一開始先跟大家提到一個在XP時代有名的隨身碟病毒KAVO,
當時讓隨身碟免疫的方法就是在隨身碟根目錄下建立autorun.inf目錄,
然候應該很多人還有印象,再下一層有一個無法讀取及刪除的目錄123.
為什麼要提到這個,因為不論是使用者帳號限制也好,檔案設唯讀權限也好,
都是讓綁架軟體無法覆寫檔案的方式來保護,
而在這個123.的資料夾下的檔案,有點不一樣,
於是就有了這次的實驗。
注:要跟著下面實作的人,一點基礎需要。
***重要*** 第一步需在XP或XPE的環境下於C或D槽直接建立123.的資料夾
http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\
資料夾名稱有限制必須6個半型字元以下,
http://i.imgur.com/tccQuLM.png
於是就得到看起來名稱為123.的資料夾。
http://i.imgur.com/ks8LlNn.png
無論在XP或WIN7以上環境直接雙擊左鍵開啟都會有同樣的提示,
並且無法直接讀取及刪除。
http://i.imgur.com/9l3Pfrv.png
http://i.imgur.com/0cOPmb8.png
本篇重點:
再來這個應該就很少人知道了!這個資料夾並非完全無法存取!
它其實如同一般資料夾可讀取可覆寫,
只是!!!無法使用一般路徑來作讀寫的動作!!!!
前面提到限制6個半型字元就是因為在這邊要用短檔名的方式去開啟,
超過6個半型字元好像就無法正常開啟了。
因為方便,這裡我使用寫入記事本存.bat的方式用於直接雙擊執行開啟,
命令也可以直接輸入
C:\>start C:\123~1
便可發現此資料夾被開啟了。
題外一下,這指令是在WIN7後才適用的,
在XP下我記得直接在路徑欄打上C:\123..就進去了,
升到WIN7時打不開差點崩潰,好久才在不知哪的外國論壇看到這個方法,
一直到現在WIN10依然可用,當時我覺的這真的是超適合拿來裝秘密,
內建搜尋不到,everything之類的搜尋軟體雖然看的到但不能摸,
不過現在不需要了就是...
實作的教學也就到這了,其實也不是很難,下面就看一些測試吧。
首先在一般資料夾和123.各放入相同及不同的檔案資料,
http://i.imgur.com/OafRFu6.png
1.作者良心發現的Crypt0L0cker
http://i.imgur.com/yVlD4A7.png
執行直到跳出訊息,就可以看到差別了,執行途中兩個資料夾仍然是開著的。
就可以知道在這個短檔名路徑下,綁架軟體無作用。
http://i.imgur.com/xgtKhdq.png
2.Cerber
http://i.imgur.com/TdR0YFh.png
一樣執行直到跳出訊息。
超兇連檔名也覆寫了,有趣的是會聽到播放聲音:
attention!
attention!
attention!
your documents photos databases and other important files have been encrypted.
然候重複十遍左右吧....
http://i.imgur.com/8THnX7N.png
3.最後大概會是本月 MVP CryptXXX3.0
試著換到WIN10看看。
http://i.imgur.com/LioJsRl.png
完美加密。除了123.資料夾
http://i.imgur.com/JhOLuFj.png
看最新的應該是.crypz,但我看了幾個樣本網站好像還沒有,
有善心人士抓給我玩我會很開心的。
最後就提醒一下,
保護檔案最好的方式還是離線備份,
上面的方法也不保證對以後綁架軟體有用,
因為這方法目前看起來似乎還有可用性,
所以就提供給各位了。
大概這樣。