※ 引述《vi000246 (Vi)》之铭言:
: 看到有本书教你如何写勒索病毒
: 书还没出版 所以我去找了开源的勒索病毒来研究
: 程式内容是很简单的加解密程式
: 只是金钥是存在远端服务器
: 想问一下防毒软件是怎么判断这是勒索病毒的呢?
: 因为原始码刚载下来 防毒就侦测到exe档是勒索病毒了
: 正常的加解密程式应该不会被判断为病毒吧
: 还是我下载的这支程式已经被建档了呢
底下有推文已经大概讲了是pattern和behavior
我这里讲更详细点
首先各家防毒软件都有自己的样本中心,或是利用全球性的Virustotal
针对已经出现过且确认是恶意程式的挡案
都可以靠在pattern添加signature来阻挡
behavior方面则是判断这挡案有无可疑的行为
例如针对档案做频繁的加密动作
这种一般人几乎不会去做的事就会认为是勒索病毒了
如果这档案是全新,从没出现过的档案 (世界首发?)
有的防毒软件会从档案本身的各种特征来判断是否有恶意程式的可能
至于是否会误判 就要看各家防毒软件的功力了