火绒安全软件

标题: 能否提供“文档保护”功能——勒索相关 [打印本页]

作者: w-tekeze 时间: 2017-10-3 11:56
标题: 能否提供“文档保护”功能——勒索相关
本帖最后由 w-tekeze 于 2017-10-3 11:57 编辑

之前做了个勒索病毒的测试，链接： https://bbs.huorong.cn/thread-40847-1-1.html 由于这个病毒运作的特殊性，火绒的主防没有拦截住（通过实时监控是可以查杀的），最终被这个病毒产生的巨大破坏力震撼到了。。

对于电脑用户来说，系统和应用软件都可以重新装过，但文档、相片等却是无价之宝。因此给官方提个建议，能否设置单独的“文档保护”功能，火绒对处于这个区域的文件进行特别保护，可采取权限、规则、白名单等多种方式，也可以加入诱捕文件夹，还可以考虑当操作这个区域时，自动将扫描时机调到“中”甚至“高”，总之就是进行“特殊照顾”吧。。

基本要求是智能化、高效、弹窗少。。

顺带提个大胆而天真的想法，加密程序包含几个要素，其中一个是“加密算法”，特殊的加密算法保密性极高，难于轻易得到，那大部分勒索病毒会不会采用的只是流行算法呢？毕竟对勒索作者来说，值钱的是密钥而不是算法。。

因此，火绒能否收集这些流行算法的特征码，将其入库，当有加密程序运行时，便可以进行拦截？哈哈，官人和绒友们都别笑我，成功往往都是属于有想法的人哈，当然，我这个完全可能只是种妄想和幻想。。

作者: w-tekeze 时间: 2017-10-3 11:57
本帖最后由 w-tekeze 于 2017-10-3 12:12 编辑

回帖有奖哈，小伙伴们快来啊。。

祝绒友们中秋快乐、合家团圆！

艾特下 @Nobuchika @声嘶力竭 @绿坝-花季护航 @肆随飗林 @大自然的园丁 @UMA @系统防护还有好妹子@Kerin

作者: 绿坝-花季护航 时间: 2017-10-3 12:15
支持一个

作者: 绿坝-花季护航 时间: 2017-10-3 12:16
每人限 5 次??

作者: w-tekeze 时间: 2017-10-3 12:20

绿坝-花季护航发表于 2017-10-3 12:16
每人限 5 次??

你多说几句话行不行？一字千金啊。。

作者: 绿坝-花季护航 时间: 2017-10-3 12:26

w-tekeze 发表于 2017-10-3 12:20
你多说几句话行不行？一字千金啊。。

楼主滴文章具有极高的艺术价值
我只能用词语来描述
行云流水
丹青妙笔
拍案叫绝
妙笔生花
笔扫千军
笔下生花
惜墨如金
点石成金
笔下生辉
一气呵成
字字珠玉
酣畅淋漓
淋漓尽致
栩栩如生
维妙维肖
惟妙惟肖
文笔极佳
才思敏捷
博学多才
才高八斗
学富五车
言简意赅
完美无缺
一针见血
远见卓识
义正词严
出口成章
出类拔萃
出神入化
气贯长虹
气势磅礴
气吞山河
排山倒海
惊涛骇浪
雷霆万钧
惊心动魄
横扫千军
惊天动地
见缝插针
文从字顺
十全十美
无懈可击
无与伦比
龙飞凤舞
文笔犀利
文风幽默
文章雅致
层次清晰
观念明确
欢风华丽
妙不可言
妙趣横生
短小精悍
寓意深刻
朴实无华
个性张扬
文笔流畅
辞藻华丽
人物丰满
形象鲜活
一语惊醒梦中人
语不惊人死不休

作者: w-tekeze 时间: 2017-10-3 12:29

绿坝-花季护航发表于 2017-10-3 12:26
楼主滴文章具有极高的艺术价值
我只能用词语来描述
行云流水

哦，给你跪了，你自己玩吧。。

作者: 绿坝-花季护航 时间: 2017-10-3 12:30

w-tekeze 发表于 2017-10-3 12:29
哦，给你跪了，你自己玩吧。。

你想要不受审-1查的网络吗

作者: w-tekeze 时间: 2017-10-3 12:35

绿坝-花季护航发表于 2017-10-3 12:30
你想要不受审-1查的网络吗

啥意思，先吃饭再说。。

作者: 肆随飗林 时间: 2017-10-3 12:41
手机先顶一下

作者: 声嘶力竭 时间: 2017-10-3 13:18
........................................................................................................................................................................................................................................................................................................................................................................

