作者imasa (便当侠)
看板AntiVirus
标题Re: [讨论] 防毒软体是如何识别勒索病毒的
时间Wed Jul 19 11:59:24 2017
※ 引述《vi000246 (Vi)》之铭言:
: 看到有本书教你如何写勒索病毒
: 书还没出版 所以我去找了开源的勒索病毒来研究
: 程式内容是很简单的加解密程式
: 只是金钥是存在远端伺服器
: 想问一下防毒软体是怎麽判断这是勒索病毒的呢?
: 因为原始码刚载下来 防毒就侦测到exe档是勒索病毒了
: 正常的加解密程式应该不会被判断为病毒吧
: 还是我下载的这支程式已经被建档了呢
底下有推文已经大概讲了是pattern和behavior
我这里讲更详细点
首先各家防毒软体都有自己的样本中心,或是利用全球性的Virustotal
针对已经出现过且确认是恶意程式的挡案
都可以靠在pattern添加signature来阻挡
behavior方面则是判断这挡案有无可疑的行为
例如针对档案做频繁的加密动作
这种一般人几乎不会去做的事就会认为是勒索病毒了
如果这档案是全新,从没出现过的档案 (世界首发?)
有的防毒软体会从档案本身的各种特徵来判断是否有恶意程式的可能
至於是否会误判 就要看各家防毒软体的功力了
--
贫血软派罗杰君
http://roger6.blogspot.tw
热血系列粉丝团
http://www.facebook.com/KunioGame
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.120.24.158
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1500436768.A.B3D.html
1F:推 evansliu: 补推愿意认真回文 07/25 01:48