标签:blog 准备 ati style 完全 实现 log ima .com
1. 瑞星之剑.
只能怪自己消息太过闭塞, 这工具出了两三天了, 好像瑞星还在大肆宣传其防御效果。于是好奇下载下来分析下。界面如下:
就是一个简单的EXE文件, 运行会释放一个dll和两个驱动文件.然后将驱动文件拖入IDA分析. 实现如下:
使用minifilter过滤文件io操作.IRP_MJ_CRATE,IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 当有进程试图去写入 或者重命名 瑞星事先在指定目录释放的一些陷阱文件(jpg txt doc)则就会弹窗提示发现敲诈者病毒。
也就是软件运行时会在指定的一些桌面 或者文档目录释放瑞星自己准备的文件, 当发现有进程去写入 重命名这些可疑操作时候就会提示发现敲诈者病毒.
总结:
原理就是释放陷阱文件等待病毒去操作这些文件. 但是这种防御效果甚微。即便真的发现, 系统也是有一部分文件已经感染或者加密。况且还不是所有的目录都释放陷阱文件, 所以局限性很大。比如病毒就感染特定的目录文档文件,
但是恰巧该目录下没有陷阱文件则该软件就监控不到病毒。 个人感觉 这个工具有用, 但是确实没有他们宣传的那么神, 太过局限 防御思想也落后。
2. 360 和电脑管家: 这两家的防御工具基本就是文件被删除或者被修改的时候保存一下 前一时刻的副本. 以供用户发现异常找回文件用.个人认为这种工具虽然没有发现病毒的能力 但是确实在一方面减少了用户的损失.
其实对于敲诈者病毒分防御, 完全没必要局限在病毒的操作手段, 而要跳出这个点, 在更高的纬度去思考如何防御. 时下流行的防御方式基本就是放置陷阱文件, 但是这种方式过于滞后, 太容易被破。
标签:blog 准备 ati style 完全 实现 log ima .com
原文地址:http://www.cnblogs.com/flt-sec/p/6891758.html