PTT數位生活區 / AntiVirus (防毒)

Re: [心得] Comodo10防勒索病毒沙箱設定範本

看板AntiVirus (防毒)作者 ((・ω・)ノ)時間9年前 (2017/02/05 18:01), 9年前編輯推噓4(4044)
留言48則, 7人參與, 最新討論串2/2 (看更多)
※ 引述《kclonline (JLg艹)》之銘言: : 嗨: : 之前有一串版友討論勒索病毒提到cruelsister1有影片教學。 : 最近發現該作者有針對Comodo10推出新的影片,所以把筆記貼上來,方便大家。 : 原影片:http://youtu.be/FoIu3Z2ImO8
cruelsister1剛剛上傳了一個新影片 https://www.youtube.com/watch?v=KSbRWmpSUwo
說明如果靠傳統防毒很多時候不能防禦第一時間的病毒攻擊, 這時候CF10/CIS10的自動沙盤的價值就顯現出來, 所以cruelsister1一直非常推薦CF/CIS。 注意CCAV的沙盤和CF10/CIS10不一樣,CCAV的沙盤沒有虛擬化功能, 同時也比較弱,例如這個影片的範例 https://www.youtube.com/watch?v=anh2O65R6mQ
直接寫MBR的Petya可以過CCAV的沙盤, 而Comodo Firewall的沙盤卻可以擋住 https://www.youtube.com/watch?v=kRqQFZrnZ3c
雖然後來Comodo有修正CCAV的這個問題,推出了新版 https://www.youtube.com/watch?v=WMADsyZ1gJg
不過目前CF10/CIS10的沙盤都還有bug沒有修復, 是可以被惡意程式穿透的,官方說差不多二月中才會有修正版。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.56 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1486288869.A.FA4.html ※ 編輯: mayuyu (61.219.36.56), 02/05/2017 18:05:06
02/05 18:26, , 1F
推 有時候會好奇 cruelsister1 的勒索軟體哪來的? 而且她也
02/05 18:26, 1F
02/05 18:26, , 2F
會改寫勒索軟體
02/05 18:26, 2F
02/05 23:49, , 3F
那個穿過的樣本,一堆防毒主房也跪
02/05 23:49, 3F
02/05 23:49, , 4F
另外還在用comodo 8.4可以不用顧慮,因為也被穿
02/05 23:49, 4F
02/05 23:50, , 5F
直接升級10版,comodo應該不會去維護8版
02/05 23:50, 5F
02/05 23:52, , 6F
comodo收到樣本後,也先把特徵碼入庫,接著等月中新版
02/05 23:52, 6F
02/06 01:44, , 7F
10版有比8版穩嗎 8版的沙盒好像關不掉 只想要用防火牆
02/06 01:44, 7F
02/07 00:25, , 8F
推,不過我後來還是比較習慣HIPSxD
02/07 00:25, 8F
02/08 09:14, , 9F
只用防火牆也可以升10,comcod白名單判別有點調整
02/08 09:14, 9F
02/08 09:15, , 10F
8版的沙盒是關的掉,若你不行可能跟你用的其他軟體或防毒
02/08 09:15, 10F
02/08 09:15, , 11F
衝到也可能
02/08 09:15, 11F
02/08 18:59, , 12F
後來開windows看發現auto-sandbox裝完就預設沒開啟了
02/08 18:59, 12F
02/08 18:59, , 13F
hips和viruscope都關了 不知道為什麼conemu+git就是會lag
02/08 18:59, 13F
02/08 19:00, , 14F
在5版上用完全正常 防毒一樣是同版本的小紅傘
02/08 19:00, 14F
02/08 19:45, , 15F
小紅傘現在跟comodo應該有點衝突,不像以前
02/08 19:45, 15F
02/08 19:45, , 16F
建議不是CIS就是WD+comodo牆
02/08 19:45, 16F
02/08 19:48, , 17F
這樣問題最少
02/08 19:48, 17F
02/08 19:49, , 18F
