|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
|
主題工具 | 顯示模式 |
2018-07-12, 08:00 PM
|
#6 (permalink) |
|
管理版主
 
|
這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx 裡面一段文字提到 =========== 在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。 =========== 所以看來是個老技倆新變種 是沒錯的... 只不過魔王這起事件 使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件) 讓人帶著 去了指定網址再說的 想法 一步步的誘拐付錢 +++++++++++++++ 而該文提到 Svchost.exe 程序崁入式技巧 讓你錯估 "Svchost.exe是微軟程序,而不知中毒" 所以前文提到 "看看是否有不明程序讓CPU標高" 就沒這麼單純了 還要看飆高的 Svchost.exe程序 其後綴參數如何... 如是這樣... 以mini曾經的經驗 .要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time,如使用SSD會有沒法即時得知的後果...) .加上 程序Start Time是否為最近時刻 就能判斷出來... 以前曾經寫過的 NOKidnap(反勒索-即刻攔截) 用了三種防堵技巧,其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】 只是後來用 64bit Win 10 後與變種無緣就沒再維護了 此帖於 2018-07-12 08:20 PM 被 mini 編輯. |
|
送花文章: 2055,
|
樹形模式