作者mayuyu ((・ω・)ノ)
看板AntiVirus
标题Re: [心得] Comodo10防勒索病毒沙箱设定范本
时间Sun Feb 5 18:01:04 2017
※ 引述《kclonline (JLg艹)》之铭言:
: 嗨:
: 之前有一串版友讨论勒索病毒提到cruelsister1有影片教学。
: 最近发现该作者有针对Comodo10推出新的影片,所以把笔记贴上来,方便大家。
: 原影片:http://youtu.be/FoIu3Z2ImO8
cruelsister1刚刚上传了一个新影片
https://www.youtube.com/watch?v=KSbRWmpSUwo
说明如果靠传统防毒很多时候不能防御第一时间的病毒攻击,
这时候CF10/CIS10的自动沙盘的价值就显现出来,
所以cruelsister1一直非常推荐CF/CIS。
注意CCAV的沙盘和CF10/CIS10不一样,CCAV的沙盘没有虚拟化功能,
同时也比较弱,例如这个影片的范例
https://www.youtube.com/watch?v=anh2O65R6mQ
直接写MBR的Petya可以过CCAV的沙盘,
而Comodo Firewall的沙盘却可以挡住
https://www.youtube.com/watch?v=kRqQFZrnZ3c
虽然後来Comodo有修正CCAV的这个问题,推出了新版
https://www.youtube.com/watch?v=WMADsyZ1gJg
不过目前CF10/CIS10的沙盘都还有bug没有修复,
是可以被恶意程式穿透的,官方说差不多二月中才会有修正版。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.56
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1486288869.A.FA4.html
※ 编辑: mayuyu (61.219.36.56), 02/05/2017 18:05:06
1F:推 fema: 推 有时候会好奇 cruelsister1 的勒索软体哪来的? 而且她也 02/05 18:26
2F:→ fema: 会改写勒索软体 02/05 18:26
3F:→ cys070: 那个穿过的样本,一堆防毒主房也跪 02/05 23:49
4F:→ cys070: 另外还在用comodo 8.4可以不用顾虑,因为也被穿 02/05 23:49
5F:→ cys070: 直接升级10版,comodo应该不会去维护8版 02/05 23:50
6F:→ cys070: comodo收到样本後,也先把特徵码入库,接着等月中新版 02/05 23:52
7F:→ Bellkna: 10版有比8版稳吗 8版的沙盒好像关不掉 只想要用防火墙 02/06 01:44
8F:推 kclonline: 推,不过我後来还是比较习惯HIPSxD 02/07 00:25
9F:→ cys070: 只用防火墙也可以升10,comcod白名单判别有点调整 02/08 09:14
10F:→ cys070: 8版的沙盒是关的掉,若你不行可能跟你用的其他软体或防毒 02/08 09:15
11F:→ cys070: 冲到也可能 02/08 09:15
12F:→ Bellkna: 後来开windows看发现auto-sandbox装完就预设没开启了 02/08 18:59
13F:→ Bellkna: hips和viruscope都关了 不知道为什麽conemu+git就是会lag 02/08 18:59
14F:→ Bellkna: 在5版上用完全正常 防毒一样是同版本的小红伞 02/08 19:00
15F:→ cys070: 小红伞现在跟comodo应该有点冲突,不像以前 02/08 19:45
16F:→ cys070: 建议不是CIS就是WD+comodo墙 02/08 19:45
17F:→ cys070: 这样问题最少 02/08 19:48
18F:→ Bellkna: 目前这样是堪用啦 虽然最顺还是5版 可是5版和很多64bit 02/08 19:49
19F:→ Bellkna: 程式相冲突(像是fx) 而且老实说很不喜欢包一堆用不到的 02/08 19:50
20F:→ cys070: 我是懒得搭配不是微软内建防毒就是CIS全套,反正自动沙盒 02/08 19:53
21F:→ cys070: 查杀率就不太重要,因为就算90几%,实际使用你也碰不上 02/08 19:53
22F:→ Bellkna: 10版大概等2月中的修正版出来再试试 不然又要测2次很累 02/08 19:53
23F:→ cys070: 那样多,剩下就交给自动沙盒和HIPS去防御 02/08 19:53
24F:→ cys070: 小红伞免费版说实在很鸟 02/08 19:54
25F:→ Bellkna: 小红伞算是用很久了比较信任 虽然它也感觉在走下坡了 02/08 19:55
26F:→ cys070: 现在又搞全家桶根本就拖速 02/08 19:55
27F:→ Bellkna: 免费版愈来愈肥真的不太想继续用 付费的不知道会不会好点 02/08 19:59
28F:→ Bellkna: 因为我沙盒和HIPS都会关 所以我是会另外装防毒 02/08 19:59
29F:→ Bellkna: 就只想要那个墙 偏偏它又包了一堆有的没的 02/08 20:00
30F:→ tsai82118: 可以请教大大bypass了comodo的那个样本吗? 02/10 20:23
31F:→ cys070: 那个样本不是病毒,有人写来测试各家防毒主防顺道测comodo 02/10 22:40
32F:→ cys070: 然後发现自动沙盒 bug,後来就有人提交给官方 02/10 22:41
33F:→ cys070: 有开HIPS可以拦下,所以建议目前先开 02/10 22:56
34F:→ cys070: 而且目前应该很多防毒也都入库,没什麽好测 02/10 23:17
35F:→ tsai82118: 那这样更让人好奇是哪位高人写的OA test 02/11 00:38
36F:推 cys070: 比起那样本,还是担心绑架勒索吧xd,最近对岸狂吹BD ATC 02/11 08:16
37F:→ cys070: 结果昨天看新变种Cerber就让BD跪xd 02/11 08:17
38F:→ mayuyu: 测主防的样本是利用一个流传很久的WINAPI缺陷 02/11 17:38
39F:→ mayuyu: 把C盘"删除" 造成所有程式都打不开 02/11 17:39
40F:→ mayuyu: 只要禁止沙盘里的程式调用这个函数 02/11 17:39
41F:→ mayuyu: 来映射已经存在的磁碟机代号就不会中招了 02/11 17:39
42F:→ mayuyu: SBIE因为预设就禁止了这项操作所以没事 02/11 17:39
43F:→ mayuyu: 但是WINAPI太多太复杂 总会有漏网之鱼的xD 02/11 17:39
44F:→ mayuyu: SBIE以前同样有破功过 02/11 17:40
45F:→ George017: 毕竟是变种,跪了也是合理? 02/12 22:27
46F:→ George017: 是说预设值得EMET对勒索的抗性究竟到什麽程度啊? 02/12 22:28
47F:推 cys070: 其实BD主防算强,这几天应该是被Cerber作者找到方法掠过 02/12 23:27
48F:→ cys070: 特徵码没入库,云端没拉嘿,ATC被过加密 02/12 23:28