HIPS防勒索菜鸟想法

ysj963

我想勒索最恶心的就是直接读写文件，关键是写，我想是不是可以1.全局阻止写入文件，然后2.排除写文件的正常系统程序，3.对写文件的正常系统程序注入询问。4.假如勒索是靠调用系统程序写文件这个是否用ESET官方勒索自定义规则加进去就可以解决？
我最想知道的是正常读写文件的除了office之外的系统程序是哪些?

wolfoxqq

照这个思路系统就没法运行呢

fireherman

1.全局阻止写入文件
不可行，别的不说，当电脑启动后，系统目录就有[写/删]的动作。

2.排除写文件的正常系统程序
临时目录里生成的【随机可执行文件】你如何排除？（如系统工具：磁盘整理，就需要在临时目录生产一个可执行文件调用）开着HIPS来排除？开交互模式排除？

3.对写文件的正常系统程序注入询问
单纯一个svchost.exe就可以让你焦头烂额。

4.假如勒索是靠调用系统程序写文件这个是否用ESET官方勒索自定义规则加进去就可以解决？
【用系统程序写文件】？去样本区看看有没有这种样本。似乎没有，动作太大。
【注入系统程序写文件】？死得更快。
【磁盘底层破坏（MBR）】？ESET的HIPS有对付此种规则（FD：直接磁盘访问）。
【脚本类（联网调用）】？（ESS）防火墙交互模式。
【上来即改】？FD规则：防止备份文件/目录进行[写/删]行为。

我最想知道的是正常读写文件的除了office之外的系统程序是哪些?

使用下面的DOS命令，然后自己慢慢排除

dir x:\windows\*.exe /s /b > x:\系统可执行文件all.txt

但是……我保证你看完会崩溃。

使用简化版：

dir x:\windows\*.exe /b > x:\系统可执行文件01.txt

dir x:\windows\system32\*.exe /b > x:\系统可执行文件02.txt

dir x:\windows\syswow64\*.exe /b > x:\系统可执行文件03.txt

ysj963

fireherman 发表于 2016-12-24 20:36
1.全局阻止写入文件
不可行，别的不说，当电脑启动后，系统目录就有[写/删]的动作。

唉 。搞来搞去还是觉得干净PC模式才是最适合的，但不知道此种模式是否可以防住，ESET为什么始终不引入这种模式，学习模式只适合公用PC。

Vincent丶007

在普通用户中 ，一切影响电脑正常使用的安全解决方案都是垃圾

ysj963

Vincent丶007 发表于 2016-12-24 20:58
在普通用户中 ，一切影响电脑正常使用的安全解决方案都是垃圾

我是钉子户。智能主防 云主防都是HIPS变种，看来只能保持废系统不废资料的理念了。

linzh

所有程序，只要运行，就要读写
他好歹要能够读写自己吧，不然运行神马
这个方法并不现实

星云劫

应该要同时针对写和删进行防御。虽然直接写是很恶心，但其他的方式也要重视，勒索不一定要直接用加密内容覆写原内容，有些是直接创建原文档的勒索副本，然后删除原文档。

zzllscott

额，比LZ还菜的菜鸟想问下这个思路可行不：

目前勒索病毒的加密先后顺序是有规律的吗？如果有的话那可不可以自己命名创建一个文件以便让勒索软件最先加密该文件，然后监视该文件，一旦有程序对其进行写入则停止该程序并报告用户，这样需要排除的程序会不会少许多？

不过就算该方法可行，也只能是私人用用而已

jiangz1234

所有程序，只要运行，就要读写