作者: 绿坝-花季护航 时间: 2017-10-3 13:58

w-tekeze 发表于 2017-10-3 12:35
啥意思，先吃饭再说。。

就是可以浏览任何内容啊

作者: laopoyf 时间: 2017-10-3 15:32
支持一个

作者: 声嘶力竭 时间: 2017-10-3 15:56
本帖最后由声嘶力竭于 2017-10-3 16:02 编辑

w-tekeze 发表于 2017-10-3 12:35
啥意思，先吃饭再说。。

看你说的……不如试试用那个病毒在火绒（保护全关状态）看看规则在保护全盘时，不√创建会发生什么（像图片那样实验）……然后你就知道

作者: w-tekeze 时间: 2017-10-3 16:48

声嘶力竭发表于 2017-10-3 15:56
看你说的……不如试试用那个病毒在火绒（保护全关状态）看看规则在保护全盘时，不√创建会发生什么（像图 ...

修改文件名称后就产生了新文件，相当于“创建”。。。用那个病毒做测试肯定会被拦截，原因是它有加密/删除动作，触发了规则里的“写入”、“删除”。。。注意哈，我在那里说的是：病毒仅仅只是修改你的文件名称。。

作者: 声嘶力竭 时间: 2017-10-3 16:53
本帖最后由声嘶力竭于 2017-10-3 16:57 编辑

w-tekeze 发表于 2017-10-3 16:48
修改文件名称后就产生了新文件，相当于“创建”。。。用那个病毒做测试肯定会被拦截，原因是它有加密/删 ...

然后火绒为什么不加个修改阻止呢？？正常修改文件名也会拦截，但是提示是删除（为什么不是修改呢？）

竟然你都提示了·还拦不住·就只能说明程序代码有问题了！

PS：反正火绒现在不知道关注点在那·········实时保护和行为防护早就已经出现很明显的可以穿透的问题·还是没看见更新代码解决

作者: w-tekeze 时间: 2017-10-3 17:07

声嘶力竭发表于 2017-10-3 16:53
然后火绒为什么不加个修改阻止呢？？正常修改文件名也会拦截，但是提示是删除（为什么不是修改呢？）

...

唉，叫我怎么说你好呢，这是你理解错误！

当你修改文件名后，新名字那个是“创建”，老名字那个已经不存在了，这不就是“删除”吗？

作者: 麦片 时间: 2017-10-3 17:16
听说有金币？

作者: w-tekeze 时间: 2017-10-3 17:21
本帖最后由 w-tekeze 于 2017-10-3 17:22 编辑

声嘶力竭发表于 2017-10-3 16:53
然后火绒为什么不加个修改阻止呢？？正常修改文件名也会拦截，但是提示是删除（为什么不是修改呢？）

...

从你截图看，你是用explorer操作的，也就是系统自带的右键菜单操作的，如果火绒够智能，用户的这种正常操作是不应该弹窗的，应该是第三方程序操作时才阻止，虽然第三方程序也是调用explorer来实现，但就需要火绒来进行区分和判断了，这就是智能的体现。。。不过这是用户自己添加的自定义规则，而非内置规则，所以要求也不能高。。。

作者: 声嘶力竭 时间: 2017-10-3 18:09

w-tekeze 发表于 2017-10-3 17:21
从你截图看，你是用explorer操作的，也就是系统自带的右键菜单操作的，如果火绒够智能，用户的这种正常操 ...

你既然前面一步就有提示和弹窗（阻止掉了）！！！却还能被修改

（用系统自己的explorer却无法更改

）你是上帝派来搞笑的么？？？？

火绒为什么会被穿透？？？因为他阻止的是病毒本体，应该和火绒这种特殊的特征码有关系，要更新后才能拦截正确

拦住的东西都是错的（要拦截的不拦截）（火绒保护全开状态还是有几率穿透，没全开默认设置就是个废物）不穿透才怪了！

为什么用卡巴斯基和火绒一起用？？因为我早就发现个有趣的事情

不说了！！！说了就火大！！！

火绒现在关注的重点在那？？？？？？？？？？（一直在修修补补解决BUG，没一次完整的大修大补！！！）
一句话···赶紧集中精力大修一次，完善程序代码·····（现在的火绒完全就是心有力而使不出，搞什么鬼啊

）

团队是小·但是小而精！

不是粗枝大叶·瞎搞乱搞！

作者: w-tekeze 时间: 2017-10-3 18:57

声嘶力竭发表于 2017-10-3 18:09
你既然前面一步就有提示和弹窗（阻止掉了）！！！却还能被修改（用系统自己的explorer ...

