打造一款自己的勒索软件预警系统

对付应用大年夜量缓存的操作系统,仅在缓存充分刷新时才会进行检测

近来打单软件对照火,一波接一波,小我感觉打单软件最大年夜的难点如下:

1. 不写启动项

2. 不进行收集通信

3. 只是编辑文件

在一些防护软件看来它是正常的,怎么判断是正常软件对文档进行编辑照样打单软件是一个大年夜问题这里我有一个思路,那便是诱骗打单软件

一、办理思路

自己天生一个文件夹,这个文件夹肯定越靠前越好,(比如你可以用一个空盘,改动盘符为A,建立一个文件夹为AAA,这样越早预警,你保存的文件越多)再放入一些常用的文档款式,doc,txt,docx,pdf等,用软件监视这个目录,假如这个目录里面的文件发生变更,那肯定碰到打单软件了,那么我们怎么找到打单软件并且掏出加密的key?我采纳的是进程pid比较软件运行开始会备份一次pid,我们只要把二个进程进行比较,那么打单软件肯定在里面,就整个冻结进程,等待专业职员掏出key

现在开始编程写代码,我采纳ring3层处置惩罚,由于系统版本太多了,xp,vista, win7,win10 以及32位,64位,系统太多,假如用驱动忙不过来,并且兼容性照样一个问题

二、开始备份原始进程pid

当软件一运行起来,就开始备份系统当前的pid,在OnInitDialog函数中:

TraverseProcesses函数中开始备份当前系统的所有pid,TraverseProcesses函数第二个参数假如位FALSE表示记录所有进程pid,假如为TRUE表示对照进程pid是否同等:

三、设置监视的文件夹

简单画一个MFC的对话框,姑息着用

我用到微软的api:FindFirstChangeNotification,用微软公开的api,可以包管windows平台都可以用

一旦监视的文件夹发生了变更,详细监视前提如下:

FILE_NOTIFY_CHANGE_SECURITY //监视的目录或子树中的任何安然描述符变动都邑导致变动看护等待操作返回

FILE_NOTIFY_CHANGE_CREATION //对监视的目录或子树中的文件的创建光阴的任何变动都邑导致变动看护等待操作返回

FILE_NOTIFY_CHANGE_LAST_ACCESS //对监视目录或子树中文件的上次造访光阴的任何变动都邑导致变动看护等待操作返回

FILE_NOTIFY_CHANGE_LAST_WRITE //对监视的目录或子树中的文件的上次写入光阴的任何变动都邑导致变动看护等待操作返回 仅当文件写入磁盘时,操作系统才会检测到上次写入光阴的变动

FILE_NOTIFY_CHANGE_SIZE //监视目录或子树中的任何文件大年夜小变动都邑导致变动看护等待操作返回 仅当文件写入磁盘时,操作系统才会检测文件大年夜小的变动 对付应用大年夜量缓存的操作系统,仅在缓存充分刷新时才会进行检测

FILE_NOTIFY_CHANGE_ATTRIBUTES//监视目录或子树中的任何属性变动都邑导致变动看护等待操作返回

FILE_NOTIFY_CHANGE_DIR_NAME //监视的目录或子树中的任何目录名变动都邑导致变动看护等待操作返回 变动包括创建或删除目录

FILE_NOTIFY_CHANGE_FILE_NAME //监视目录或子树中的任何文件名变动都邑导致变动看护等待操作返回 变动包括重命名,创建或删除文件名

用WaitForSingleObject设置一个等待状态,当发生了如上行径,就阐明发清楚明了打单病毒,实今世码如下:

四、挂起相关进程

当监视的文件夹里文件发生变更,我们就遍历当前的进程和之前法度榜样启动时刻的进程列表中的pid做一个比较,假如不在启动的进程列表中,我们就要给他挂起来,防止病毒再加密其他紧张的文档宁肯错杀100,不能放走一人,这样就能保住打单软件肯定在挂起的进程之中,实今世码如下:

五、开始测试

我用本日大年夜家都在阐发的打单软件进行测试:

我监视了一下 ,运行打单软件,用PCHunter查看了一下,进程确凿是挂在状态的

打单软件被进程挂起了,等待着安然职员的阐发吧,虽然不能百分百成功,最少增添了概率吧,余下便是存亡有命,富贵在天了……

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包