣的人自由选择专业的第三方沙箱工具,传统重定向沙盒可以选择Sandboxie (我就用的这款,建了12个沙盘),策略性沙盒可以选择DefenseWll等。 连数字也始终没有提供完整可控的沙箱工具(其它杀软也一样),而火绒资源有限,这个事还是不做为妙,很简单,如果做就得做好,否则可能会被口水淹死。。。先回复。。。
作者: 昊情· 时间: 2017-10-2 15:55
假如文件类型转换作者: w-tekeze 时间: 2017-10-2 16:04
tianhu3 发表于 2017-10-2 12:14
还是让火绒有一个类似科摩多的可疑程序自动手动的沙盒,或卡巴未知程序低权限运行,或高级精准回滚 ...
2. 低权限运行。 首先还是需要用户手动干预吧,仍然不够你说的智能,况且降权运行,越来越多的软件都运行不了,特别是天朝软件的环境,动不动就加驱,都想要高权限。 现在的SBie使用上越来越受限了,我同样用了它7、8年,感受很深。。。3. 回滚功能。 以前很高大上,但现在早已失宠了,我个人是不赞成增加的 (或者说火绒即使增加这项功能,但我不会启用的),主要是对电脑性能影响较大,并且火绒体量也会明显增大,还可能带来更多的兼容、bug等问题。 毕竟火绒资源有限,象这段时间处理与Win10间的问题就已经很头疼了,所以。。。
作者: w-tekeze 时间: 2017-10-2 16:10
tianhu3 发表于 2017-10-2 12:14
还是让火绒有一个类似科摩多的可疑程序自动手动的沙盒,或卡巴未知程序低权限运行,或高级精准回滚 ...
对火绒来说,我个人觉得走轻巧强悍这条路还是对的,当然,能否真正称得上强悍,那就得看火绒的主防技术了,好钢用在刀刃上,希望火绒有限的资源多投入点在这个上面。。
作者: w-tekeze 时间: 2017-10-2 16:31
昊情· 发表于 2017-10-2 15:55
假如文件类型转换
不是表面看到的那样,好象只是加了个“f49idjty”的后缀名。。。我当时就试过了,删掉这个扩展名后,文件图标正常了,但打开后是乱码。。
我在地板给的第一个截图,就是勒索界面,默认浏览器已被破坏无法使用,点击IE自动打开的就是这个html文档,可不是吓唬人玩的哟。。作者: w-tekeze 时间: 2017-10-2 16:48
本帖最后由 w-tekeze 于 2017-10-2 18:37 编辑
昊情· 发表于 2017-10-2 15:55
假如文件类型转换
作者: w-tekeze 时间: 2017-10-2 18:38
实际上,这类恶意软件可能并不需要加密/删除,只要把文件名改了 (这个不受FD规则里的写入和删除的限制),但对用户来说,还是两眼一抹黑,仍然得泪奔啊。。
所以说,“备份三原则”任何时候都不能少。。作者: 声嘶力竭 时间: 2017-10-2 19:18
本帖最后由 声嘶力竭 于 2017-10-2 19:21 编辑
w-tekeze 发表于 2017-10-2 18:38
实际上,这类恶意软件可能并不需要加密/删除,只要把文件名改了 (这个不受FD规则里的写入和删除的限制), ...
你的队友 一言不合丢了一枚手雷(地雷)过去!咦····怎么没响!丢错了·手雷还在身边,重要的盘自己加规则锁死掉就可以
作者: w-tekeze 时间: 2017-10-2 21:00
声嘶力竭 发表于 2017-10-2 19:18
你的队友 一言不合丢了一枚手雷(地雷)过去!咦····怎么没响!
丢错了·手雷还在 ...
