文档敲诈者测试解惑第二次

vm001

第一次解释了里面的现象
http://bbs.kafan.cn/thread-1960972-1-1.html

这第二次测试为了让大家看明白如果360拦截以后文档是没有被修改的（某些环境拦截不成功这个我还是那句话，我也说不清楚）
这里只是说拦截了正常情况下

360拦截注入的情况下，我们人为的全部放过去
只拦截启动项和对文档的修改








然后看拦截以后，病毒只是在同文件夹下放了几个加密的随机后缀名文件（并非原文被加密码成功）
看原文件被360拦击以后，可以正常打开


然后看下360日志


依照这个路径去文件夹下看下
有好多被加密的文件


那么真是没拦截全吗？我们来对比一下
下图是运行样本之前原文件夹的截图，看文件数量48个文件


然后看里面有加密文件的文件夹数量和大小，69个


然后打开文件夹把那些所谓被加了密的文件删除


只留下未被加密的文件


最后看删除那些随机后缀名“加密文件”以后，文件夹大小还是48个


结论就是在360拦截情况下，文件并未被加密成功，只是我上篇帖子里说的那样病毒提前释放的加密文件（准备替换原文件用的）
而在某些系统环境行有拦截不成功的，有拦截成功的，这个环境真说不清楚了，建议找官人看下环境吧
而对于文档敲诈者的防御，拦截注入并不是关键，只是对用注入方式修改起作用而已，我们可以反过来想一下，如果样本不去注入系统进程，直接修改文档该怎么拦截？只能说国外这些病毒作者在代码免杀方面更新快，在手法方面太落后了（更新太慢），比起国内这些木马作者的手法龌蹉差着比较远..

windows7爱好者

拦截注入肯定是关键的，因为注入了才可以想干啥就干啥，直接修改文档会被主防蹂躏的，另外再说一句，win10 x64下数字国际版是真被加密了，不是创建了同名文件的错觉，因为我的数字日志只有拦截重命名，没有拦截修改，这就是系统环境问题，最近数字国内版更新了，在64位win10下已经可以拦截ex注入sv了，不错不错，有进步，你看你这测试数字防御是完美的，再次验证了系统环境的重要性 ，国际版还是一如既往的蛋疼

vm001

windows7爱好者 发表于 2016-1-31 20:52
拦截注入肯定是关键的，因为注入了才可以想干啥就干啥，直接修改文档会被主防蹂躏的

一个程序修改一下文档被主防拦截？有这个行为拦截的国内就360一家，国外的可能也屈指可数
比如暴风影音播放时候会修改他自身的图片，比如系统启动的收也会修改一些日志文档

275751198

你是做医药行业的？？

windows7爱好者

vm001 发表于 2016-1-31 20:59
一个程序修改一下文档被主防拦截？有这个行为拦截的国内就360一家，国外的可能也屈指可数
比如暴风影音 ...

可惜他不带有数字签名，那我问你，一个没有数签的陌生程序直接在你电脑里大肆加密文档，国外的主防有几家能不管，再说，CTB-locker 很早就出现了，数字也是在这之后才加入的文档图片防护，你怎么知道国外杀软的主防没有做类似的防御呢

vm001

windows7爱好者 发表于 2016-1-31 20:52
拦截注入肯定是关键的，因为注入了才可以想干啥就干啥，直接修改文档会被主防蹂躏的，另外再说一句，win10  ...

你那个也是确实没有拦截成功，国际版的防御确实有点蛋疼，不过占用比国内晓得多，我们没事谁天天碰到木马？所以我选择杀软首先是轻巧，比裸奔多份保障安慰而已

windows7爱好者

vm001 发表于 2016-1-31 21:02
你那个也是确实没有拦截成功，国际版的防御确实有点蛋疼，不过占用比国内晓得多，我们没事谁天天碰到木马 ...

环境不同，需要不一样，我父母就是裸奔，平时看个视频上个QQ啥的，哪向我们这些来下载样本作死的人

vm001

windows7爱好者 发表于 2016-1-31 21:02
可惜他不带有数字签名，那我问你，一个没有数签的陌生程序直接在你电脑里大肆加密文档，国外的主防有几家 ...

这很好测试啊，拦截注入的时候放过去，看看还能不能拦截修改文档，能---证明他有这个防御点，不能---则他没有这个防御点

windows7爱好者

vm001 发表于 2016-1-31 21:05
这很好测试啊，拦截注入的时候放过去，看看还能不能拦截修改文档，能---证明他有这个防御点，不能---则他 ...

国外的现在主防大多数都是特征行为防御，双击特定行为多半直接击杀，不像国内的单步可选性主防，没办法这么测的

pal家族

我们可以下结论
不同的拦截方式是不同的防病毒理念和根据软件受众的需求等多个条件决定的。