@acess 你仔细看看#60 的描述…… “整个过程都隐藏在内存里，不进行任何文件读写” …… 这特么是玄学，然后你再看勒索病毒，都有个提示窗口，告诉你已被勒索了，要是真内存运行，不留文件，那么重启一次不就没有这勒索窗口了？没了这窗口，怎么再次提醒对方要付款的 BTC 钱包收款地址？利益怎么最大化？

@skylancer 嗯，BT 这样本身 IDM 也不支持，但是这样的话，A 就要内置 BT 等的下载功能模块，A 的体积就变大了。这样 A+B 模式的话，应该类似于木马下载器+真木马这样模式，A 要保持小巧简洁，达到快速刺入对方系统的目的。

@acess 写进 MBR 启动层也是文件啊，也是写入了硬盘啊，只是不是一般所看到存在于 Windows 的文件罢了，而且，暗云加载进系统，会释放出诸如 xnfbase.dll、thpro32.dll 等文件，这是它要实际它那些功能的模块，怎么没有实体文件。MBR 空间有限，必然木马体积也少，功能就受限，写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了，这个勒索界面不是提供一个测试解锁的，让你相信它能解，放心付款，既然有这些功能，怎么会没有实体文件实现，全部挂到内存不现实，在我看来太玄学了。
另，这也不是说 IDM 如何，只是说一种技巧，本身 IDM 也有局限的，是按扩展名归类的，.exe/.zip 等等才拦截，要是病毒换个扩展名也是没反应的，比如说早期 IE 有个漏洞，能把.css 文档错误执行，你把.exe 改成.css 挂到网页，用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。

@Technetiumer 对啊，A 是下载器也是一个实体程序文件的，典型就是木马下载器+真正木马模式，木马下载器很小巧，10KB 就够了，然后再偷偷后台下载真正的木马并运行释放。所以，要拦截也是有办法的，IDM 就够了，因为 IDM 能拦截所有下载请求。
总之，你上面贴的那段太玄乎了

@Technetiumer 哈哈，纯内存，重启不就没事了？ 病毒一定是要有实体文件的，你可以说在缓存里，但仍然是有实体，不然怎么生效？ 病毒要生存要常驻（不然重启怎么办），甚至可以内核级、驱动级加载，或者可以欺诈隐藏，挂了了钩子对系统查询返回虚假值（典型就是 Rootkit ）
而这个是 A+B 的套餐，即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码，但 B 仍然是实体文件程序。虽说这是个破坏型的病毒，只需要执行一次，不需要像木马那样希望开机常驻，但考虑到要实现勒索、解密功能，怎么可能光在内存就够了？ 何况你也说了，它还有蠕虫的攻击特征，怎么会没有实体的程序文件？

@Technetiumer 那不可能的，一个病毒能成形，必须病毒实体文件到达用户硬盘，并且被激活运行了一遍。 病毒实质上就是一个可执行程序，只是被错误安装进系统。没那么神乎的

@EIlenZe 哈哈，这就要和你补充说一下，上面的话太简单不严谨，免得误导你了。 火绒更新的频次本来就低，指望这货查杀病毒本身也是不靠谱，我使用火绒不是因为谁谁推荐，而是因为适合我自己，自己对于安全、病毒这些还有些了解，现在已经不折腾了（以前会把收集到的木马跑一遍，再观察情况，写个手工清除教程什么的）但自带的太没存在感了，火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。
这次是 0day 攻击，是系统级的漏洞利用，除了补丁，没得防。启发式、行为分析等查杀手段之所以不靠谱，是软件远远没那么智能，规则太松了没效果，太严了就影响一大片，因为用户的应用环境千变万化 。

其实安全软件市场很大，蛋糕很大，你看看国外，就算这几年已经不像过去那么多病毒流行，依然能容纳那么多家安全软件产商，赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等，国内实质上是被 360 所谓的免费搞烂了。

@EIlenZe 继续火绒+1， 这次是 0day，指望杀软本身就不对，能起作用是启发式检测，这种本身就是不靠谱的。

@green15 这叫流量年包，每年都有，每年下半年就开始推广的，已经越来越贵了，第一年推的时候是纯免费的，先送你钱再扣你钱，第二年开始要钱，这包标准价格是 360 一年 /1G，600 一年 /2G，国内 /省内各半。

@paradoxs 来来来，就怕你不装

在上一个帖子：坚果 Pro 发布 大家的看法 /t/360282 看看某人的奇葩

#21 败点在于, 基于 Android ------ 在这里你一定想说这是 "基于 Windows" 了?

