楼主: houtiancheng
收起左侧

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

  [复制链接]
vm001
发表于 2016-12-19 11:47:33 | 显示全部楼层
houtiancheng 发表于 2016-12-19 11:29
我也是这么觉得的,这种防御方式有点低端。
不过这也算是最有效和最后一道防勒索的手段了。
我感觉这次 ...

嗯最低端,这种方式说白了不是防勒索,是防删除防写入。。如果强度高了会影响正常使用和打开,如果低了会被过。
比如用户自身操作删除文件拦截不?(用户主动删除的父进程是explorer)拦截了影响正常使用,不拦截explorer被注入怎么办,再比如docx文档,用office打开写入拦截不,同样拦截了影响正常使用,不拦截被注入的怎么办,图片的也是同理。。
其实拦截勒索不外乎几个方式,不管是多步还是单步,单步是拦截所有安全软件自身认为是不安全的文件操作,操作同时备份已经被篡改的文档,拦截后回滚,多步也是这样,一是监控文档篡改超过篡改的一定阈值开始拦截回滚,二是监控家族样本在篡改文档前的几个行为,达到标准开始包都拦截。。这里我估计除了火绒之外,很多杀软都离不开白名单来排除这个的误报。。
皇甫轩辕
发表于 2016-12-19 12:00:34 | 显示全部楼层
好长   看到头晕
houtiancheng
 楼主| 发表于 2016-12-19 12:03:39 | 显示全部楼层

不看图的话也没多长呀~
hup
发表于 2016-12-19 12:38:02 | 显示全部楼层
houtiancheng 发表于 2016-12-19 10:19
开了之后重测还是不行,帖子的费尔图已更新

能否发样本我这里测试一下
windows7爱好者
发表于 2016-12-19 12:40:28 | 显示全部楼层
楼主你测试BD之前居然不开勒锁防护,表示不能理解。。。
另外求测试EAM
lghcx
发表于 2016-12-19 13:02:41 | 显示全部楼层
楼主是大牛啊,这个测试要支持一下  期待联网后的结果
904570220
发表于 2016-12-19 13:09:44 | 显示全部楼层
lz自己写的程序,估计杀毒软件很难区分出这个软件是否是恶意软件……
ysj963
发表于 2016-12-19 13:12:37 | 显示全部楼层
ESET 10.0怎么没测?
boyving
发表于 2016-12-19 13:30:10 | 显示全部楼层
大牛牛逼,自产自销。。哈哈
DF快递
发表于 2016-12-19 13:41:27 | 显示全部楼层
BD和sep被过了,真是意外啊
小a的hips不给力啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 01:08 , Processed in 0.089076 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表