哈哈,响不响无所谓,愿意就交流下,否则就拉倒,论坛嘛,不就是这样。。。就火绒自身来说,你这个用法肯定没问题,给你打个9分吧,剩下一分。。
给你提个建议: 把“创建”也勾上吧,原因前面也说了,万一病毒只是修改文件名称呢? 象我们工作文档、图纸都是比较多的,虽然能打开,但名字全成了乱码,还不是得哭死。。 另外,如果都是文档类的,“执行”就没多少必要选了,当然勾上也没事。。。现在还没回家呢,明天再发帖吧。。。作者: w-tekeze 时间: 2017-10-2 23:33
我觉得有必要给大家说明一下: 并不能简单认为火绒的主防在这个样本面前以失败告终。 我在6楼上传了两张截图,第二个图我取名“主防拦截”,这个报毒窗口是在系统加固拦截完后,最后才弹出的,我相信这就是火绒通过行为分析后才认定的病毒(注意是大红色窗口哈),应该说是主防的成果吧,当然最终结果得请官人说话。。
实时监控报毒是勒索病毒,也上传下大家可以做个比较。。。
作者: a77841s 时间: 2017-10-3 17:33
声嘶力竭 发表于 2017-10-2 19:18
你的队友 一言不合丢了一枚手雷(地雷)过去!咦····怎么没响!
丢错了·手雷还在 ...
和我相同,並且用自動處理規則來做白名單,彈窗則是選擇直接阻止。
不過我把全項都勾起來了,包含創建與讀取。
作者: w-tekeze 时间: 2017-10-3 22:16
本帖最后由 w-tekeze 于 2017-10-3 22:19 编辑
a77841s 发表于 2017-10-3 17:33
和我相同,並且用自動處理規則來做白名單,彈窗則是選擇直接阻止。
不過我把全項都勾起來了,包含創建與 ...
难得见你冒泡哈。。。确实需要勾选“创建”。。。有空的话到这里来交流下 https://bbs.huorong.cn/forum.php? ... 78&page=2#pid177461
另外,他今天心情很糟,有空也可以过去帮他看下问题 https://bbs.huorong.cn/forum.php?mod=viewthread&tid=40884&page=1&extra=#pid177465
作者: Chang_Feng 时间: 2017-10-10 15:01
感谢您的反馈。下一版本升级后,火绒行为分析将对该病毒进行拦截。
作者: w-tekeze 时间: 2017-10-10 20:32
Chang_Feng 发表于 2017-10-10 15:01
感谢您的反馈。下一版本升级后,火绒行为分析将对该病毒进行拦截。
动作还是很快哦,顶一下!
想问下官人,我的系统Temp是放在内存虚拟的硬盘上,不会影响主防的分析吧? 嘿嘿,不看广告看疗效,明天再测试下就知道了。。作者: 歪心猴 时间: 2017-12-12 20:17
Nobuchika 发表于 2017-10-1 14:12
有點棘手阿這玩意
順帶一提,目前正在構思自訂誘餌方便判斷的方法 例如寫兩條規則 一條監控誘餌 ...
觉得是个好方法,任何文件的改动都会涉及到 读 和 写
作者: 不会飞的鸟 时间: 2018-3-5 16:06
本帖最后由 不会飞的鸟 于 2018-3-5 17:56 编辑
蓝月随风 发表于 2017-9-30 16:38
关键行为
行为描述: 修改原系统的EXE文件
详情信息:
请问这是哪款软件的分析结果?
您好,我自己找了下,是哈勃吧
作者: 不会飞的鸟 时间: 2018-3-5 16:53
w-tekeze 发表于 2017-10-1 22:05
哈哈,你也来啰,我还准备艾特你呢。。 我在5楼给了个链接,也不是说官方不重视,可能对付这 ...
sd是个好软件,但使用时出现过间歇性的读写异常,有时退出影子模式需要重启两遍,所以就放弃了,目前用vhdx和沙盘,所有琐碎放内存盘里,效果也很好
作者: 不会飞的鸟 时间: 2018-3-5 16:56
w-tekeze 发表于 2017-10-1 22:45
是啊,希望官方对这个样本的行为能好好分析研究下。。。从我在地板给出的火绒配置情况来看,够严厉了吧? ...
前天试了6个样本,火绒扫描6个包,仅测出一个包,系统加固全开,基础规则和主防一个都没报,都是些不搞大动作的样本,火绒就通通放行了,所以火绒要么得买个库,要么得在行为分析上好好下功夫,目前离了sd和sb,仅靠火绒单奔真的不现实
作者: 不会飞的鸟 时间: 2018-3-5 16:58
肆随飗林 发表于 2017-10-2 01:37
关于勒索病毒这问题我一直有条思路,不过我不懂编程不晓得实现这一功能有没有难度。就是默认禁止 ...
我写了一个桌面禁止创建任何文件的规则,连记事本和explorer自己试了下都没法创建,结果病毒没拦住,加密了,你说咋办?