目前這樣是堪用啦 雖然最順還是5版 可是5版和很多64bit
02/08 19:49, 18F
02/08 19:50, , 19F
程式相衝突(像是fx) 而且老實說很不喜歡包一堆用不到的
02/08 19:50, 19F
02/08 19:53, , 20F
我是懶得搭配不是微軟內建防毒就是CIS全套,反正自動沙盒
02/08 19:53, 20F
02/08 19:53, , 21F
查殺率就不太重要,因為就算90幾%,實際使用你也碰不上
02/08 19:53, 21F
02/08 19:53, , 22F
10版大概等2月中的修正版出來再試試 不然又要測2次很累
02/08 19:53, 22F
02/08 19:53, , 23F
那樣多,剩下就交給自動沙盒和HIPS去防禦
02/08 19:53, 23F
02/08 19:54, , 24F
小紅傘免費版說實在很鳥
02/08 19:54, 24F
02/08 19:55, , 25F
小紅傘算是用很久了比較信任 雖然它也感覺在走下坡了
02/08 19:55, 25F
02/08 19:55, , 26F
現在又搞全家桶根本就拖速
02/08 19:55, 26F
02/08 19:59, , 27F
免費版愈來愈肥真的不太想繼續用 付費的不知道會不會好點
02/08 19:59, 27F
02/08 19:59, , 28F
因為我沙盒和HIPS都會關 所以我是會另外裝防毒
02/08 19:59, 28F
02/08 20:00, , 29F
就只想要那個牆 偏偏它又包了一堆有的沒的
02/08 20:00, 29F
02/10 20:23, , 30F
可以請教大大bypass了comodo的那個樣本嗎?
02/10 20:23, 30F
02/10 22:40, , 31F
那個樣本不是病毒,有人寫來測試各家防毒主防順道測comodo
02/10 22:40, 31F
02/10 22:41, , 32F
然後發現自動沙盒 bug,後來就有人提交給官方
02/10 22:41, 32F
02/10 22:56, , 33F
有開HIPS可以攔下,所以建議目前先開
02/10 22:56, 33F
02/10 23:17, , 34F
而且目前應該很多防毒也都入庫,沒什麼好測
02/10 23:17, 34F
02/11 00:38, , 35F
那這樣更讓人好奇是哪位高人寫的OA test
02/11 00:38, 35F
02/11 08:16, , 36F
比起那樣本,還是擔心綁架勒索吧xd,最近對岸狂吹BD ATC
02/11 08:16, 36F
02/11 08:17, , 37F
結果昨天看新變種Cerber就讓BD跪xd
02/11 08:17, 37F
02/11 17:38, , 38F
測主防的樣本是利用一個流傳很久的WINAPI缺陷
02/11 17:38, 38F
02/11 17:39, , 39F
把C盤"刪除" 造成所有程式都打不開
02/11 17:39, 39F
02/11 17:39, , 40F
只要禁止沙盤裡的程式調用這個函數
02/11 17:39, 40F
02/11 17:39, , 41F
來映射已經存在的磁碟機代號就不會中招了
02/11 17:39, 41F
02/11 17:39, , 42F
SBIE因為預設就禁止了這項操作所以沒事
02/11 17:39, 42F
02/11 17:39, , 43F
但是WINAPI太多太複雜 總會有漏網之魚的xD
02/11 17:39, 43F
02/11 17:40, , 44F
SBIE以前同樣有破功過
02/11 17:40, 44F
02/12 22:27, , 45F
畢竟是變種,跪了也是合理?
02/12 22:27, 45F
02/12 22:28, , 46F
是說預設值得EMET對勒索的抗性究竟到什麼程度啊?
02/12 22:28, 46F
02/12 23:27, , 47F
其實BD主防算強,這幾天應該是被Cerber作者找到方法掠過
02/12 23:27, 47F
02/12 23:28, , 48F
特徵碼沒入庫,雲端沒拉嘿,ATC被過加密
02/12 23:28, 48F
更多 mayuyu 的文章
文章代碼(AID): #1OblVb-a (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 mayuyu 的文章
文章代碼(AID): #1OblVb-a (AntiVirus)