火绒安全软件
标题:
火绒的文件防护规则可以被某类软件自由绕过,甚至不被发现
[打印本页]
作者:
吾爱火絨
时间:
2017-12-13 17:56
标题:
火绒的文件防护规则可以被某类软件自由绕过,甚至不被发现
本帖最后由 吾爱火絨 于 2017-12-13 18:07 编辑
如题 发现软件可以绕过火绒的保护规则 对文件进行"读取 更改 删除"等操作,而不被发现或拦截
这种方法
如果
用于勒索病毒,对计算机的危害是极大的
测试步骤如下:
系统win7 x64
火绒设置
中 危险动作拦截项全部打勾
自定义文件防护 随便添加一个磁盘根目录 设置所有程序禁止"创建读取
写入
删除执行" 保存并应用规则
此时该分区看起来无法访问,但可以绕过
打开软件 DiskGeniusV4.9.3 x64 火绒会提示是否允许读取某盘,选阻止并记住
软件打开后点开受保护的分区,发现照样可以读取 (该类软件会绕过系统的文件访问机制,目前火绒对此无能为力)
然后选浏览文件,可以对文件
或
目录成功进行删除,重命名 或者替换等操作,此时火绒不会有任何提示
最后为了确认磁盘文件或
目录
已更改,把火绒文件防护规则删除,发现的确如此
在此希望官方能够完善火绒的文件防护模式
参照诸如Shadow Defender的磁盘
过滤
驱动 (该软件即使遭遇
磁盘分区被卸载,
驱动文件被强制删除,甚至低格,仍能完好如初的保护文件)
或
参照
诸如360的主动拦截 (它可以拦截这类尝试直接访问硬盘的软件)
来深层地过滤磁盘
的
IO
控制
,而不是局限于系统的文件操作函数中下钩子
作者:
吾爱火絨
时间:
2017-12-13 18:02
所以有些用户反馈无法拦截某些勒索病毒,或者无法拦截局域网文件访问,那么问题可能就出在此了
作者:
CANDY77
时间:
2017-12-13 18:10
感谢楼主的反馈,已转交给相关人员测试~
作者:
stytkpe
时间:
2017-12-13 20:19
这种帖子要来顶一顶了,毕竟这种漏洞规则可不好发现。辛苦官方工作人员了,希望火绒的防御机制能更完美。
作者:
琥珀川
时间:
2017-12-14 16:40
顶顶帖子
作者:
游客20160902
时间:
2017-12-14 21:04
这非常严重啊!
作者:
CANDY77
时间:
2017-12-15 10:18
吾爱火絨 发表于 2017-12-13 18:02
所以有些用户反馈无法拦截某些勒索病毒,或者无法拦截局域网文件访问,那么问题可能就出在此了 ...
现在已知的勒索病毒样本均还未使用过此类方法进行磁盘读写,您提到的那些勒索病毒,通过优化拦截策略都是可以进行拦截的。 具体问题相关人员正在研究,感谢您的反馈~
作者:
w-tekeze
时间:
2017-12-17 17:06
1. 楼主发现这么严重的问题,必须支持! 希望火绒的攻城狮们好好研究下。。
2. SD影子卫士在Win平台正常运作时非常强悍,但如果是在PE甚至DOS下对磁盘进行操作,那同样会惨不忍睹。。
欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)
Powered by Discuz! X3.4
