楼主:
andrew954 (andrew954)
2017-05-14 00:31:58不懂...
为什么虚拟机和实体机对不存在的网址表现上会不一样?
虚拟机随便连到不存在的网址不是一样会显示错误吗?
有没有高手可以详细讲解一下当中的原理?
※ 引述《tallgeese05 (呆呆)》之铭言:
: 刚刚看到的新闻
: 有人无意间发现了停止这个病毒的方式
: 不过小弟我不是资安或是资讯人员
: 所以还请各位版上的高手们帮忙鉴定一下真伪
: 以下是原文在“theguardian”的连结
: 文章标题是
: 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack
: 然后是用google产生的短网址
: goo.gl/mAQfMj
: 希望对大家有帮助
: 这是发现者的twitter
: https://twitter.com/MalwareTechBlog
不对喔 它的判断方式是 网域不存在时继续执行、传播当今天网域存在了 程式走不下去了 自然就不执行 不传播比如网域是墙壁 程式丢球到墙上 当墙壁存在 球弹回来
所以作者更改一下要确认的网域就又可以继续感染没更新的电脑了,这则新闻一直报只会误导民众
程式接到球与在虚拟机中没有墙壁球不会弹回来不同程式就傻住了 故不会继续执行 大概是这个意思
作者:
rand (time(NULL))
2017-05-14 00:38:00不过他为什么要设这个机制阿 让他一直传就好啦
作者: ofy (殴飞) 2017-05-14 00:46:00
这只病毒跟疾风一样,中奖者会帮忙传播,所以加上煞车锁(网域)换新变种的时候,才可以把旧版本的传播功能锁住
作者:
rand (time(NULL))
2017-05-14 00:47:00所以是作者在测试时怕中奖加的?不过测不是都在虚拟机里侧吗为什么换新变种要把旧的锁住啊
作者:
trywish (一一二)
2017-05-14 00:50:00其实这个机制一直觉得怪怪的,抓到=停止,但是本来就没有
作者:
mayuyu ((・ω・)ノ)
2017-05-14 00:50:00有些分析病毒的虚拟环境/虚拟机/沙箱会拦截连外的域名解析然后一律回报沙箱自身的IP
作者:
mayuyu ((・ω・)ノ)
2017-05-14 00:51:00所以当查询一个不存在的域名时竟然可以得到IP位址有很大的可能程式本身正运行在一个沙箱里既然是运行在沙箱里那么再做进一步的行为也是白费功夫为了避免被继续分析 所以恶意程式干脆自杀退出运行这个手段常见于侦测自己是否在某些沙箱中运行
作者:
trywish (一一二)
2017-05-14 00:51:00不然怎套用情境好像都不太合理。
作者:
rand (time(NULL))
2017-05-14 00:54:00感谢mayuyu大大的讲解
作者:
bitcch (必可取)
2017-05-14 01:46:00如果是用来做沙箱检测 为何不用随机生成长字串不是更好这样也不会说现实真的被注册后就无法执行了
作者:
mayuyu ((・ω・)ノ)
2017-05-14 01:51:00对啊 应该是要随机生成字串 譬如说随机生成五个域名然后测试这五个随机的域名 检查是否都返回一样的IP只是作者没这样写 可能懒 反正最后终究是要被分析的写这个只是拖延一下时间而已 不料被反利用了
作者:
gowaa (囧mmmmmmmmmmmz)
2017-05-14 01:57:00看来下个变种就会是这个了
作者: lht2 (LHT) 2017-05-14 08:31:00
这样子一般PC也弄个输入任何域名 也会回ip的DNS不就好了?像是OpenDNS好像会这样..
作者:
sa12e3 2017-05-14 20:55:00