看你急吼吼的，又出啥事了。。

火绒的危险弹窗有两种，一种是橙色的上面只有“阻止”选项 (触犯系统加固、自定义规则时)，另一种是红色的报毒窗口，上面有“结束进程”选项。当火绒报毒点击“结束进程”后，整个进程树就会被结束 (病毒程序是发起进程，即：父进程，而被调用的是子进程)。但橙色窗口的“阻止”难道只是阻止发起进程？而子进程还在私底下偷偷运行？

否则不会出现你说的“被穿”的情况。。。唉，等官人来问问吧。。。又到吃饭时间了。。

作者: 声嘶力竭 时间: 2017-10-3 19:35

w-tekeze 发表于 2017-10-3 18:57
看你急吼吼的，又出啥事了。。火绒的危险弹窗有两种，一种是橙色的上面只有“阻止”选项 ( ...

2个都有结束进程··········问题在于引擎？代码？问火绒自己把！解铃还需系铃人！

火绒现在 1 ：资源调用乱七八糟！！ 2：防御模块也是乱七八糟！ 3：弹窗不够细化！······················

·反正不想说了·今天心情不好ING（国庆打开火绒的实时保护瞬间让我想卸载他）

作者: w-tekeze 时间: 2017-10-3 20:38
本帖最后由 w-tekeze 于 2017-10-3 20:40 编辑

没点就回复了，编辑掉。。。

作者: w-tekeze 时间: 2017-10-3 20:40

声嘶力竭发表于 2017-10-3 19:35
2个都有结束进程··········问题在于引擎？代码？问火绒自己把！解铃还需系铃人！

火绒现在 1 ...

CPU占用高？稍等下呢？橙色弹窗只有阻止无法结束进程的，这个阻止是HIPS的“单步阻止”，而不是多步阻止，那样就成主防了，但这个单步阻止也应该是整个进程树都处于等待，或者说处于一种“冻结”状态，子进程是不应该还在运行的。。。你说的其它情况我没有发现，一方面我用火绒时间不长，另外我用的Win7，也碰不到Win10上的那些事，以前你让火绒和卡巴共存，现在是和小A共存，唉，还是静下心来，单奔火绒就行了，要不就把火绒卸了，隔段时间再说。。。

作者: 你好，再见 时间: 2017-10-3 20:44
领金币

作者: 声嘶力竭 时间: 2017-10-3 21:05
本帖最后由声嘶力竭于 2017-10-3 21:26 编辑

w-tekeze 发表于 2017-10-3 20:40
CPU占用高？稍等下呢？橙色弹窗只有阻止无法结束进程的，这个阻止是HIPS的“单步阻止”，而不是多步阻 ...

极端实验！火绒的占用！你喜欢不！单奔？双奔？火绒就是个废物！完全不能开实时保护一开CPU直接爆炸！！！

PS：就火绒1个！！！！

https://bbs.huorong.cn/forum.php?mod=viewthread&tid=40884&pid=177458&page=1&extra=#pid177458 链接自己看·已对火绒失望·········撤退了·反正肯定有人曲解·习惯就好

作者: w-tekeze 时间: 2017-10-3 21:28

声嘶力竭发表于 2017-10-3 21:05
极端实验！火绒的占用！你喜欢不！单奔？双奔？火绒就是个废物！完全不能开实时保护一开CPU直接爆炸！！！ ...

看过了，小A已经关了，火绒扫描时机也是默认的。。。那我就想不通了，火绒用户里Win10系统的也很多啊。。

我觉得只能在你系统上找原因了，要不让官人帮你远程看下？

作者: 声嘶力竭 时间: 2017-10-3 21:32
本帖最后由声嘶力竭于 2017-10-3 21:34 编辑

w-tekeze 发表于 2017-10-3 21:28
看过了，小A已经关了，火绒扫描时机也是默认的。。。那我就想不通了，火绒用户里Win10系统的也很多啊。。 ...

不知道！极端情况下 ·同样90多的CPU占用！！小A很淡定波荡就3%左右····不知道为什么火绒波动那么大，感觉是引擎的问题还是，等国庆后看看官方怎么解释把（反正让他们慢慢黑·喷洗·把）我很淡定

关掉实时保护了·还是能继续用的，没个系统都有他特定的脾气和习惯（每个人的电脑都不一样，不清楚是什么原因导致）

作者: w-tekeze 时间: 2017-10-3 22:22

声嘶力竭发表于 2017-10-3 21:32
不知道！极端情况下 ·同样90多的CPU占用！！小A很淡定波荡就3%左右····不知道为什么火绒波 ...

我已经在你帖子里回复了。。。检查硬件驱动，把怀疑对象降到较低的稳定版，逐一排除。。

作者: 声嘶力竭 时间: 2017-10-3 23:54

w-tekeze 发表于 2017-10-3 22:22
我已经在你帖子里回复了。。。检查硬件驱动，把怀疑对象降到较低的稳定版，逐一排除。。 ...

