首页
论坛
课程
招聘
雪    币: 304
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:20 )
在线值:
发帖
回帖
粉丝

[求助]在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?

2018-4-8 14:54 1212

[求助]在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?

2018-4-8 14:54
1212
在内核中怎么判断是勒索软件对文件的操作还是用户正常的操作?

[公告]看雪论坛2020激励机制上线了!发帖不减雪币了!如何获得积分快速升级?

最新回复 (11)
雪    币: 79
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:30 )
在线值:
发帖
回帖
粉丝
XiaoyDelog 活跃值 2018-4-8 15:06
2
0
搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件.
雪    币: 304
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:20 )
在线值:
发帖
回帖
粉丝
冰栈 活跃值 2018-4-8 15:27
3
0
XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以
陷阱文件太普遍了
最后于 2018-5-2 09:18 被冰栈编辑 ,原因:
雪    币: 304
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:20 )
在线值:
发帖
回帖
粉丝
冰栈 活跃值 2018-4-8 15:28
4
0
1
最后于 2018-4-8 15:29 被冰栈编辑 ,原因:
雪    币: 304
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:20 )
在线值:
发帖
回帖
粉丝
冰栈 活跃值 2018-4-8 15:28
5
0
XiaoyDelog 搞一个陷阱文件,只要监控到对这个陷阱文件进行写操作,就可以认为是勒索软件.
还有就是在对陷进文件进行操作的同时,会不会操作其他正常的文件?
雪    币: 79
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:30 )
在线值:
发帖
回帖
粉丝
XiaoyDelog 活跃值 2018-4-8 15:36
6
0
冰栈 还有就是在对陷进文件进行操作的同时,会不会操作其他正常的文件?
勒索软件首先需要对每个逻辑盘的文件进行遍历,调用遍历API,这个API遍历到的文件是有顺序的,你创建的陷阱文件要是最先被遍历的到,而且要确保不会被用户访问到(设置隐藏或系统可见),当你监控到这种形为,结合云端或者一些规则就可以进行判断.当然绕过的方法也是有的,这只能防御一些常规的.
雪    币: 378
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2018-4-8 16:03
7
0
都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
雪    币: 79
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:30 )
在线值:
发帖
回帖
粉丝
XiaoyDelog 活跃值 2018-4-8 16:18
8
0
wowocock 都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了.
雪    币: 304
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:20 )
在线值:
发帖
回帖
粉丝
冰栈 活跃值 2018-4-8 16:35
9
0
wowocock 都只能针对R3的,现在好点的基本都加载个驱动,包括白利用加载和漏洞加载,然后直接废掉所有内核过滤,舒舒服服的干你。
对于驱动层的勒索软件只有做的比它更底层才能防?
雪    币: 378
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2018-4-8 19:11
10
0
XiaoyDelog 都能加驱动了,啥事不能干,问题是怎么拦驱动,非白即黑这种直接拦死,白利用也加不了.
就是利用白驱动来加载,目前可以发现在WIN10  64  UEFI  SECURE  BOOT  模式下加载任何内核代码。白的漏洞驱动太难防了。
雪    币: 378
活跃值: 活跃值 (22)
能力值: ( LV2,RANK:50 )
在线值:
发帖
回帖
粉丝
wowocock 活跃值 1 2018-4-8 19:13
11
0
冰栈 对于驱动层的勒索软件只有做的比它更底层才能防?
驱动了很难防,目前只有发现一个处理一个。没有好办法。
雪    币: 79
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:30 )
在线值:
发帖
回帖
粉丝
XiaoyDelog 活跃值 2018-4-9 16:42
12
0
wowocock 驱动了很难防,目前只有发现一个处理一个。没有好办法。
有没样本玩玩
游客
登录 | 注册 方可回帖
返回