瑞星防勒索程序简单实验

Virus4

潘中医 发表于 2017-5-19 17:24
原帖：http://bbs.ikaka.com/showtopic-9339867.aspx
瑞星你连你们自己家的瑞星之剑都误报
如题上图：

咱们怼也怼的有点技术含量好么。
你管主动防御的规则叫误报？

可到是人家说什么你就信什么啊。
脑子是个好东西。
有其他的软件对驱动进行操作一样会有提示。

这最多就是没在规则单独对新做的程序做放行处理

tg123321

我也测了一下，这个东西做的还不错

hez2010

潘中医 发表于 2017-5-19 17:24
原帖：http://bbs.ikaka.com/showtopic-9339867.aspx
瑞星你连你们自己家的瑞星之剑都误报
如题上图：

这哪是误报，只是主防规则拦截加载驱动操作而已。估计是云端还没加白这个瑞星之剑

wowocock

想法还是非常不错的。基于MINIFILTER来监控诱饵文件的变化，从而早期发现异常行为，早期阻止，防止其他正常文件的修改。不过有些不足之处。
1，所有这类都基于文件过滤监控，缺点是一旦过滤被废，全盘皆输，当然木马必须要加载驱动，这个可以先忽略，先假设木马全是R3级别的，不过还是应该增加个监测机制，木马驱动可以废掉你的监控机制，但你应该能有检测自身功能是否正常的机制，及时通知用户，当然这也是现在很多杀软主防的通病，都被别人废掉了，还不自知。
2，诱饵文件的不妥
（1）不能固定特征，不能固定文件名，必须是随机的名字，否则很容易被绕过，比如流行的这个勒索病毒就有绕过某些安全软件的诱饵路径。不能固定文件内容，否则也能被检测。不能固定文件长度等等，总之不能有任何被木马能检测到的地方，要让一切看起来就是正常的木马要感染的文件 。
（2）是存放位置不妥，不能是自身程序所在位置，而应该是磁盘文件枚举的最早的地方，比如用findfirstFile枚举的时候，最好是最先被枚举到，不然可能在你诱饵文件被操作之前，其他很多文件就已经被感染了。而且应该在每个盘被枚举到最开始的地方存放诱饵文件，否则木马可能不一定从系统盘开始枚举，可能从后往前，或者从中间某个盘，开多个线程往其他盘同时处理==。
3，处理方式也不妥，目前看来在检测到有问题的进程后会去TerminateProcess，一般问题也不大，但如果有问题进程是那些被突破的0DAY的系统进程，特别现在多喜欢用漏洞来做坏事，或者通过注入到一些系统进程来做坏事的木马的时候，TerminateProcess可能会让系统挂掉，所以处理进程的时候还要多考虑一些。

BHHZDQL

如果病毒只感染一定尺寸以上的文件怎么办

比如只感染1.5M的文档
以及1M以上的图片

或者主动跳过文件名比较短的文件

或者自动跳过含有特殊字符的文件

方法很多呢

wowocock

BHHZDQL 发表于 2017-5-20 10:52
如果病毒只感染一定尺寸以上的文件怎么办

比如只感染1.5M的文档

所以说诱饵文件必须无规律，无特征，大小从1K到100M,内容完全随机，名字完全随机。毕竟考虑到勒索类木马，基本要全盘枚举加密，出于效率关系，也不会有太BT的验证，基本能做到以上几点，可以足矣对付99%以上的勒索木马了。

BHHZDQL

wowocock 发表于 2017-5-20 12:17
所以说诱饵文件必须无规律，无特征，大小从1K到100M,内容完全随机，名字完全随机。毕竟考虑到勒索类木马 ...

以后勒索病毒会进化到这种程度嘛