聊下最近出的一些wannacry勒索病毒防禦工具
阿新 • • 發佈:2017-05-23
界面 簡單 自己 info src 部分 io操作 刪除 crate
1. 瑞星之劍.
只能怪自己消息太過閉塞, 這工具出了兩三天了, 好像瑞星還在大肆宣傳其防禦效果。於是好奇下載下來分析下。界面如下:
就是一個簡單的EXE文件, 運行會釋放一個dll和兩個驅動文件.然後將驅動文件拖入IDA分析. 實現如下:
使用minifilter過濾文件io操作.IRP_MJ_CRATE,IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 當有進程試圖去寫入 或者重命名 瑞星事先在指定目錄釋放的一些陷阱文件(jpg txt doc)則就會彈窗提示發現敲詐者病毒。
也就是軟件運行時會在指定的一些桌面 或者文檔目錄釋放瑞星自己準備的文件, 當發現有進程去寫入 重命名這些可疑操作時候就會提示發現敲詐者病毒.
總結:
原理就是釋放陷阱文件等待病毒去操作這些文件. 但是這種防禦效果甚微。即便真的發現, 系統也是有一部分文件已經感染或者加密。況且還不是所有的目錄都釋放陷阱文件, 所以局限性很大。比如病毒就感染特定的目錄文檔文件,
但是恰巧該目錄下沒有陷阱文件則該軟件就監控不到病毒。 個人感覺 這個工具有用, 但是確實沒有他們宣傳的那麽神, 太過局限 防禦思想也落後。
2. 360 和電腦管家: 這兩家的防禦工具基本就是文件被刪除或者被修改的時候保存一下 前一時刻的副本. 以供用戶發現異常找回文件用.個人認為這種工具雖然沒有發現病毒的能力 但是確實在一方面減少了用戶的損失.
其實對於敲詐者病毒分防禦, 完全沒必要局限在病毒的操作手段, 而要跳出這個點, 在更高的緯度去思考如何防禦. 時下流行的防禦方式基本就是放置陷阱文件, 但是這種方式過於滯後, 太容易被破。
聊下最近出的一些wannacry勒索病毒防禦工具