我记得之前有人用旧版本断网测试过,有几款能防住。
但是找不到帖子了
随便搜了一个
我离线测试过卡巴,貌似还是防不住。 CyanCloverFern 发表于 2020-4-28 14:36
勒索病毒第一波没有杀软防得住,防得住时微软已经推补丁了
补丁其实早就推了。看MS17-010公告,2017年3月就推了。
但是知道有漏洞,距离利用漏洞控制目标机器还有很大距离。很多时候都是知道怎么触发漏洞,但是想利用漏洞执行代码就很难。
然后4月份有伙自称shadow brokers的匿名人士泄露了美国国安局(NSA)下属“方程式”组织(equation group)开发的漏洞利用工具包fuzzbunch(这玩意很像是metasploit,应该是用来测试的),这个fuzzbunch里面有一堆漏洞利用工具,里面就有eternal blue这个工具(所以“永恒之蓝”其实不是漏洞的名字,而是漏洞利用工具的名字)。
用eternal blue可以稳定地利用漏洞、执行代码(偶尔会触发蓝屏,但是大多数时候都可以成功利用)。这个很关键,很多人把这次泄露的东西叫做0day,这个叫法虽然不对,但是也不能掩盖这次泄露带来的影响很大这一点。
虽然那个时候已经有补丁了,但是很多人都没打补丁。
然后才是5月12日的wannacry,它是把eternal blue利用漏洞的方式复刻了,因为漏洞利用不需要任何交互动作、可以静默地完成、可以一传十十传百,所以它在恶意软件分类上属于“蠕虫”。
(这里还有一个问题,就是UAC。有些杀软厂商,我记得是卡巴,当时说UAC可以阻挡病毒,实际上那是他们测试不仔细导致的,实际上wannacry通过网络传染时完全不会触发UAC。eternal blue利用的漏洞位于内核驱动中,所以从一开始就是最高权限,或者换句话说,跑在ring0里其实都可以重新定义权限了,毕竟什么用户啦权限啦都不是天上掉下来的,这些规则其实都是内核在负责检查和执行的) 暗铁 发表于 2020-4-28 18:35
我装火绒的原因是windows的防火墙太弱智,局域网共享设置不出来,就把系统防火墙关掉了 ...
防火墙和杀软是两码事,这个不用我多啰嗦吧。防火墙是管网络的,杀软是负责监控本机、杀病毒的。
我不知道你具体是咋设置的……其实windows防火墙的逻辑不难理解。
像是pppoe直接拨号这种,就是公共网络,你肯定不希望你的共享暴露在公共网络上吧,所以公共网络上共享是默认关闭的。但是你硬要开的话也不是不能开。
只有在家或者在办公室,内网环境,才需要用到共享。
具体设置应该在这里:
控制面板\网络和 Internet\网络和共享中心\高级共享设置
除此之外,就不知道你是不是新加了阻止445端口之类的规则。这个要加也是在windows防火墙的高级设置里加,如果真的有这种规则,应该可以看到。
然后问题就来了……这么搞一下有多大意义呢。就好像wannacry利用的SMB漏洞,这都不是第一次爆高危漏洞了。
但是你要用文件和打印机共享,肯定就不能把445端口封了啊,封了还怎么用。
所以说这样只能在pppoe拨号(还有chinanet那种运营商公共wifi热点有时候也是公网IP)这种情况下有用,除此之外,在内网中,你只能祈祷跟你同一个内网的人不要中招再传染你。
所以说,我这么跟你啰嗦了一大堆,其实也没有什么X用…… 跟现实里面的病毒一样,毒性大的都会马上被干掉,现在恶心人的都是各种刺探隐私收集大数据的垃圾。。。 CyanCloverFern 发表于 2020-4-28 15:21
行我错了,第一波有防得住的。
445漏洞不解决病毒可以一次又一次变种,两天后Wanna Cry就出2.0版 ...
