首页
社区
课程
招聘
[求助]在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?
发表于: 2018-4-8 14:54 2471

[求助]在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?

2018-4-8 14:54
2471
在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 81
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
2
搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件.
2018-4-8 15:06
0
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以
陷阱文件太普遍了
最后于 2018-5-2 09:18 被冰栈编辑 ,原因:
2018-4-8 15:27
0
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
1
最后于 2018-4-8 15:29 被冰栈编辑 ,原因:
2018-4-8 15:28
0
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件.
还有就是在对陷进文件进行操作的同时,会不会操作其他正常的文件?
2018-4-8 15:28
0
雪    币: 81
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
6
冰栈 还有就是在对陷进文件进行操作的同时,会不会操作其他正常的文件?
勒索软件首先需要对每个逻辑盘的文件进行遍历,调用遍历API,这个API遍历到的文件是有顺序的,你创建的陷阱文件要是最先被遍历的到,而且要确保不会被用户访问到(设置隐藏或系统可见),当你监控到这种形为,结合云端或者一些规则就可以进行判断.当然绕过的方法也是有的,这只能防御一些常规的.
2018-4-8 15:36
0
雪    币: 405
活跃值: (2320)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
2018-4-8 16:03
0
雪    币: 81
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
8
wowocock 都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了.
2018-4-8 16:18
0
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
wowocock 都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
对于驱动层的勒索软件只有做的比它更底层才能防?
2018-4-8 16:35
0
雪    币: 405
活跃值: (2320)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
XiaoyDelog 都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了.
就是利用白驱动来加载,目前可以发现在WIN10  64  UEFI  SECURE  BOOT  模式下加载任何内核代码。白的漏洞驱动太难防了。
2018-4-8 19:11
0
雪    币: 405
活跃值: (2320)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
冰栈 对于驱动层的勒索软件只有做的比它更底层才能防?
驱动了很难防,目前只有发现一个处理一个。没有好办法。
2018-4-8 19:13
0
雪    币: 81
活跃值: (40)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
12
wowocock 驱动了很难防,目前只有发现一个处理一个。没有好办法。
有没样本玩玩
2018-4-9 16:42
0
游客
登录 | 注册 方可回帖
返回
//