1：单独的文档保护可行！但是问题是会不会和火绒内置的规则冲突？还有程序代码的是否可靠（万一出漏洞BUG把文件锁定住恢复不了怎么办）

2：诱饵防漏····额，火绒一直已大多数勒索是C盘开始·导致其他地方漏了

（网不够大，但是太大了，会不会出现其他问题呢？未知）

3：目前火绒的界面易用性操作方便方面不行····有点乱·这个工具放进去·好像要重新排版了

4：文档保护设置方面会够是要详细还是简单明了

？

5：火绒现在到底是完善行为·防御方面的缺陷还是另辟蹊径呢

？

6:一言不合

！！！！其他的么欢迎高人继续补充！！

继续发呆·······

作者: UMA 时间: 2017-10-6 17:43
『文档保护』（全盘锁死，如avast）以前向官方提过，更早之前也有人提议过回滚（如卡巴斯基），360页推出了“文档卫士”，不过官方对此似乎并不热衷。

『勒索病毒诱捕』功能出现太迟了，比瑞星的“瑞星之剑”甚至爱好者的自定义规则都迟，而且只有2个诱饵文件，效果略差。

破解算法不太可能，除非算法存在缺陷...（骇客自己处理过的算法可能出现此类情况）。不如“数据恢复”工具，中招后可以挽回点损失。

作者: CyberCapture 时间: 2017-10-6 19:18
提升主防能力才是解决这种问题的根本手段啊~

作者: lei_feng 时间: 2017-10-6 19:30
我以前跟Hay提过，包括回滚也提过，没什么用，他们的策略是通过行为沙盒能够解决

作者: w-tekeze 时间: 2017-10-6 22:02

UMA 发表于 2017-10-6 17:43
『文档保护』（全盘锁死，如avast）以前向官方提过，更早之前也有人提议过回滚（如卡巴斯基），360页推出了 ...

看过我在主帖里给的那个链接吗？这个帖子算是有感而发，今后所谓的“智能勒索”可能会越来越多，因为动作很小，仅仅靠行为分析可能很难，所以希望官方出面，来个统筹考虑，尽量智能化，减低入门门槛，比如办公室的文秘人员也能轻松使用。。。从那个帖里看出，如果每个分区都设置诱捕文件夹，就可以很好防范。。。回滚就算了，对电脑性能影响大，开发难度也大，在那个帖里我也谈到，包括沙箱、降权运行等。。。加密算法入库，堵死加密程序的运行，我在开始就说了，只是种思路而已，相信不现实，否则其它杀软厂商可能早研发成功了。。。

作者: w-tekeze 时间: 2017-10-6 22:07
本帖最后由 w-tekeze 于 2017-10-6 22:08 编辑

CyberCapture 发表于 2017-10-6 19:18
提升主防能力才是解决这种问题的根本手段啊~

可以先看下我在主帖给的链接，按照那个勒索的行径，主防可能很难凑效，因为动作很小，难于分析啊。。

作者: w-tekeze 时间: 2017-10-6 22:17

lei_feng 发表于 2017-10-6 19:30
我以前跟Hay提过，包括回滚也提过，没什么用，他们的策略是通过行为沙盒能够解决 ...

可以先看下我在主帖给的链接，按照那个勒索的行径，主防可能很难凑效，因为动作很小，难于分析啊。。

回滚、沙箱等开发难度大，另外，回滚对电脑性能影响大，而沙箱对使用者要求高。。。所以我的想法是，在现有基础上，由官方统筹考虑，提供这个文档保护功能，相信开发难度要远低于开发回滚或沙箱这类功能。

作者: UMA 时间: 2017-10-6 22:42

w-tekeze 发表于 2017-10-6 22:02
看过我在主帖里给的那个链接吗？这个帖子算是有感而发，今后所谓的“智能勒索”可能会越来越多，因为动 ...

诱捕文件国外早就有小厂商开始使用了，只能算玩具而已，大厂就没拿这当主力的。

沙箱这种东西除非全程入沙，avast那种15秒入沙检测毫无意义。至于降权，你见过勒索病毒要管理员权限的吗？

作者: UMA 时间: 2017-10-6 22:53

w-tekeze 发表于 2017-10-6 22:17
可以先看下我在主帖给的链接，按照那个勒索的行径，主防可能很难凑效，因为动作很小，难于分析啊。。{:5_ ...

重点不在于有没有“力”，而在于有没有“心”。我相信『文档保护』功能对火绒团队而言并不难（废话，就是易用性难说），但未曾见官方有此意愿。

作者: w-tekeze 时间: 2017-10-7 12:11
本帖最后由 w-tekeze 于 2017-10-7 12:21 编辑

UMA 发表于 2017-10-6 22:42
诱捕文件国外早就有小厂商开始使用了，只能算玩具而已，大厂就没拿这当主力的。

沙箱这种东西 ...