我印象里wannacry好像并没有真正意义上的变种,一开始就是“2.0”。(维基百科上给了趋势科技的病毒数据库链接,但是点开后CTRL+F搜索1.0啥也搜不到)
有些变种可能就是安全行业的人在测试,把exe直接拿去稍微改了几个字节而已。
比如那个所谓的自杀开关,也就是通过访问不存在的网址来检测自己是不是在病毒分析沙箱里。很可能是有人就是想让沙箱能监控病毒的行为,而不是让病毒直接退出,所以就小小地魔改了一下,然后这就变成了一个新的“变种”。 本帖最后由 faked_uid 于 2020-4-28 21:06 编辑
杀软这个东西,我装了就权当是安慰剂,不指望他能起多大作用。(或者说,我没那个能力和精力去折腾调整主防规则,更何况很多时候主防是指望不上的,比如putty加后门那个事情,下载回来的putty自己就是病毒,不用感染系统文件也能偷走机密信息,这个时候主防真的能起作用么?也许可以有,因为IP地址和网址也可以拉黑,但是这说白了还是马后炮)
很多年前就有人写了BypassAVDynamics这篇文档,里面总结了各种绕开杀软的方式。我印象里很多时候就是利用了一些不太常用的系统功能而已。
还有DoubleAgent这个梗,是以色列的一家安全公司Cybellum爆出来的(或者说炒作的起点就是他们搞的),看上去貌似很厉害,可以直接劫持杀软、让杀软变成病毒,但是很快就被安全圈的人喷成狗,因为它其实既不是“0day”,也不是“未文档”,是很早以前就被人知道的东西。
https://www.kernelmode.info/forum/viewtopic57f0.html
所以说指望杀软防御未知病毒是不靠谱的,总有真正比较懂技术的人能找到办法绕开杀软的检测。
但是杀软对于已知病毒很显然还是有用的,就比如一些U盘病毒(尤其是劫持dll的那种,其实都不需要利用什么系统漏洞),病毒作者早就撒手不管了,但是在有些打印店、学校实验室之类没人管的地方还没绝迹呢,如果没有杀软,那很容易就在这种古董病毒上翻车了。
本帖最后由 faked_uid 于 2020-4-28 21:12 编辑
CyanCloverFern 发表于 2020-4-28 14:54
国产杀毒软件曾经有个特点是拦截微软的补丁
MS17-010发布时间是3月14日
5月12日wannacry病毒开始爆 ...
这个拦截也不是没有前因后果的,因为之前正好有爆发过一波6B蓝屏事件,是GHOST系统制作者用dism++强行精简旧版系统组件导致的。
打补丁替换的就是内核驱动,但是替换了内核驱动,在被强行清理过的系统上就可能搞出6B蓝屏(额,当时直接触发蓝屏的不是内核驱动……不过不要在意这些细节)……所以说这个事情还是可以洗一洗的。
不过我自己是不用电脑管家的,我一直都是跟着微软走。但是以前也碰到过各种bug,比如登录循环。近两年貌似稍微好了一些。
哎,我觉得这事就没有完美的办法,归根到底软件是人写出来的,就不完美。 瘟10有自带的巨硬杀毒软件,在扫描测试中清理已知病毒不拉胯,但巨硬的误报率很高
— from Google Pixel 3 XL, Android 10 of S1 Next Goose v2.2.2.1 要,又不贵
—— 来自 Meizu 16th Plus, Android 8.1.0上的 S1Next-鹅版 v2.2.2.1 大部分病毒都是用户点击一个文件,特别是exe。而造成的。习惯好一般不需要杀毒软件,少用来源不明确的盗版,少点未知来源附件。其他基本就是网页端钓鱼网站,普通上个澳门dchang也不会导致电脑中毒。 win7时代就不装杀毒软件了 win10自带defender,不过它只会查杀我的galgame汉化补丁 借楼问,mac是否依旧不用装杀毒软件? wd用的顺手了,不装了 我win10.装的360杀毒加安全卫士
二奶机win7也是装的360杀毒
-- 来自 能搜索的 Stage1官方 Android客户端 火绒,十分安静 养成良好习惯应该可以避免许多麻烦。软件从官网下载,不靠谱的东西丢到沙盒限制访问路径,共享使用局域的安全服务(比如使用ip访问,用webdav从而避开网络发现和smb带来的问题) 装一个
WD不是那么好用 一开始升级win10之后用WD,后来这玩意太占资源了就换了
—— 来自 OPPO PCLM10, Android 10上的 S1Next-鹅版 v2.2.2.1
页:
1
[2]