[討論] 防毒軟體是如何識別勒索病毒的

作者vi000246 (Vi)

看板AntiVirus

標題[討論] 防毒軟體是如何識別勒索病毒的

時間Tue Jul 18 14:34:55 2017

看到有本書教你如何寫勒索病毒書還沒出版所以我去找了開源的勒索病毒來研究程式內容是很簡單的加解密程式只是金鑰是存在遠端伺服器想問一下防毒軟體是怎麼判斷這是勒索病毒的呢? 因為原始碼剛載下來防毒就偵測到exe檔是勒索病毒了正常的加解密程式應該不會被判斷為病毒吧還是我下載的這支程式已經被建檔了呢 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.218.40.109 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1500359697.A.B14.html

推 qsgjnmvb: 你都能下載了自然病毒碼早就爛大街了 07/18 15:02

→ dennisxkimo: 覺得如何感染散佈如何取得控制藏系統內運作才是功力 07/18 17:40

推 ross800127: 1. pattern 2. behavior 07/18 19:08

→ vi000246: 是啊散佈、躲防毒才是考驗功力不然勒索病毒實作很簡單 07/18 19:32

推 hms5232: 有網路防護的防毒軟體在下載的時候就會先掃描比對 07/18 19:48

→ hms5232: 不說防毒瀏覽器本身就會擋了(我知道Chrome有其他不確定 07/18 19:48

→ vi000246: 如果是exe的確很容易被無差別封殺 07/18 20:01

→ vi000246: 可是我的防毒會說這是勒索病毒這就不知怎麼辨到的了 07/18 20:02

→ vi000246: 這範例病毒的功能只有1.加解密 2.將金鑰傳到遠端伺服器 07/18 20:04

→ vi000246: 這兩種功能在一般程式都很常見 07/18 20:04

推 ross800127: 所以勒索才很難擋所以防毒才會有用. 07/18 20:50

推 SakeruMT: 行為二被攔截吧，一般用戶加密解密的軟體，犯不著大費周 07/18 23:12

→ SakeruMT: 章把金鑰傳到遠端伺服器。就算不是已知毒，他的行為也可 07/18 23:12

→ SakeruMT: 疑到足以觸發防毒攔截。 07/18 23:12

推 louis925: 所以你下載的到底是原始碼還是執行檔？執行檔卡巴有可 08/07 20:14

→ louis925: 能試跑了一下它，分析完它的行為就把它封鎖了 08/07 20:14