默认设置是不显示隐藏文件夹的，但进入中级电脑用户吧，往往喜欢开启显示，所以诱捕文件夹看着会碍眼，否则每个分区都设置诱捕文件夹，还是很管用的。。

至于沙箱、降权运行，我只是说在那个帖里有些讨论而已。稍有认识的人，都清楚勒索病毒根本不需要什么高权限，所以火绒的系统加固选项全开，在那个勒索面前也没多大用，仅仅只是系统没瘫痪而已，文档、软件等全部报废。。

作者: w-tekeze 时间: 2017-10-7 12:18

UMA 发表于 2017-10-6 22:53
重点不在于有没有“力”，而在于有没有“心”。我相信『文档保护』功能对火绒团队而言并不难（废话，就是 ...

同意。。。这个比开发沙箱、回滚等应该要容易得多，关键看官方愿不愿意做。你说的易用性也是智能化的一个方面，这点可以逐步改进完善。。

总之我就是发个建议帖吧，最终肯定是由官方统筹考虑。。。

作者: lei_feng 时间: 2017-10-7 13:14
本帖最后由 lei_feng 于 2017-10-7 13:16 编辑

w-tekeze 发表于 2017-10-6 22:17
可以先看下我在主帖给的链接，按照那个勒索的行径，主防可能很难凑效，因为动作很小，难于分析啊。。{:5_ ...

我说过了，以前提过，文档保护、沙箱、回滚都提过，全部都说了，就两字：没用，目前火绒不会去搞这块，目前的策略就是通过引擎来扫，是否明白？

作者: w-tekeze 时间: 2017-10-7 14:23

lei_feng 发表于 2017-10-7 13:14
我说过了，以前提过，文档保护、沙箱、回滚都提过，全部都说了，就两字：没用，目前火绒不会去搞这块，目 ...

之前就明白你的意思。。。这个“文档保护”功能，说难不难，但也不能说简单，最起码智能化就难了，可能是个长期改进完善的过程。。。发贴时我也没想过官方短期内就能有行动，只是做了那个勒索测试后有感发个帖子而已。。。火绒资源有限，现在又忙着企业版的事，还有和Win10间的事，所以，5.0版能加入这个功能就不错了。。。

作者: UMA 时间: 2017-10-7 14:39

w-tekeze 发表于 2017-10-7 14:23
之前就明白你的意思。。。这个“文档保护”功能，说难不难，但也不能说简单，最起码智能化就难了，可能是 ...

只要白名单足以覆盖常见的压缩、加密、清理类软件即可，“智能化”就是白名单。

火绒目前的态度从官人的回复就可以揣摩一二了。

作者: w-tekeze 时间: 2017-10-7 16:15

UMA 发表于 2017-10-7 14:39
只要白名单足以覆盖常见的压缩、加密、清理类软件即可，“智能化”就是白名单。

火绒 ...

我在主帖里也提过白名单的事，问题是如何实现你所说的“足以覆盖”？能操作文档、图片/相片、音频、视频的正规软件成百上千，这个白名单要如何建立呢？仅仅根据数字签名就放行？那白名单漏洞、白加黑病毒怎么办？如果用正版软件的MD5值建立个白名单数据库，那这个工作量就太大了，并且每种软件都不停在更新，每天也可能有新软件问世。。。后面那个就不谈了，愿不愿做是官方的事，人家又不是我们来给发工资。。。

作者: UMA 时间: 2017-10-7 16:46

w-tekeze 发表于 2017-10-7 16:15
我在主帖里也提过白名单的事，问题是如何实现你所说的“足以覆盖”？能操作文档、图片/相片、音频、视频 ...

这有啥大工作量...任何一款主流安全软件都有相当庞大的白名单库做支撑。

卡饭论坛16年时有个自制勒索测试，防御成功的就是靠锁死+白名单：http://bbs.kafan.cn/thread-2069598-1-1.html

作者: w-tekeze 时间: 2017-10-7 17:19

UMA 发表于 2017-10-7 16:46
这有啥大工作量...任何一款主流安全软件都有相当庞大的白名单库做支撑。

卡饭论坛16年时有个自制勒索测试 ...

如果有这种现成的白名单数据库，火绒到是可以多收集点归纳整理下，然后为我所用，但以后的新白名单入库恐怕还主要得自己做，一方面别人放出来的，可能时效性太差，另外老是“借用”别人的也太那个了。。

唉，能通过主防的行为分析就能解决一切，这个当然很理想，但问题是道高一尺魔高一丈啊。。

你给那个链接我晚上看一下，希望能找到几个刺激的样本来玩玩。。

作者: 声嘶力竭 时间: 2017-10-7 17:21
本帖最后由声嘶力竭于 2017-10-7 17:27 编辑

w-tekeze 发表于 2017-10-7 17:19
如果有这种现成的白名单数据库，火绒到是可以多收集点归纳整理下，然后为我所用，但以后的新白名单入库恐 ...

