[求助]在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作？-安全资讯-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 2 楼搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件. 2018-4-8 15:06 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 3 楼 XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以陷阱文件太普遍了最后于 2018-5-2 09:18 被冰栈编辑，原因： 2018-4-8 15:27 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 4 楼 1 最后于 2018-4-8 15:29 被冰栈编辑，原因： 2018-4-8 15:28 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 5 楼 XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件. 还有就是在对陷进文件进行操作的同时，会不会操作其他正常的文件？ 2018-4-8 15:28 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 6 楼冰栈还有就是在对陷进文件进行操作的同时，会不会操作其他正常的文件？勒索软件首先需要对每个逻辑盘的文件进行遍历,调用遍历API,这个API遍历到的文件是有顺序的,你创建的陷阱文件要是最先被遍历的到,而且要确保不会被用户访问到(设置隐藏或系统可见),当你监控到这种形为,结合云端或者一些规则就可以进行判断.当然绕过的方法也是有的,这只能防御一些常规的. 2018-4-8 15:36 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 7 楼都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。 2018-4-8 16:03 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 8 楼 wowocock 都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了. 2018-4-8 16:18 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 9 楼 wowocock 都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。对于驱动层的勒索软件只有做的比它更底层才能防？ 2018-4-8 16:35 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 10 楼 XiaoyDelog 都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了. 就是利用白驱动来加载，目前可以发现在WIN10 64 UEFI SECURE BOOT 模式下加载任何内核代码。白的漏洞驱动太难防了。 2018-4-8 19:11 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 11 楼冰栈对于驱动层的勒索软件只有做的比它更底层才能防？驱动了很难防，目前只有发现一个处理一个。没有好办法。 2018-4-8 19:13 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 12 楼 wowocock 驱动了很难防，目前只有发现一个处理一个。没有好办法。有没样本玩玩 2018-4-9 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 2 楼搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件. 2018-4-8 15:06 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 3 楼 XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以陷阱文件太普遍了最后于 2018-5-2 09:18 被冰栈编辑，原因： 2018-4-8 15:27 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 4 楼 1 最后于 2018-4-8 15:29 被冰栈编辑，原因： 2018-4-8 15:28 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 5 楼 XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件. 还有就是在对陷进文件进行操作的同时，会不会操作其他正常的文件？ 2018-4-8 15:28 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 6 楼冰栈还有就是在对陷进文件进行操作的同时，会不会操作其他正常的文件？勒索软件首先需要对每个逻辑盘的文件进行遍历,调用遍历API,这个API遍历到的文件是有顺序的,你创建的陷阱文件要是最先被遍历的到,而且要确保不会被用户访问到(设置隐藏或系统可见),当你监控到这种形为,结合云端或者一些规则就可以进行判断.当然绕过的方法也是有的,这只能防御一些常规的. 2018-4-8 15:36 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 7 楼都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。 2018-4-8 16:03 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 8 楼 wowocock 都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了. 2018-4-8 16:18 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 9 楼 wowocock 都只能针对R3的，现在好点的基本都加载个驱动，包括白利用加载和漏洞加载，然后直接废掉所有内核过滤，舒舒服服的干你。对于驱动层的勒索软件只有做的比它更底层才能防？ 2018-4-8 16:35 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 10 楼 XiaoyDelog 都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了. 就是利用白驱动来加载，目前可以发现在WIN10 64 UEFI SECURE BOOT 模式下加载任何内核代码。白的漏洞驱动太难防了。 2018-4-8 19:11 0
wowocock 雪币： 405 活跃值： (2230) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 11 楼冰栈对于驱动层的勒索软件只有做的比它更底层才能防？驱动了很难防，目前只有发现一个处理一个。没有好办法。 2018-4-8 19:13 0
XiaoyDelog 雪币： 81 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	XiaoyDelog 12 楼 wowocock 驱动了很难防，目前只有发现一个处理一个。没有好办法。有没样本玩玩 2018-4-9 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复