码迷,mamicode.com
首页 > 其他好文 > 详细

聊下最近出的一些wannacry勒索病毒防御工具

时间:2017-05-22 23:15:19      阅读:300      评论:0      收藏:0      [点我收藏+]

标签:blog   准备   ati   style   完全   实现   log   ima   .com   

1. 瑞星之剑.

只能怪自己消息太过闭塞, 这工具出了两三天了, 好像瑞星还在大肆宣传其防御效果。于是好奇下载下来分析下。界面如下:

技术分享

就是一个简单的EXE文件, 运行会释放一个dll和两个驱动文件.然后将驱动文件拖入IDA分析. 实现如下:

使用minifilter过滤文件io操作.IRP_MJ_CRATE,IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 当有进程试图去写入 或者重命名 瑞星事先在指定目录释放的一些陷阱文件(jpg txt doc)则就会弹窗提示发现敲诈者病毒。

也就是软件运行时会在指定的一些桌面 或者文档目录释放瑞星自己准备的文件, 当发现有进程去写入 重命名这些可疑操作时候就会提示发现敲诈者病毒.

总结:

原理就是释放陷阱文件等待病毒去操作这些文件. 但是这种防御效果甚微。即便真的发现, 系统也是有一部分文件已经感染或者加密。况且还不是所有的目录都释放陷阱文件, 所以局限性很大。比如病毒就感染特定的目录文档文件,

但是恰巧该目录下没有陷阱文件则该软件就监控不到病毒。 个人感觉 这个工具有用, 但是确实没有他们宣传的那么神, 太过局限 防御思想也落后。

 

2. 360 和电脑管家: 这两家的防御工具基本就是文件被删除或者被修改的时候保存一下 前一时刻的副本. 以供用户发现异常找回文件用.个人认为这种工具虽然没有发现病毒的能力 但是确实在一方面减少了用户的损失.

其实对于敲诈者病毒分防御, 完全没必要局限在病毒的操作手段, 而要跳出这个点, 在更高的纬度去思考如何防御. 时下流行的防御方式基本就是放置陷阱文件, 但是这种方式过于滞后, 太容易被破。

 

聊下最近出的一些wannacry勒索病毒防御工具

标签:blog   准备   ati   style   完全   实现   log   ima   .com   

原文地址:http://www.cnblogs.com/flt-sec/p/6891758.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!