简单点！火绒现在走的路和ESET一样紧凑但是综合性水平实在

这种引擎本身就这样（要打磨很久）！！！
诱饵防御官方态度已经让人··········鸡勒功能，只是安慰作用

火绒白名单····太小（估计还在增加）我这误报就很感人······老是打扰我看电视

增加这个功能是很好·但是会不会和规则撞车呢（手痒的人）

火绒的行为防御和实时保护····我只能用太脆了来形容（怕驱动级）

作者: w-tekeze 时间: 2017-10-7 17:41

声嘶力竭发表于 2017-10-7 17:21
简单点！火绒现在走的路和ESET一样紧凑但是综合性水平实在这种引擎本身就这样（要打磨 ...

哈哈，你又跑来了。。

这个帖子是谈文档保护、勒索防御的，其它的暂时别谈吧，其它地方再讨论。。。那个帖里我就说了，如果多设置些诱捕文件夹，防御那个勒索还是有效的，问题是显示隐藏文件夹后会很碍眼。。

稍安勿躁，你那里有什么问题具体列一下，静待节后官人帮你远程吧。。

作者: 声嘶力竭 时间: 2017-10-7 17:49
本帖最后由声嘶力竭于 2017-10-7 17:50 编辑

w-tekeze 发表于 2017-10-7 17:41
哈哈，你又跑来了。。这个帖子是谈文档保护、勒索防御的，其它的暂时别谈吧，其它地方再讨 ...

火绒自己内置的诱饵不会在增加····上次看其他帖子·就已经知道火绒的态度是什么了·······

矛与盾的故事(诱饵隐藏显示是有点，也没辙)

我是怕火绒自己做的太紧凑·在加这个功能会不会出其他未知问题？？？？

文档保护这功能是很不错······

（看官方态度）

火绒的行为防御对勒索防御目前看行为规则没打磨好····谁让你弄这么小·弄起来好麻烦

后期智能勒索要是也出破坏抵抗起义级别的怎么办？

貌似你跑题了！

作者: w-tekeze 时间: 2017-10-7 21:22
本帖最后由 w-tekeze 于 2017-10-7 21:26 编辑

声嘶力竭发表于 2017-10-7 17:49
火绒自己内置的诱饵不会在增加····上次看其他帖子·就已经知道火绒的态度是什么了······· {:5_ ...

1. 诱捕文件夹的事干脆我再发个帖子吧，至于愿不愿做那是官方的事。 2. 某些功能的增加肯定会带来新问题，所以我选用软件也不喜欢去用那些最新版、抢鲜版，包括短期内我也不会装Win10，我可不会去替别人做免费的小白鼠。 3. 文档保护功能的事也别管了，总之这是由官方来决定的事。 4. 说真的 (以前的帖子里我就说过)，我只对钓鱼/盗号这类有顾虑，而这个勒索我从来就没放在心上过，很简单，我有影子、沙盘，还有Ghost、U启动，至于文档方面，“备份三原则” 是我多年的习惯。。。所以，除了钓鱼/盗号这类，还有那个搞流量劫持的中间人攻击，不仅仅只是勒索，啥病毒我都不怕。。。不说了，做不做让官方考虑去吧。。。

作者: 大自然的园丁 时间: 2017-10-8 08:38
受楼主之邀来看看，不过好像来晚了……

不过楼主的想法，我好像有点摸不到头脑呀

作者: qaz123 时间: 2017-10-8 14:43

作者: qaz123 时间: 2017-10-8 14:45
围观大神

作者: w-tekeze 时间: 2017-10-8 16:02
本帖最后由 w-tekeze 于 2017-10-8 16:06 编辑

大自然的园丁发表于 2017-10-8 08:38
受楼主之邀来看看，不过好像来晚了……

不过楼主的想法，我好像有点摸不到头脑呀 ...

我主帖里不是给得有链接吗？看完前10楼就行了。。。算得上半智能勒索，另辟蹊径，破坏力极大，连exe、dll、dat等文件都不放过，全部通吃！

火绒离开了样本入库，败得很惨，其它杀软如果仅仅只靠主防，相信结局也差不多。。

作者: MR.stone 时间: 2017-10-9 11:57
您好，感谢您的建议，关于“文档保护”功能的建议已收录，后期产品研发时会综合考量。

【JY0111】

作者: w-tekeze 时间: 2017-10-9 13:13

MR.stone 发表于 2017-10-9 11:57
您好，感谢您的建议，关于“文档保护”功能的建议已收录，后期产品研发时会综合考量。

好的，谢谢官人回复。。

作者: shoen2000 时间: 2017-10-9 22:07
火绒辅助功能比较少，加入文档保护的话更适合办公族用啦

作者: 流星丶 时间: 2017-10-10 12:06
我是来蹭的没错

作者: 流星丶 时间: 2017-10-10 12:08

...........