作者: w-tekeze 时间: 2018-3-5 20:15
不会飞的鸟 发表于 2018-3-5 16:53
sd是个好软件,但使用时出现过间歇性的读写异常,有时退出影子模式需要重启两遍,所以就放弃了,目前用vh ...
我用影子也造成N多次蓝屏或需要二次重启,而沙盘碰到多次冲突还有内存泄露问题,完美的软件确实找不到啊。。
作者: 不会飞的鸟 时间: 2018-3-5 20:19
w-tekeze 发表于 2018-3-5 20:15
我用影子也造成N多次蓝屏或需要二次重启,而沙盘碰到多次冲突还有内存泄露问题,完美的软件确实找不到啊 ...
我的sd也蓝屏数次,兄说的沙盘内存泄露是什么情况
作者: 不会飞的鸟 时间: 2018-3-5 20:24
本帖最后由 不会飞的鸟 于 2018-3-5 20:26 编辑
不会飞的鸟 发表于 2018-3-5 16:58
我写了一个桌面禁止创建任何文件的规则,连记事本和explorer自己试了下都没法创建,结果病毒没拦住,加密 ...
https://bbs.huorong.cn/thread-44594-1-1.html
这个帖子里的病毒,感觉不是规则失效的问题,反正硬生生拦不住,也没有加驱,规则没有问题,测试explorer和记事本都无法在桌面创建文件,病毒可以
作者: w-tekeze 时间: 2018-3-5 20:26
不会飞的鸟 发表于 2018-3-5 16:56
前天试了6个样本,火绒扫描6个包,仅测出一个包,系统加固全开,基础规则和主防一个都没报,都是些不搞大 ...
我算不上杀软爱好者,所以不喜欢单纯测样本。。。以前主要单奔毒霸,现在是单奔火绒,除配备一款用得顺手的杀软,我确实是靠影子、沙盘、Ghost这三剑客闯天涯。。
PS:近期才又重玩虚拟机作者: 不会飞的鸟 时间: 2018-3-5 20:28
w-tekeze 发表于 2018-3-5 20:26
我算不上杀软爱好者,所以不喜欢单纯测样本。。。以前主要单奔毒霸,现在是单奔火绒,除配备一款用得顺手 ...
有影子还上沙盘?不够ghost在xp时代过了后就没玩过,现在用vhd,秒还原的
作者: 不会飞的鸟 时间: 2018-3-5 20:31
w-tekeze 发表于 2018-3-5 20:26
我算不上杀软爱好者,所以不喜欢单纯测样本。。。以前主要单奔毒霸,现在是单奔火绒,除配备一款用得顺手 ...
sd在我电脑上存在很奇怪的问题,缓存设的2g,按理说缓存不用尽其实是内存的速度,用测速软件测试证实我所想,但有时候移动文件慢的惊人,大文件才几mb,就算用硬盘的速度吧,我是固态,一般300mb的速度
作者: w-tekeze 时间: 2018-3-5 20:33
不会飞的鸟 发表于 2018-3-5 20:19
我的sd也蓝屏数次,兄说的沙盘内存泄露是什么情况
某几个版本存在内存泄露,比如最新的5.23版,之前是5.12版,但不是必现,卡饭去年那个19款杀软比拼防勒索的帖子,SBie就是5.12版。。。老以前SBie刚支持64位系统时,bug也很多,除冲突外也是有内存泄露问题。。
作者: w-tekeze 时间: 2018-3-5 20:41
不会飞的鸟 发表于 2018-3-5 20:28
有影子还上沙盘?不够ghost在xp时代过了后就没玩过,现在用vhd,秒还原的
影子和沙盘不一样,两者我都用了8年,09年底10年初开始用的,对我来说Ghost是王道,快20年了,vhdx没仔细研究过,但不能依赖于Win平台,所以我选Ghost。。。秒还原还能多点的,雨过天晴不错,但不支持Win10了。。
作者: w-tekeze 时间: 2018-3-5 20:51
本帖最后由 w-tekeze 于 2018-3-5 21:11 编辑
不会飞的鸟 发表于 2018-3-5 20:31
sd在我电脑上存在很奇怪的问题,缓存设的2g,按理说缓存不用尽其实是内存的速度,用测速软件测试证实我所 ...
