V2EX › acess 的所有回复 › 第 93 页 / 共 113 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 89 90 91 92 93 94 95 96 97 98 ... 113

❮

❯

2017-05-21 03:37:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@reizen 拍脑袋想一下:病毒可能会直接尝试覆盖原文件，而不是创建新文件。为啥 WanaCrypt 没这么做我就不懂了。

2017-05-21 03:31:36 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty Win8 起，因为快速启动，开了休眠的人应该挺多的。但 hiberfil.sys 如果“伸缩”了，可能的确会覆盖掉本来有希望恢复的数据。

2017-05-21 03:30:27 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty
1.我记得 hiberfil.sys 不是提前占过空间的吗，这样应该不会影响数据恢复啊……看样子我可能确实姿势水平不够。
2.我也没说一定能找回来，现在提这个看上去确实很马后炮，不过我还是觉得，想办法 dump 出内存可以提升获救的概率——就是赌一把。
3.原谅我的姿势水平不足……我只是看过主贴那篇分析文章而已，看得还不仔细，但我记得作者说过勒索作者没犯错来着……
4.我觉得除非碰到腹黑变态的勒索制造者，休眠操作可以阻止病毒继续运行传播，而且好像不会比拉电源有太多显著的坏处(不知道对不对)。

2017-05-21 00:15:55 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@SuujonH 欧洲刑警组织都在 Twitter 上转发了，这玩意已经不是技术宅限定了吧。
不过我想说的是为啥各大安全厂商不建议大家想办法 dump 内存，明明 dump 下来可以增加完全恢复概率的。

2017-05-20 23:51:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@binghe 广告而已

2017-05-20 18:42:03 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

LZ 猜测安全专家可能没想到微软的 Crypto API 居然没有清除掉内存中的质数，所以他们才没考虑 dump 内存的方法。
如果让 LZ 继续脑补，就是“阴谋论”了:如果 dump 内存的方法被广泛传播，潜在的勒索软件受害者可能未必把这条信息当回事，但勒索软件制造者倒是很可能在意这条信息，并开始思考如何应对内存 dump。所以，大家决定保持沉默，不把 dump 内存作为首选方法推广。更不用说通过休眠 dump 内存实际上是有“睡死”失败风险的……而且，病毒已经掌握机器控制权，什么都有可能发生，说不定检测到受害者想利用弱点进行破解，就直接撕票(比如删除私钥)。

2017-05-20 16:21:23 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@GNiux wanawiki 打错，应该是 wanakiwi

2017-05-20 16:17:58 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@GNiux 我说的不是这个思路。实际上，运行 360 的恢复工具 2.0 会直接干掉病毒的 tasksche.exe，然后 LZ 主帖说的工具 wanawiki 应该就不能工作了。

2017-05-20 15:57:30 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@gamexg 不过这个误删恢复的思路和本贴无关

2017-05-20 15:57:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@gamexg 就是有文件没被写 0 才有可能恢复啊。有一部分的确是被写 0 了，没救了。