作者: w-tekeze 时间: 2017-10-10 12:33

流星丶发表于 2017-10-10 12:08
...........

这里还有机会哦，虽然少点。。

https://bbs.huorong.cn/forum.php?mod=viewthread&tid=40952&extra=page%3D1&mobile=no

作者: 流星丶 时间: 2017-10-10 16:06
Exmmmmmmmmmmmm

作者: 流星丶 时间: 2017-10-10 16:07
emmmmmmmmmmmmmm

作者: 流星丶 时间: 2017-10-10 16:08
Excuse me

作者: Kerin 时间: 2017-10-10 16:35
我这十来天都忙得不行，吃饭都没时间，天天前胸贴后背

好了回到正题。我记得数字有个文档保护卫士，不过也没测试过效果如何。
看了一些帖子发现火绒还是通过写规则来达到阻止加密病毒的执行。（这的确是火绒优点的体现，但不一定任何时候都是）

对此，如果结合我曾经一个“玩笑程序上报”的帖子，就产生了一些问题：
1).玩笑程序是主函数main通过调用自定义函数执行功能的，在火绒入库后，如果代码完全一致，火绒可以拦截。如果将system("start");放到主函数里，编译打开程序后，火绒仍然无法拦截。
2).由第一点我猜想可能对于不同种类的程序，基因的摘取都会不同，毕竟trojan和joke在定义上确实是大相径庭。
3).因此，如果我陈述的第二点是错误的，那么火绒在默认规则、已知病毒的情况下，能否有效拦截代码有变更、甚至行为上略有改变的病毒？这次我可以绕开系统关键文件及文件夹让你哑火，下次我可以xxxxxxxxxxxxxxxxxx让你神不知鬼不觉。

就算更新了行为防护规则，也不能只跟在某次的病毒后面走。强悍的主防还需慢慢打磨。。

作者: 流星丶 时间: 2017-10-10 16:53
水完贴开溜

作者: Kerin 时间: 2017-10-10 16:55
哼我才不水！

作者: w-tekeze 时间: 2017-10-10 16:55

流星丶发表于 2017-10-10 16:53
水完贴开溜

不送哈，别忘了还有个帖子哦。。

作者: 流星丶 时间: 2017-10-10 16:56

w-tekeze 发表于 2017-10-10 16:55
不送哈，别忘了还有个帖子哦。。

早水完了

作者: Kerin 时间: 2017-10-10 16:59

Kerin 发表于 2017-10-10 16:55
哼我才不水！

我可是有圆则的银！

作者: w-tekeze 时间: 2017-10-10 17:00

流星丶发表于 2017-10-10 16:56
早水完了

什么？还没发现呢，已成仙人啊。。

作者: 流星丶 时间: 2017-10-10 17:01

w-tekeze 发表于 2017-10-10 17:00
什么？还没发现呢，已成仙人啊。。

不存在的我还年轻没那么老

作者: 流星丶 时间: 2017-10-10 17:02

Kerin 发表于 2017-10-10 16:59
我可是有圆则的银！

恕我直言你这不就是在水吗

作者: w-tekeze 时间: 2017-10-10 17:12
本帖最后由 w-tekeze 于 2017-10-10 17:14 编辑

Kerin 发表于 2017-10-10 16:55
哼我才不水！

这里有个帖子，如果有空可以去看下，动作很小，主防没法分析，系统加固也拦不了，火绒诱饵被绕过。。

162K的小程序，简单又凶残，破坏力惊人。。

你不是学软件吗，下一个分析下呗。。

忘放链接了，补上： https://bbs.huorong.cn/thread-40847-1-1.html

作者: w-tekeze 时间: 2017-10-11 13:06

Kerin 发表于 2017-10-10 16:35
我这十来天都忙得不行，吃饭都没时间，天天前胸贴后背

好了回到正题。我记得数字有个文档保护卫 ...

