https://goo.gl/IclVFj https://www.facebook.com/permalink.php?story_fbid=10209215541764937&id=1212795524 关於勒索病毒的工作模式 我想了一下後 归纳出了他的工作模式 以及手动抵御方法 根据WINDOWS的执行特性 绝大多数的常驻病毒 都是以SYSTEM身分在执行的 (虽然存在以使用者运行的方法) 除非病毒是经由使用者人工(手贱)开启的 而SYSTEM是个特殊的使用者角色 用来表示WINDOWS OS本身在运行时执行的身分 凡举自动更新到系统记录 任何不经过人手就会自动执行的行为都属於SYSTEM 而人类使用者的手动操作行为 无论是在执行什麽操作 都必然是以[使用者本人]的名义在进行的 绝对不会有例外 因此 从这一点可以非常明确的区分 病毒(SYSTEM)与使用者间的操作行为 一般来说 SYSTEM的自动操作行为中 除了防毒会四处乱跑以外 其余多半仅会局限於系统碟内 所以 选择一个专门用於资料用的磁区 把NTFS安全性选项中的"修改"权限给抹除掉 (NTFS的安全性进阶权限中 包含非常细腻的存取操作 主要分别包含 读取 新增 追加 修改 删除 ) 勒索软体的工作模式无非就是 以SYSTEM身分在背景自动执行 先检索整个硬碟 当发现到目标档案时 制作一份加密档 然後再删除旧有档案 因此 若移除SYSTEM对资料区的修改与删除档案的权限的话 那麽病毒就无法破坏现有档案 但是 系统读取/执行档案等等的基本功能依然存在 虽然防护范围仅限於资料碟 系统碟的档案仍然会受损 不过这点小事只要重灌就好 或着是 移除SYSTEM对目录浏览的权限的话 病毒就无法搜寻资料区的档案 既然无法搜寻 就无法删除 除非直接传入PATH 当然 这部分行为还要考量一下 系统到底会不会有检索目录的需要 目前已知 防毒软体以及"自动排程" 都会以SYSTEM的身分四处周游档案 除此之外 绝大多数的系统操作 都不应涉入到资料区内 虽然这样的动作 会导致系统防毒软体在工作时 无法删除资料区的病毒档案(更多时候是序号机&破解档) 不过相较於文件损毁的成本之下 这完全不是大问题 而且 病毒并不流行隐藏在资料区中 病毒最喜欢藏匿的地方在WINDOWS system32 helps目录中 所以 这个方案可以非常有效的抵御对於勒索病毒的窜改攻击 当然 资料碟请就保持资料乾净 不要把一些系统性档案 例如分页档(pagefile)给丢进去 这样会让系统非常困扰的 - 未来如果要防止这类病毒攻击 就必须根本之道的 缩限SYSTEM的自动执行权限 让SYSTEM 不应该在系统碟以外的地方四处游荡 SYSTEM 本来就只是用来运作WINDOWS用的角色 所以本来就不应该也没必要踏入资料区内 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.163.72.102 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494705139.A.45D.html ※ 编辑: JeremyJoung (118.163.72.102), 05/15/2017 02:30:00