|
|
|
2016-08-11, 08:18 PM
|
#1 (permalink) | |
|
長老會員
 
|
引用:
 |
|
|
送花文章: 26755,
|
|
向 ppp0600 送花的會員:
|
|
2016-08-12, 07:47 PM
|
#4 (permalink) | |
|
管理版主
 
|
引用:
=====兩個字太少,介紹一下試驗方式==== 其實自己也沒有勇氣去故意找 勒索病毒 試驗 而試驗方式如下~ c:\監視文字.txt 用「記事本」編輯,一存檔就會被偵測到,同時彈出視窗及凍結notepad.exe P.S.當然前提是 notepad.exe不在白名單內 監視文字.jpg 刪除之,因為檔案不存在隨即觸發軟體 此時有三層機制一一判斷得到最後可疑程序 先分析事後(執行 即刻攔截 後)多了哪些程序 並以白名單過濾一次,如有符合即輸出名單 如沒有符合條件 列出最近N秒才開始執行(存在)的程序 如果全部都通過 最後只好把目前系統內所有的程序都列出 供 使用者自行判斷 P.S. 原則上真有病毒作祟,是不大可能走上最後階段 這裡是故意刪除,所以就會走到最後階段 (除非不把 Explorer.EXE列為白名單) 追加監視 對象 同上,除了刪除方式也用更名搬移等方式測試 接著是用批次檔模擬病毒作祟一內容如下 ====== del 監視文字.jpg @rem ***延遲 1秒*** ping 127.0.0.1 -n 2 -l 1000 -w 500 > nul @rem 以下適用Windows XP以上 @rem @CHOICE /C YN /N /T 1 /D y > nul del install.rar ====== 此時軟體以 0.8秒間隔監視 一經執行批次檔只能執行到 ping 127.0.0.1 -n 1 -w 1000 > nul 0.8秒快於 延遲1秒 所以沒執行到 del install.rar 試驗成功 再來是 勾選預警監視模式 對 追加監視對象 用 winrar作右鍵壓縮方式 隨即被監測到即凍結 winrar 試驗成功 最後是黑名單試驗 針對黑名單內的檔名 執行之 N秒後即觸發軟體,凍結與彈出「不可運行清單」視窗供使用者判讀 此帖於 2016-09-08 03:39 PM 被 mini 編輯. |
|
|
|
送花文章: 2066,
|
|
2016-09-15, 09:14 PM
|
#8 (permalink) |
|
管理版主
|
針對cerber3病毒重要改版
改版:
v1.6.3 .改良 監視方式(改建立專屬資料夾 C:\[]監視文字\ 監視之) ,因為發現有cerber3勒索病毒不會對 底層(C:\) 作嘗試,所以改以專屬資料夾運作之 看似小改版其實很重要,強調三次 一定要更新成v1.6.3、一定要更新成v1.6.3、一定要更新成v1.6.3。 ^_^" 同時 建立專屬資料夾不只能防範 也大幅增加效能(減少累贅檢查) 及更智慧的判讀 且 資料夾前加了 [] 點綴名稱可以變成第一順位,達到減少損失的作用 |
|
|
送花文章: 2066,
|
|
2016-09-16, 03:23 PM
|
#10 (permalink) | |
|
管理版主
|
引用:
http://www.2shared.com/file/bNjqVoZQ/Install_1604.html 重新包裝一次 (放棄XP使用多執行序方式) 雖然功能沒有 dot NET多 但有把 1.6.0.3改版重點加入 P.S.下次再把監視 Windows TEMP功能寫入 |
|
|
|
送花文章: 2066,
|
|
向 mini 送花的會員:
|
|
2016-09-16, 07:49 PM
|
#11 (permalink) | |
|
長老會員
|
引用:
 |
|
|
|
送花文章: 26755,
|
混合模式