我只有8G内存,4G做常规的系统内存,2.78G建了内存虚拟硬盘 (沙盘就是放在这里),剩下1G分给SD缓存。。。没碰到你说的问题啊,C、D盘是放在120G的固态上,仓库盘是个500G 7200转机械盘。
作者: 不会飞的鸟 时间: 2018-3-5 21:12
w-tekeze 发表于 2018-3-5 20:51
我只有8G内存,4G做常规的系统内存,2.78G建了内存虚拟硬盘 (沙盘就是放在这里),剩下1G分给SD缓存。。。 ...
这个也不是必现,你可以试下拷贝文件到桌面
作者: 不会飞的鸟 时间: 2018-3-5 21:13
不会飞的鸟 发表于 2018-3-5 20:24
https://bbs.huorong.cn/thread-44594-1-1.html
这个帖子里的病毒,感觉不是规则失效的问题,反正硬生生 ...
权限不是我设置的,样本链接: https://pan.baidu.com/s/1fm1NiwrTs0sswZnRPXrFQg 密码: ayb2
作者: 不会飞的鸟 时间: 2018-3-5 21:17
w-tekeze 发表于 2018-3-5 20:33
某几个版本存在内存泄露,比如最新的5.23版,之前是5.12版,但不是必现,卡饭去年那个19款杀软比拼防勒索 ...
说到沙盘,昨天倒沙时沙盘提醒有文件名过长不能重命名,下面的文字是磁盘空间不足,我看了下内存盘,的确红了,空间不足,我设的2g,但再看沙盘,里面已经空了,但是内存盘没有释放空间,重启才恢复,我的沙盘也是放内存盘的
作者: w-tekeze 时间: 2018-3-5 22:43
不会飞的鸟 发表于 2018-3-5 21:17
说到沙盘,昨天倒沙时沙盘提醒有文件名过长不能重命名,下面的文字是磁盘空间不足,我看了下内存盘,的确 ...
文件名过长造成无法倒沙我也碰到很多,通常我是右键SBie托盘“终止所有程序”。。。但你这个就应该是内存泄露,换个版本的试试,我现在用的5.22版,7和10两个系统上都没出现泄露情况。
作者: w-tekeze 时间: 2018-3-5 22:48
不会飞的鸟 发表于 2018-3-5 21:13
权限不是我设置的,样本链接: https://pan.baidu.com/s/1fm1NiwrTs0sswZnRPXrFQg 密码: ayb2 ...
这个是想哭啊,但在我虚拟机里怎么运行不了,而在这个帖里的是可以的。。https://bbs.huorong.cn/thread-44338-1-3.html
作者: 不会飞的鸟 时间: 2018-3-5 22:52
w-tekeze 发表于 2018-3-5 22:43
文件名过长造成无法倒沙我也碰到很多,通常我是右键SBie托盘“终止所有程序”。。。但你这个就应该是内存 ...
我的是5.22
作者: 不会飞的鸟 时间: 2018-3-5 22:53
w-tekeze 发表于 2018-3-5 22:48
这个是想哭啊,但在我虚拟机里怎么运行不了,而在这个帖里的是可以的。。https://bbs.huorong.cn/thread-4 ...
看行为动作是一个家族,但不完全一样,你虚拟机什么系统?我win10 64 ,win7 32都可以
作者: w-tekeze 时间: 2018-3-5 23:15
不会飞的鸟 发表于 2018-3-5 22:53
看行为动作是一个家族,但不完全一样,你虚拟机什么系统?我win10 64 ,win7 32都可以 ...
我是Win8.1 x86,从文件大小看好象就是同一个,3M多点。
作者: w-tekeze 时间: 2018-3-5 23:16
不会飞的鸟 发表于 2018-3-5 22:53
看行为动作是一个家族,但不完全一样,你虚拟机什么系统?我win10 64 ,win7 32都可以 ...
额,开始了,就是同一个。。。
作者: w-tekeze 时间: 2018-3-5 23:22
不会飞的鸟 发表于 2018-3-5 22:53
看行为动作是一个家族,但不完全一样,你虚拟机什么系统?我win10 64 ,win7 32都可以 ...
没错,就是同一个,勒索界面都完全相同。。。
作者: 不会飞的鸟 时间: 2018-3-5 23:22
w-tekeze 发表于 2018-3-5 23:16
额,开始了,就是同一个。。。
关掉文件监控试试
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) | Powered by Discuz! X3.4 |