AntiVirus 板


LINE

一开始先跟大家提到一个在XP时代有名的随身碟病毒KAVO, 当时让随身碟免疫的方法就是在随身碟根目录下建立autorun.inf目录, 然候应该很多人还有印象,再下一层有一个无法读取及删除的目录123. 为什麽要提到这个,因为不论是使用者帐号限制也好,档案设唯读权限也好, 都是让绑架软体无法覆写档案的方式来保护, 而在这个123.的资料夹下的档案,有点不一样, 於是就有了这次的实验。 注:要跟着下面实作的人,一点基础需要。 ***重要*** 第一步需在XPXPE的环境下於C或D槽直接建立123.的资料夹 http://i.imgur.com/MjyNtVK.png C:\>mkdir 123..\ 资料夹名称有限制必须6个半型字元以下, http://i.imgur.com/tccQuLM.png 於是就得到看起来名称为123.的资料夹。 http://i.imgur.com/ks8LlNn.png 无论在XP或WIN7以上环境直接双击左键开启都会有同样的提示, 并且无法直接读取及删除。 http://i.imgur.com/9l3Pfrv.png http://i.imgur.com/0cOPmb8.png 本篇重点: 再来这个应该就很少人知道了!这个资料夹并非完全无法存取! 它其实如同一般资料夹可读取可覆写, 只是!!!无法使用一般路径来作读写的动作!!!! 前面提到限制6个半型字元就是因为在这边要用短档名的方式去开启, 超过6个半型字元好像就无法正常开启了。 因为方便,这里我使用写入记事本存.bat的方式用於直接双击执行开启, 命令也可以直接输入 C:\>start C:\123~1 便可发现此资料夹被开启了。 题外一下,这指令是在WIN7後才适用的, 在XP下我记得直接在路径栏打上C:\123..就进去了, 升到WIN7时打不开差点崩溃,好久才在不知哪的外国论坛看到这个方法, 一直到现在WIN10依然可用,当时我觉的这真的是超适合拿来装秘密, 内建搜寻不到,everything之类的搜寻软体虽然看的到但不能摸, 不过现在不需要了就是... 实作的教学也就到这了,其实也不是很难,下面就看一些测试吧。 首先在一般资料夹和123.各放入相同及不同的档案资料, http://i.imgur.com/OafRFu6.png 1.作者良心发现的Crypt0L0cker http://i.imgur.com/yVlD4A7.png 执行直到跳出讯息,就可以看到差别了,执行途中两个资料夹仍然是开着的。 就可以知道在这个短档名路径下,绑架软体无作用。 http://i.imgur.com/xgtKhdq.png 2.Cerber http://i.imgur.com/TdR0YFh.png 一样执行直到跳出讯息。 超凶连档名也覆写了,有趣的是会听到播放声音: attention! attention! attention! your documents photos databases and other important files have been encrypted. 然候重复十遍左右吧.... http://i.imgur.com/8THnX7N.png 3.最後大概会是本月 MVP CryptXXX3.0 试着换到WIN10看看。 http://i.imgur.com/LioJsRl.png 完美加密。除了123.资料夹 http://i.imgur.com/JhOLuFj.png 看最新的应该是.crypz,但我看了几个样本网站好像还没有, 有善心人士抓给我玩我会很开心的。 最後就提醒一下, 保护档案最好的方式还是离线备份, 上面的方法也不保证对以後绑架软体有用, 因为这方法目前看起来似乎还有可用性, 所以就提供给各位了。 大概这样。 --