1. 搞毕业论文吧？黎明前的黑暗，再坚持下。。

2. 自定义规则(HIPS)是火绒的一大优势，用好了威力无穷，只是对用户要求高，易用性也不好，所以才发这个帖子，算是从普通用户，比如办公一族角度来考虑的。。

3. 我是学硬件的，软件方面基本就是个门外汉，没法和你讨论。。

把那个玩笑的行为传给官方思考下就行。 4. “防毒”是被“制毒”牵着鼻子走，主防有一定效果，但没有万能的主防，无解，只能是不停的提高完善吧。。

作者: 系统防护 时间: 2017-10-21 19:19
鸡肋啊不如开发密盘，怕什么勒索啊，你学@肆随飗林学坏了不理你了

作者: w-tekeze 时间: 2017-10-21 21:09

系统防护发表于 2017-10-21 19:19
鸡肋啊不如开发密盘，怕什么勒索啊，你学@肆随飗林学坏了不理你了

你就等着吧，我已经网上看到些消息了，有些新型勒索就是专门对密盘加密，因为密盘里的资料更重要，可以多要几个比特币，呵呵，请问你的比特币准备好了吗？门罗币也行的。。

作者: lgm342380709 时间: 2017-10-26 00:47
支持一个

作者: lgm342380709 时间: 2017-10-26 23:36
其实我想问一下，用户名能不能改？

作者: lgm342380709 时间: 2017-10-26 23:38
其实我想问一下，用户名能不能改？

作者: w-tekeze 时间: 2017-10-27 10:45
本帖最后由 w-tekeze 于 2017-10-27 11:13 编辑

lgm342380709 发表于 2017-10-26 23:38
其实我想问一下，用户名能不能改？

这个我没试过，不清楚，也许事先得和官人联系下，应该没问题吧？

@HuoRong丶小宇
小宇官人，楼上朋友问用户名能不能改？另外，我设置的回帖奖励每人可以领5次，现在怎么只能领一次呢？之前就出现过了，难道是bug？

作者: lzq3061841 时间: 2017-10-27 12:00
同样支持啊，感觉最近病毒爆发的还是挺频繁的

作者: 阳哥021 时间: 2017-10-29 09:40
6666666666666666~

作者: 癫子有歌 时间: 2017-10-29 13:47
支持一下

作者: 淞璟 时间: 2017-10-29 17:48
我的文档全部在百度文库里！

作者: w-tekeze 时间: 2017-10-29 18:29

淞璟发表于 2017-10-29 17:48
我的文档全部在百度文库里！

也是个好办法，支持！但用移动硬盘还是得有个备份，万一哪天百度抽风呢？

作者: 淞璟 时间: 2017-10-29 18:48

w-tekeze 发表于 2017-10-29 18:29
也是个好办法，支持！但用移动硬盘还是得有个备份，万一哪天百度抽风呢？ ...

百度抽疯了，大不了我重新打。

作者: 化外愚民 时间: 2017-10-29 21:01
本帖最后由化外愚民于 2017-10-29 21:04 编辑

　　很简单，把你的文件放进影子内啦（非排除目录）……影子确实很好用的，但用火绒时有些麻烦。
　　另外，放在网盘中也是行的啊，申请个百度或是微云等的帐号，又不花钱。

作者: w-tekeze 时间: 2017-10-29 21:30

化外愚民发表于 2017-10-29 21:01
　　很简单，把你的文件放进影子内啦（非排除目录）……影子确实很好用的，但用火绒时有些麻烦。
　　另外 ...

同是影子爱好者，顶顶你！但你说用火绒有些麻烦，是什么原因呢？

XP系统下确实只能手动更新火绒。。

作者: 化外愚民 时间: 2017-10-29 22:08

w-tekeze 发表于 2017-10-29 21:30
同是影子爱好者，顶顶你！但你说用火绒有些麻烦，是什么原因呢？ XP系统下确 ...

　　就是指火绒的用户数据目录和安装目录不一致，到时还得挨个排除。

作者: w-tekeze 时间: 2017-10-29 22:20

化外愚民发表于 2017-10-29 22:08
　　就是指火绒的用户数据目录和安装目录不一致，到时还得挨个排除。

这个只需要在SD里设置一次就行了，也谈不上麻烦吧？

作者: 化外愚民 时间: 2017-10-31 11:22
本帖最后由化外愚民于 2017-10-31 11:25 编辑

w-tekeze 发表于 2017-10-29 22:20
这个只需要在SD里设置一次就行了，也谈不上麻烦吧？

　　是的。可能是以前用风云用惯了（它是用户数据目录直就接在安装目录的）。另外，风云网页上有个“a盾”也挺好用的，它有个选项，是规则里没有的，一律按阻拦，挺实用。

作者: yonxi3 时间: 2017-11-5 18:24
这个有金币奖励啊！

作者: yonxi3 时间: 2017-11-5 18:25
对了，楼主可以不用理我，我是来拿金币的。

作者: yonxi3 时间: 2017-11-5 18:27
还差三次。

作者: yonxi3 时间: 2017-11-5 18:28
差两次。

作者: yonxi3 时间: 2017-11-5 18:29
最后一次。

作者: a364506926 时间: 2017-11-15 17:07
诱饵已经被破解了

作者: 青菜豆腐烫 时间: 2018-1-10 08:57

我来晚了

作者: 青菜豆腐烫 时间: 2018-1-10 09:19

看完了,感觉你们说的好可怕.

作者: EggHunt 时间: 2018-2-19 16:40
加密算法那平时上网SSL/TLS就要用，你把人家禁用掉。。。真厉害你，没见过

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)