|
本帖最后由 吾爱火絨 于 2017-12-13 18:07 编辑
如题 发现软件可以绕过火绒的保护规则 对文件进行"读取 更改 删除"等操作,而不被发现或拦截
这种方法如果用于勒索病毒,对计算机的危害是极大的
测试步骤如下:
系统win7 x64 火绒设置中 危险动作拦截项全部打勾
自定义文件防护 随便添加一个磁盘根目录 设置所有程序禁止"创建读取写入删除执行" 保存并应用规则
此时该分区看起来无法访问,但可以绕过
打开软件 DiskGeniusV4.9.3 x64 火绒会提示是否允许读取某盘,选阻止并记住
软件打开后点开受保护的分区,发现照样可以读取 (该类软件会绕过系统的文件访问机制,目前火绒对此无能为力)
然后选浏览文件,可以对文件或目录成功进行删除,重命名 或者替换等操作,此时火绒不会有任何提示
最后为了确认磁盘文件或目录已更改,把火绒文件防护规则删除,发现的确如此
在此希望官方能够完善火绒的文件防护模式 参照诸如Shadow Defender的磁盘过滤驱动 (该软件即使遭遇磁盘分区被卸载,驱动文件被强制删除,甚至低格,仍能完好如初的保护文件)
或参照诸如360的主动拦截 (它可以拦截这类尝试直接访问硬盘的软件)
来深层地过滤磁盘的IO控制,而不是局限于系统的文件操作函数中下钩子
|
|