※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.60.208
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465230874.A.1AF.html ※ 编辑: pendoth (220.132.60.208), 06/07/2016 00:45:18
1F:→ s79072002: 我该庆祝,我中的是良心发现的勒索病毒吗...? 06/07 00:58
2F:→ s79072002: 资料救回80% 06/07 00:58
3F:推 frank1033: 酷喔~~ 感谢测试 06/07 01:02
4F:推 pyc888: 以前玩 FxP 常常用ASCII建资料夹偷塞东西。没想到可以挡现 06/07 01:10
5F:→ pyc888: 在的勒索病毒啊 06/07 01:10
6F:推 lmkkml: 推!有点猛耶 06/07 01:14
7F:推 srewq: 推!! 06/07 01:32
8F:推 GAMETYRANT: 推!很有趣且认真的测试~ 06/07 01:46
9F:→ GAMETYRANT: 旧时代对付KAVO的手段,竟也成为CRYP的克星之一 :P 06/07 01:47
10F:推 sheilarea200: 06/07 03:57
11F:推 andy90498: 推... 06/07 06:04
12F:推 MoJi: 所以是把资料放在123.资料夹就可抵挡目前的勒索毒吗?用普通 06/07 06:04
13F:→ MoJi: 右键重新命名的方式? 06/07 06:04
14F:推 andy90498: 请问一下 刚刚用WIN7测试了一下 发现确实该123.资料夹 06/07 06:21
15F:→ andy90498: 确实无法删除、更名 但能直接左键开启? 06/07 06:22
16F:→ andy90498: 之後我尝试把档案丢进去该资料夹 发现可更名、删除 06/07 06:22
17F:→ andy90498: 但无法开启 是因为我不是在XP系统建立该资料夹的关系 06/07 06:23
18F:→ andy90498: 吗? 06/07 06:23
19F:推 andy90498: CMD 没办法CD进123. 以及没办法START该资料夹里的档案 06/07 06:49
20F:→ go1717: 那用Unlocker可以删除吗? 06/07 08:07
21F:→ Bellkna: 把分割区挂戴在该目录下的目录不知道效果如何 06/07 08:09
22F:→ Bellkna: 还可以省掉搬东西的麻烦 06/07 08:09
测试的确可以!分区挂123.资料夹下依然可达到不被目前已知的勒索软体加密的效果。 你好聪明!
23F:推 andy90498: 回go1717 使用unlock也无法删除喔 06/07 08:17
24F:→ Bellkna: 7-zip和filezilla 理论上应该就能直接建这种目录 06/07 08:24
25F:推 wackyjazz: 感觉专业推~~~ 06/07 08:56
26F:→ swpoker: win7(64) 都能用档案总管开启阿 06/07 09:46
27F:→ go1717: 但打"rmdir 123..\"该目录就会被砍@@ 06/07 09:51
28F:推 jan06010504: 如果用档案总管可以开,那这方法是不是就无效了? 06/07 10:00
29F:推 chang0206: 楼上 原PO不就都实验过了吗? 06/07 10:23
30F:推 jsbach813: 为什麽我只能做"123.." 没办法做"123." ?跪求 06/07 11:46
31F:推 jan06010504: sor,问得不够准确,是想问楼上a大有说可直接左键开 06/07 11:47
32F:→ jan06010504: 启,这样还有防御效果吗? 06/07 11:47
33F:推 jacklin2002: 原po说了,要在XP或XPE的环境下才能建立..... 06/07 12:51
这句话应该标重点起来的,在XP下和在WIN7下同样mkdir指令建出来的资料夹可不一样, WIN7下建的档名会变123..,XP下则是123.,前者可以直接开启但内容档案开启会产生 路径上的错误;後者需靠指令进入,但内容档案可正常开启使用。
34F:推 jan06010504: 好的,感谢 06/07 12:56
35F:→ go1717: win10也可以建立 06/07 13:00
36F:→ go1717: 问题是用指令建立的资料夹 也能用指令砍掉@@ 06/07 13:01
mkdir就是建立资料夹目录的指令,rmdir就是删除资料夹目录的指令,会砍掉是理所当然 的,就跟右键能建立资料夹也能删除是一样的,重点是绑架软体目前无法针对到只能用短 档名去开启的资料夹内部档案作加密的动作,所以这个资料夹才形成类似安全地带的现象 ※ 编辑: pendoth (220.132.60.208), 06/07/2016 22:21:56
37F:→ louis925: 我在 Win 7 下建立 123..\ ,会自动产生123和123..两个 06/08 04:23
38F:→ louis925: 资料夹耶,内部档案都可以正常开启关闭 06/08 04:24
39F:→ louis925: 但是档案总管只能删掉123,123..必须透过rmdir删除 06/08 04:24
因为123..和123终究不是同一个目录,只是你双击开启123..资料夹时会被导向123,试着 先删除123资料夹再去执行123..内的档案,是不能正常开启的;假如先在123..放一个档案 再建立123资料夹,123..就会被导向123而变成空目录。SO,还是得在XP下建立123.资料夹 才行。
40F:推 chang0206: 呃,可以请问一下 VHD 档案也会被这个加密吗? 06/08 13:44
会,但不是每支勒索软体都会。 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:27:29 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:34:00 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:36:35 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:38:41 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:39:11 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:42:32 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:43:27 ※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:43:43
41F:推 gj942l41l4: 请问有XP以外作业系统的做法吗?还是一定要找一台XP自 06/09 22:19
42F:→ gj942l41l4: 己建一个这样的资料夹? 06/09 22:19







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:BabyMother站内搜寻

TOP