作者vi000246 (Vi)
看板AntiVirus
标题[讨论] 防毒软体是如何识别勒索病毒的
时间Tue Jul 18 14:34:55 2017
看到有本书教你如何写勒索病毒
书还没出版 所以我去找了开源的勒索病毒来研究
程式内容是很简单的加解密程式
只是金钥是存在远端伺服器
想问一下防毒软体是怎麽判断这是勒索病毒的呢?
因为原始码刚载下来 防毒就侦测到exe档是勒索病毒了
正常的加解密程式应该不会被判断为病毒吧
还是我下载的这支程式已经被建档了呢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.218.40.109
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1500359697.A.B14.html
1F:推 qsgjnmvb: 你都能下载了 自然病毒码早就烂大街了 07/18 15:02
2F:→ dennisxkimo: 觉得如何感染散布 如何取得控制藏系统内运作才是功力 07/18 17:40
3F:推 ross800127: 1. pattern 2. behavior 07/18 19:08
4F:→ vi000246: 是啊 散布、躲防毒才是考验功力 不然勒索病毒实作很简单 07/18 19:32
5F:推 hms5232: 有网路防护的防毒软体在下载的时候就会先扫描比对 07/18 19:48
6F:→ hms5232: 不说防毒 浏览器本身就会挡了(我知道Chrome有 其他不确定 07/18 19:48
7F:→ vi000246: 如果是exe的确很容易被无差别封杀 07/18 20:01
8F:→ vi000246: 可是我的防毒会说这是勒索病毒 这就不知怎麽辨到的了 07/18 20:02
9F:→ vi000246: 这范例病毒的功能只有1.加解密 2.将金钥传到远端伺服器 07/18 20:04
10F:→ vi000246: 这两种功能在一般程式都很常见 07/18 20:04
11F:推 ross800127: 所以勒索才很难挡 所以防毒才会有用. 07/18 20:50
12F:推 SakeruMT: 行为二被拦截吧,一般用户加密解密的软体,犯不着大费周 07/18 23:12
13F:→ SakeruMT: 章把金钥传到远端伺服器。就算不是已知毒,他的行为也可 07/18 23:12
14F:→ SakeruMT: 疑到足以触发防毒拦截。 07/18 23:12
15F:推 louis925: 所以你下载的到底是原始码还是执行档? 执行档卡巴有可 08/07 20:14
16F:→ louis925: 能试跑了一下它,分析完它的行为就把它封锁了 08/07 20:14