推 j790822: 大推專業分享 05/02 07:54
推 xjp004123: 推專業 05/02 08:09
※ 編輯: Joba07 (101.15.48.81), 05/02/2017 08:19:49
→ changshinn: 推,專業文 05/02 09:36
推 Adven: push 05/02 10:06
推 KevinYu0504: 好文,推 05/02 10:33
→ KevinYu0504: 我用過 AVG.Avast.Avira.Bitdefender.Norton.Kaspers 05/02 10:35
→ KevinYu0504: ky.PCCillin.Windowd defender.Emsisoft.Panda.Comod 05/02 10:35
→ KevinYu0504: o 等等,Emsisoft 是我首選 ;) 05/02 10:35
推 jk01: 推 05/02 10:40
→ Joba07: 虛擬機器和沙盒我還沒用 不過兩者中我傾向用前者 因為看過 05/02 11:07
→ Joba07: 有的勒索病毒可以繞過沙盒 05/02 11:07
→ gwofeng: 好心得 05/02 11:29
→ gwofeng: 卡巴也有檢查其他軟體更新 HIPS 封PORT的功能 05/02 11:45
→ gwofeng: 卡巴預設就把135-139 445跟Remote Desktop的3389都封了 05/02 11:54
推 koihime: 看到好熟的ID,原來我正在看mobile01上KevinYu0504大的文 05/02 11:55
→ KevinYu0504: 被樓上記住了 (羞) 05/02 12:01
推 mayuyu: 推 感謝分享心得 05/02 13:41
→ mayuyu: 請問您說的勒索病毒可以繞過的沙盒是哪一個? 05/02 13:41
→ mayuyu: 順帶一提 目前沒有看過勒索病毒可以穿透虛擬機器 05/02 13:42
→ mayuyu: 但是虛擬機器也有重大的執行任意程式碼的漏洞 05/02 13:42
→ mayuyu: 例如VMWare 12.5.2之前的12.x版本 05/02 13:42
→ mayuyu: 有一個嚴重的drag-and-drop漏洞 05/02 13:42
→ mayuyu: 可以讓guest穿透虛擬機在host主機中執行任意程式碼 05/02 13:42
→ mayuyu: 而今年三月的Pwn2Own大賽 駭客又利用edge+vmware的漏洞 05/02 13:43
→ mayuyu: 展示過程只需要90秒就攻破虛擬機 可以執行任意程式碼 05/02 13:43
→ mayuyu: 取得主機的最高權限 VMware六天後緊急推出12.5.5來修補 05/02 13:43
→ mayuyu: 所以即使是沙盒或虛擬機都還是可能存在漏洞的 05/02 13:43
→ mayuyu: 只是在野外的真實世界中 沒有看過利用這些漏洞的勒索樣本 05/02 13:44
→ Joba07: _3807.html 05/02 13:49
→ Joba07: 延遲一小時以上才執行,避開傳統沙箱的偵測,因為沙箱通常 05/02 13:51
→ Joba07: 只能運行幾分鐘 05/02 13:51
→ gwofeng: 沙盒還是極少數人在使用 攻克難度高 不如往其他漏洞鑽 05/02 14:04
→ munsimli: 卡巴的應用程式控制好用,但軟體設定繁複,設定檔存好就 05/02 14:06
→ munsimli: 一勞永逸,Emsi也還不錯,設定無敵簡單,防護效果也不 05/02 14:06
→ munsimli: 錯,尤其可以用試用30天去刷授權,等於免費試用 05/02 14:06
→ gwofeng: 最近藉網路漏洞進來的勒索病毒 沙盒應該就沒用了 05/02 14:07
推 mayuyu: 原來是指這種防毒「檢測時」使用的沙箱 05/02 14:12
→ mayuyu: 我以為是指Sandboxie或Comodo的Container 05/02 14:13
→ mayuyu: (Sandboxie就是你貼的文章中推薦的沙盒) 05/02 14:13
→ mayuyu: Comodo最近是有bypass的例子 05/02 14:13
→ mayuyu: 但那是因為該惡意程式被雲端信任 根本沒有進入沙箱 05/02 14:13
→ mayuyu: 如果有進沙箱 應該是不可能逃逸的 05/02 14:13
推 mayuyu: Comodo的防火牆應該可以擋住這次的網路攻擊 05/02 14:15
→ mayuyu: 從一開始大概就無法入侵 即使被入侵 05/02 14:16
→ mayuyu: 執行木馬下載其他惡意軟體時也會被抓到自動沙盒 05/02 14:16
→ gwofeng: COMODO沙盒就怕白名單PASS 對新軟體用手動入沙就沒問題了 05/02 14:17
推 mayuyu: 附帶一提 如果想檢查「從外面」是否看得到自己的port開啟 05/02 14:18
→ mayuyu: 網路上有很多Open Port Check的工具網站 05/02 14:18
→ mayuyu: 如果你是用數據機硬撥取得實體IP 05/02 14:19
→ mayuyu: 主機是躲在數據機後面用NAT上網 有數據機的防火牆擋著 05/02 14:19
→ mayuyu: 通常檢查所有port都會是關閉的 05/02 14:19
→ mayuyu: 除非你有另外打開Virtual Server(Port Forwarding) 05/02 14:19
→ Joba07: 謝謝 我用那個連結查詢 果然那些port都是關的 05/02 14:22
→ Joba07: 我是有Oracle的VirtualBox Comodo自己也有沙盒 不過我 05/02 14:24
→ Joba07: 只是一般玩家 所以還沒有玩過 因為已經10幾年沒中毒了 05/02 14:26
→ Joba07: 就還沒想要用那些 05/02 14:27
→ apharomeo: comodo要有設定阻擋那些port才能擋住 05/02 14:31
→ apharomeo: 一般人裝完comodo大概不會去特地去設 05/02 14:32
→ apharomeo: 有看到實例是入侵後把comodo 8的 05/02 14:33
→ apharomeo: 沙箱 HIPS VirusScope關掉的 05/02 14:33
→ apharomeo: comodo 10就不確定能不能被關掉 05/02 14:33
→ Joba07: 請問 Comodo v8 要如何設定擋住 port ? 05/02 14:34
→ apharomeo: 總之, OS的漏洞一定要先補起來 05/02 14:34
→ Adven: 感謝port check網站,看來已關 05/02 17:11
※ 編輯: Joba07 (101.15.48.81), 05/03/2017 00:06:09
→ apharomeo: comodo要擋port就:防火牆->全域規則 裏面去新增規則 05/03 01:51
→ Joba07: 謝謝 原來是先在連接埠組先定義 再到全域規則設定 05/03 03:20
→ Joba07: 難怪我光在連接埠組弄半天都沒用 05/03 03:20
→ DINJIAPC: nat下所有的對外連接埠都是關閉的,如果要擋直接在分享器 05/03 09:46
→ DINJIAPC: 下規則就好 05/03 09:47
※ 編輯: Joba07 (101.15.48.81), 05/03/2017 20:51:07
推 waterblue85: 那請問kevin大之前看了你的文章買了終身版的malware 05/06 03:41
→ waterblue85: bytes,有需要換成emsisoft嗎? 05/06 03:41
推 sttropez1996: 推專業 05/16 10:49