12
返回列表 发新帖
楼主: dg1vg4
收起左侧

[技术原创] 瑞星防勒索程序简单实验

[复制链接]
Virus4
发表于 2017-5-19 18:48:25 | 显示全部楼层
本帖最后由 Virus4 于 2017-5-19 18:52 编辑
潘中医 发表于 2017-5-19 17:24
原帖:http://bbs.ikaka.com/showtopic-9339867.aspx
瑞星你连你们自己家的瑞星之剑都误报
如题上图:

咱们怼也怼的有点技术含量好么。
你管主动防御的规则叫误报?

可到是人家说什么你就信什么啊。
脑子是个好东西。
有其他的软件对驱动进行操作一样会有提示。

这最多就是没在规则单独对新做的程序做放行处理

tg123321
发表于 2017-5-19 18:50:54 | 显示全部楼层
我也测了一下,这个东西做的还不错
hez2010
发表于 2017-5-19 18:59:59 | 显示全部楼层
潘中医 发表于 2017-5-19 17:24
原帖:http://bbs.ikaka.com/showtopic-9339867.aspx
瑞星你连你们自己家的瑞星之剑都误报
如题上图:

这哪是误报,只是主防规则拦截加载驱动操作而已。估计是云端还没加白这个瑞星之剑
wowocock
发表于 2017-5-20 09:18:12 | 显示全部楼层
本帖最后由 wowocock 于 2017-5-20 09:21 编辑

想法还是非常不错的。基于MINIFILTER来监控诱饵文件的变化,从而早期发现异常行为,早期阻止,防止其他正常文件的修改。不过有些不足之处。
1,所有这类都基于文件过滤监控,缺点是一旦过滤被废,全盘皆输,当然木马必须要加载驱动,这个可以先忽略,先假设木马全是R3级别的,不过还是应该增加个监测机制,木马驱动可以废掉你的监控机制,但你应该能有检测自身功能是否正常的机制,及时通知用户,当然这也是现在很多杀软主防的通病,都被别人废掉了,还不自知。
2,诱饵文件的不妥
(1)不能固定特征,不能固定文件名,必须是随机的名字,否则很容易被绕过,比如流行的这个勒索病毒就有绕过某些安全软件的诱饵路径。不能固定文件内容,否则也能被检测。不能固定文件长度等等,总之不能有任何被木马能检测到的地方,要让一切看起来就是正常的木马要感染的文件 。
(2)是存放位置不妥,不能是自身程序所在位置,而应该是磁盘文件枚举的最早的地方,比如用findfirstFile枚举的时候,最好是最先被枚举到,不然可能在你诱饵文件被操作之前,其他很多文件就已经被感染了。而且应该在每个盘被枚举到最开始的地方存放诱饵文件,否则木马可能不一定从系统盘开始枚举,可能从后往前,或者从中间某个盘,开多个线程往其他盘同时处理==。
3,处理方式也不妥,目前看来在检测到有问题的进程后会去TerminateProcess,一般问题也不大,但如果有问题进程是那些被突破的0DAY的系统进程,特别现在多喜欢用漏洞来做坏事,或者通过注入到一些系统进程来做坏事的木马的时候,TerminateProcess可能会让系统挂掉,所以处理进程的时候还要多考虑一些。
BHHZDQL
发表于 2017-5-20 10:52:20 | 显示全部楼层
如果病毒只感染一定尺寸以上的文件怎么办

比如只感染1.5M的文档
以及1M以上的图片

或者主动跳过文件名比较短的文件

或者自动跳过含有特殊字符的文件

方法很多呢
wowocock
发表于 2017-5-20 12:17:36 | 显示全部楼层
BHHZDQL 发表于 2017-5-20 10:52
如果病毒只感染一定尺寸以上的文件怎么办

比如只感染1.5M的文档

所以说诱饵文件必须无规律,无特征,大小从1K到100M,内容完全随机,名字完全随机。毕竟考虑到勒索类木马,基本要全盘枚举加密,出于效率关系,也不会有太BT的验证,基本能做到以上几点,可以足矣对付99%以上的勒索木马了。
BHHZDQL
发表于 2017-5-20 12:53:51 | 显示全部楼层
wowocock 发表于 2017-5-20 12:17
所以说诱饵文件必须无规律,无特征,大小从1K到100M,内容完全随机,名字完全随机。毕竟考虑到勒索类木马 ...

以后勒索病毒会进化到这种程度嘛
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-21 03:44 , Processed in 0.063919 second(s), 11 queries , Redis On.

快速回复 返回顶部 返回列表