#48 不得不说 iphone 对于很多人来说价格还是高 .. 就好像很多人喜欢兰博基尼 迫于现实 最后只能开大众一样 ------- 嗯，这是不是要把 iphone 替换成 mac ？
……
看了#48 吓尿了，赶紧问问人家是戴什么表、开什么车、住那个楼盘的，特么告诉我只是个普通码农。对了，还要告诉你一个事，共享经济现在很热，N 多在搞日付几块钱租 iphone 的，芝麻分大于 650 就可以直接免押金，直接租了。

不说了，自己翻页看看其他果粉是怎么看你的？！

@paradoxs 笑死，mac os 什么时候不是美国人的系统？变中国的？还是欧洲的非洲的？ windows 出个漏洞怪美国人的系统，自豪用 mac os ？再说了，mac os 什么时候没漏洞没 bug 了，你是有多逗逼才说出这些话？
上次锤子的坚果 pro 的帖子还嫌不够丢脸？你不会看看同样是果粉的是怎么评价你这个人？！ 你真是个奇葩！ https://www.v2ex.com/t/360282

@lyhiving 换眼镜吧

@xyjtou 不是的，就算是你换 NS 记录也不需要，那个最多 48 小时是一个保守的估计，是计算全世界的情况。然后你要先搞懂的是，所谓域名解析的缓存是针对有访问个这个域名的整个地区才存在的，如果一个地区没有人访问过这个，仍然可以是实时解析，你新注册一个域名，因为你访问过，你所在网络会有缓存，所以你所在的整个地区都会因为有缓存受影响，但是另外地区、另外的网络只要没有人访问过，你就算换 NS 记录，对于他们没有缓存过的，仍然是实时解析。
所以你要实时也是可以的，换 NS 记录，你加 SS 访问就是实时了。
像这么又长又臭的域名，全世界都不会有人访问过，也就不会有缓存的存在而影响到。

明天，解密工具(真病毒).exe 换个面目再下一城

@JamesMackerel 不要乱发挥想象力。 真那么担心，断网就是。

@ichubei 0day 攻击

@wolfan http://i.imgur.com/i4MciCg.png

@wolfan 文件管理器---手机标签----右上角三点----设置

@scofieldpeng 你仔细看，我也不过以事论事。去年之前我也不敢乱说，因为去年之前还没用小米系；然后去年设置成英文 /繁体是不是没广告我也不敢乱说，只敢说今年是这样的；推送频次的问题，在我感受里，去年是比今年要多，看起来骂得多，升级后各方面克制多了，但就算是去年，也没你说的隔三差五有推送的频次，因为频次差异比较大，所以我说了个猜想，是不是由于使用习惯，有针对性的推送。这个只是个人猜测，所以就问下你情况。至于刷机，我已经没折腾的兴趣了，但还是听说过小米 4C 好刷机的事，所以这里只是个疑问句。

@wolfan 可以关掉，是比较隐蔽，右上角三点选择关闭。

@scofieldpeng 既然你的时间线是去年，那我就有话要说了，因为去年和今年我都是换了小米，并且还是低端的红米。至于推送，几个系统内置的应用的确不能关死通知，但是频次非常的低，平均下来一个月都没一次半次，之前的确遇到半个月都有两次流量优惠推送的频次，但也有几个月都没感觉到有一次推送，有那么感觉是遇到节日推送就会出现，但现在 517 电信日了，半个月都没见一次。个人猜想，这个推送频次可能和你个人使用习惯有关，我流量充足，根本不需要另购流量，也不安装流量方面的 App，不知你是不是相反，安装过流量银行什么的 App，经常有关注流量优惠信息或外购流量的消费？
另：去年不知道，今年的话，只要切换系统语言为繁体 /英文，一个 AD 都没有的。再就是小米 4C 是出了名好刷机，刷机选择多的，没听说过解锁不成刷机有问题的，你是不是姿势不对？

邮箱都有了，发个邮件呗，好好说话，说不定多了个好基友~~