关于勒索病毒和硬盘读写

Trompete

勒索病毒的原理是加密所有文件，那么杀毒软件是否能通过保持侦测硬盘上的异常操作在病毒开始改文件的初始阶段就发出警报呢？

这样不管以后出什么样的变种，只要发现异常就立刻阻止，就能把损失抑制到最小化了？

如果做不到那么是为什么呢？病毒能骗过杀毒软件，还是说无法找出一个通用的警报条件？

hxy8241

http://bbs.saraba1st.com/2b/thread-1503176-1-1.html
这种方式叫HIPS，现在的杀毒软件基本都带这个功能，就是有些能防住有些防不住而已。这个最大的问题就是分辨是病毒在加密还是用户在用truecrypt加密自己的文件。
每个用户自己的规则不一样，很难找到通用的规则，不过懂的人自己编HIPS规则，基本可以不用杀毒软件的，以前有一阵子还是很流行的。
估计是太复杂，最终也没流行起来，后来杀毒软件吸收了HIPS，不过大家基本都是用通用规则，很多问题还是没法防住。

Trompete

hxy8241 发表于 2017-5-21 23:39
http://bbs.saraba1st.com/2b/thread-1503176-1-1.html
这种方式叫HIPS，现在的杀毒软件基本都带这个功能， ...

果然是找出比较完美的规则比较困难吧？

那么是不是杀软先用比较严密的规则发现各种蛛丝马迹先跳出来问问用户是否有可疑

在风口浪尖时可能保一命？

真草稚京

Trompete 发表于 2017-5-21 23:54
果然是找出比较完美的规则比较困难吧？

那么是不是杀软先用比较严密的规则发现各种蛛丝马迹先跳出来问问 ...

可以啊

所有交互式动作都弹出窗口询问用户

然后过几天你就会把这个关了

noneoneone

HIPS的问题是用户群太窄了：
喜欢折腾的人总是安装或运行一些奇奇怪怪的东西，用HIPS会非常繁琐。
不喜欢折腾的人又没兴趣去调试HIPS的规则。
只有对安全性有近乎强迫症般需求的人才适合使用HIPS。
而对于普通人来说，在那玩意上花费的时间累计起来很可能比每隔一段时间备份数据加上中毒后格式化硬盘都多，显然是不划算的。

samsoncheng

Trompete 发表于 2017-5-21 23:54
果然是找出比较完美的规则比较困难吧？

那么是不是杀软先用比较严密的规则发现各种蛛丝马迹先跳出来问问 ...

这么一说，微软的用户帐户控制UAC也很类似啊

—— 来自 Sony D6503, Android 6.0.1上的 S1Next-鹅版

real_zyf

comodo那个沙盒机制就挺好啊，全部没签名的东西都在沙盒里面跑就行了，病毒跑起来也只会访问到一堆假影子

红左手

samsoncheng 发表于 2017-5-22 00:46
这么一说，微软的用户帐户控制UAC也很类似啊

—— 来自 Sony D6503, Android 6.0.1上的 S1Next- ...

Uac还行了，至少跳出来频率比关了自动执行推荐操作的卡巴低

mirari

hips有这么反人类吗？来源靠谱的程序直接设置可信就行了啊。不确定的程序谨慎一些多点几下不为过。