|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
|
主題工具 | 顯示模式 |
2016-08-12, 07:47 PM
|
#17 (permalink) | |
|
管理版主
 
|
引用:
=====兩個字太少,介紹一下試驗方式==== 其實自己也沒有勇氣去故意找 勒索病毒 試驗 而試驗方式如下~ c:\監視文字.txt 用「記事本」編輯,一存檔就會被偵測到,同時彈出視窗及凍結notepad.exe P.S.當然前提是 notepad.exe不在白名單內 監視文字.jpg 刪除之,因為檔案不存在隨即觸發軟體 此時有三層機制一一判斷得到最後可疑程序 先分析事後(執行 即刻攔截 後)多了哪些程序 並以白名單過濾一次,如有符合即輸出名單 如沒有符合條件 列出最近N秒才開始執行(存在)的程序 如果全部都通過 最後只好把目前系統內所有的程序都列出 供 使用者自行判斷 P.S. 原則上真有病毒作祟,是不大可能走上最後階段 這裡是故意刪除,所以就會走到最後階段 (除非不把 Explorer.EXE列為白名單) 追加監視 對象 同上,除了刪除方式也用更名搬移等方式測試 接著是用批次檔模擬病毒作祟一內容如下 ====== del 監視文字.jpg @rem ***延遲 1秒*** ping 127.0.0.1 -n 2 -l 1000 -w 500 > nul @rem 以下適用Windows XP以上 @rem @CHOICE /C YN /N /T 1 /D y > nul del install.rar ====== 此時軟體以 0.8秒間隔監視 一經執行批次檔只能執行到 ping 127.0.0.1 -n 1 -w 1000 > nul 0.8秒快於 延遲1秒 所以沒執行到 del install.rar 試驗成功 再來是 勾選預警監視模式 對 追加監視對象 用 winrar作右鍵壓縮方式 隨即被監測到即凍結 winrar 試驗成功 最後是黑名單試驗 針對黑名單內的檔名 執行之 N秒後即觸發軟體,凍結與彈出「不可運行清單」視窗供使用者判讀 此帖於 2016-09-08 03:39 PM 被 mini 編輯. |
|
|
送花文章: 2062,
|
樹形模式