※ 引述《vi000246 (Vi)》之銘言:
: 看到有本書教你如何寫勒索病毒
: 書還沒出版 所以我去找了開源的勒索病毒來研究
: 程式內容是很簡單的加解密程式
: 只是金鑰是存在遠端伺服器
: 想問一下防毒軟體是怎麼判斷這是勒索病毒的呢?
: 因為原始碼剛載下來 防毒就偵測到exe檔是勒索病毒了
: 正常的加解密程式應該不會被判斷為病毒吧
: 還是我下載的這支程式已經被建檔了呢
底下有推文已經大概講了是pattern和behavior
我這裡講更詳細點
首先各家防毒軟體都有自己的樣本中心,或是利用全球性的Virustotal
針對已經出現過且確認是惡意程式的擋案
都可以靠在pattern添加signature來阻擋
behavior方面則是判斷這擋案有無可疑的行為
例如針對檔案做頻繁的加密動作
這種一般人幾乎不會去做的事就會認為是勒索病毒了
如果這檔案是全新,從沒出現過的檔案 (世界首發?)
有的防毒軟體會從檔案本身的各種特徵來判斷是否有惡意程式的可能
至於是否會誤判 就要看各家防毒軟體的功力了