引用:
作者: ppp0600
XP沒有變更,不用更新對吧  |
是的~
=====兩個字太少,介紹一下試驗方式====
其實自己也沒有勇氣去故意找 勒索病毒 試驗
而試驗方式如下~
c:\監視文字.txt
用「記事本」編輯,一存檔就會被偵測到,同時彈出視窗及凍結notepad.exe
P.S.當然前提是 notepad.exe不在白名單內
監視文字.jpg
刪除之,因為檔案不存在隨即觸發軟體
此時有三層機制一一判斷得到最後可疑程序
先分析事後(執行 即刻攔截 後)多了哪些程序
並以白名單過濾一次,如有符合即輸出名單
如沒有符合條件
列出最近N秒才開始執行(存在)的程序
如果全部都通過
最後只好把目前系統內所有的程序都列出 供 使用者自行判斷
P.S. 原則上真有病毒作祟,是不大可能走上最後階段
這裡是故意刪除,所以就會走到最後階段 (除非不把 Explorer.EXE列為白名單)
追加監視 對象
同上,除了刪除方式也用更名搬移等方式測試
接著是
用批次檔模擬病毒作祟一內容如下
======
del 監視文字.jpg
@rem ***延遲 1秒***
ping 127.0.0.1 -n 2 -l 1000 -w 500 > nul
@rem 以下適用Windows XP以上
@rem @CHOICE /C YN /N /T 1 /D y > nul
del install.rar
======
此時軟體以 0.8秒間隔監視
一經執行批次檔只能執行到 ping 127.0.0.1 -n 1 -w 1000 > nul
0.8秒快於 延遲1秒
所以沒執行到 del install.rar
試驗成功
再來是 勾選預警監視模式
對 追加監視對象 用 winrar作右鍵壓縮方式
隨即被監測到即凍結 winrar
試驗成功
最後是
黑名單試驗
針對黑名單內的檔名 執行之
N秒後即觸發軟體,凍結與彈出「不可運行清單」視窗供使用者判讀