|
|
|||||||
| 論壇說明 | 標記討論區已讀 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
|
|
2016-08-12, 07:47 PM
|
#2 (permalink) | |
|
管理版主
 
|
引用:
=====兩個字太少,介紹一下試驗方式==== 其實自己也沒有勇氣去故意找 勒索病毒 試驗 而試驗方式如下~ c:\監視文字.txt 用「記事本」編輯,一存檔就會被偵測到,同時彈出視窗及凍結notepad.exe P.S.當然前提是 notepad.exe不在白名單內 監視文字.jpg 刪除之,因為檔案不存在隨即觸發軟體 此時有三層機制一一判斷得到最後可疑程序 先分析事後(執行 即刻攔截 後)多了哪些程序 並以白名單過濾一次,如有符合即輸出名單 如沒有符合條件 列出最近N秒才開始執行(存在)的程序 如果全部都通過 最後只好把目前系統內所有的程序都列出 供 使用者自行判斷 P.S. 原則上真有病毒作祟,是不大可能走上最後階段 這裡是故意刪除,所以就會走到最後階段 (除非不把 Explorer.EXE列為白名單) 追加監視 對象 同上,除了刪除方式也用更名搬移等方式測試 接著是用批次檔模擬病毒作祟一內容如下 ====== del 監視文字.jpg @rem ***延遲 1秒*** ping 127.0.0.1 -n 2 -l 1000 -w 500 > nul @rem 以下適用Windows XP以上 @rem @CHOICE /C YN /N /T 1 /D y > nul del install.rar ====== 此時軟體以 0.8秒間隔監視 一經執行批次檔只能執行到 ping 127.0.0.1 -n 1 -w 1000 > nul 0.8秒快於 延遲1秒 所以沒執行到 del install.rar 試驗成功 再來是 勾選預警監視模式 對 追加監視對象 用 winrar作右鍵壓縮方式 隨即被監測到即凍結 winrar 試驗成功 最後是黑名單試驗 針對黑名單內的檔名 執行之 N秒後即觸發軟體,凍結與彈出「不可運行清單」視窗供使用者判讀 此帖於 2016-09-08 03:39 PM 被 mini 編輯. |
|
|
送花文章: 2062,
|
|
2016-08-16, 09:46 PM
|
#6 (permalink) | |
|
管理版主
|
引用:
請問是先執行 解安裝 後才安裝的嗎? (寫入錯誤大概與檔案使用中有關,麻煩一點可以嘗試: 重開機後 隨即解安裝,並接著再重開機 如此可克服檔案鎖住的情況) 其實針對 "即刻攔截" 只要安裝過一次 以後要更新時 因為沒加入什麼新元件檔(比如 .dll、.ocx) 只要複制新版的 NOKidnap.exe 蓋過舊版即可 (當然必須先確認軟體關閉後) 也因為使用的元件檔屬於很一般的 (也就是非常可能別的軟體也在使用) 甚至就算還未做過第一次安裝 可以嘗試以直接執行 NOKidnap.exe 方式運行 而跳過 setup.exe 此帖於 2016-08-16 10:01 PM 被 mini 編輯. |
|
|
|
送花文章: 2062,
|
|
向 mini 送花的會員:
|
|
2016-09-08, 03:45 PM
|
#7 (permalink) |
|
管理版主
|
改版:
v1.6.0 .修正 .NET的安裝程式 (到了1.6後才去了解 VS.NET的安裝製作...^v^") .改良 效能 .加入 效能測試鈕,可以根據測試結果自動調節適當時間條 .改良 監測方式(for dot Net),因為.NET在開檔實作上效能比XP版差(經測時大概落後8x) .加入 追加檔可使用MD5比對選項 (核對 指定檔案沒被改寫過) .加入 追加檔改監視整個資料夾變化之核取選項 (監視狀態不穩,預留:後續版本改成 監視磁碟分割區 功能) .XP版 使用多執行序實作,但VB6適應不良,所以使用者「試執行」後有誤的話「請勿安裝」 P.S.「試執行」是指 直接點 \Install\XP\NOKidnap.exe,如無法在系統列顯示出圖示就是「有誤」 同時改版 XP 及 .NET 有點累... 在XP版的執行序問題未解之前 可能停止 XP版開發 -敬請見諒- |
|
|
送花文章: 2062,
|
混合模式
