※ 引述《kclonline (JLg艹)》之铭言：
: 嗨:
: 之前有一串版友讨论勒索病毒提到cruelsister1有影片教学。
: 最近发现该作者有针对Comodo10推出新的影片，所以把笔记贴上来，方便大家。
: 原影片：http://youtu.be/FoIu3Z2ImO8
cruelsister1刚刚上传了一个新影片
https://www.youtube.com/watch?v=KSbRWmpSUwo
说明如果靠传统防毒很多时候不能防御第一时间的病毒攻击，
这时候CF10/CIS10的自动沙盘的价值就显现出来，
所以cruelsister1一直非常推荐CF/CIS。
注意CCAV的沙盘和CF10/CIS10不一样，CCAV的沙盘没有虚拟化功能，
同时也比较弱，例如这个影片的范例
https://www.youtube.com/watch?v=anh2O65R6mQ
直接写MBR的Petya可以过CCAV的沙盘，
而Comodo Firewall的沙盘却可以挡住
https://www.youtube.com/watch?v=kRqQFZrnZ3c
虽然后来Comodo有修正CCAV的这个问题，推出了新版
https://www.youtube.com/watch?v=WMADsyZ1gJg
不过目前CF10/CIS10的沙盘都还有bug没有修复，
是可以被恶意程式穿透的，官方说差不多二月中才会有修正版。

推 有时候会好奇 cruelsister1 的勒索软件哪来的? 而且她也会改写勒索软件

那个穿过的样本，一堆防毒主房也跪另外还在用comodo 8.4可以不用顾虑，因为也被穿直接升级10版，comodo应该不会去维护8版comodo收到样本后，也先把特征码入库，接着等月中新版

10版有比8版稳吗 8版的沙盒好像关不掉 只想要用防火墙

推，不过我后来还是比较习惯HIPSxD

只用防火墙也可以升10，comcod白名单判别有点调整8版的沙盒是关的掉，若你不行可能跟你用的其他软件或防毒冲到也可能

后来开windows看发现auto-sandbox装完就默认没开启了hips和viruscope都关了 不知道为什么conemu+git就是会lag在5版上用完全正常 防毒一样是同版本的小红伞

小红伞现在跟comodo应该有点冲突，不像以前建议不是CIS就是WD+comodo墙这样问题最少

目前这样是堪用啦 虽然最顺还是5版 可是5版和很多64bit程式相冲突(像是fx) 而且老实说很不喜欢包一堆用不到的

我是懒得搭配不是微软内建防毒就是CIS全套，反正自动沙盒查杀率就不太重要，因为就算90几%，实际使用你也碰不上

10版大概等2月中的修正版出来再试试 不然又要测2次很累

小红伞算是用很久了比较信任 虽然它也感觉在走下坡了

现在又搞全家桶根本就拖速

免费版愈来愈肥真的不太想继续用 付费的不知道会不会好点因为我沙盒和HIPS都会关 所以我是会另外装防毒就只想要那个墙 偏偏它又包了一堆有的没的

可以请教大大bypass了comodo的那个样本吗？

那个样本不是病毒，有人写来测试各家防毒主防顺道测comodo然后发现自动沙盒 bug，后来就有人提交给官方有开HIPS可以拦下,所以建议目前先开而且目前应该很多防毒也都入库，没什么好测

那这样更让人好奇是哪位高人写的OA test

比起那样本，还是担心绑架勒索吧xd，最近对岸狂吹BD ATC结果昨天看新变种Cerber就让BD跪xd

测主防的样本是利用一个流传很久的WINAPI缺陷把C盘"删除" 造成所有程式都打不开只要禁止沙盘里的程式调用这个函数来映射已经存在的磁盘机代号就不会中招了SBIE因为默认就禁止了这项操作所以没事但是WINAPI太多太复杂 总会有漏网之鱼的xDSBIE以前同样有破功过

毕竟是变种，跪了也是合理？是说默认值得EMET对勒索的抗性究竟到什么程度啊？

其实BD主防算强，这几天应该是被Cerber作者找到方法掠过特征码没入库，云端没拉嘿，ATC被过加密