|
|
最近在分析一个勒索病毒,本地文件被这个勒索病毒进程加密,无可厚非,共享文件在本地也被加密,也算正常。
但是我在发起共享文件的计算机上,用processmonitor监控的时候发现,在这个电脑上,其实已经和病毒没什么关系了,这边的修改system进程把文件的操作在本地重现了一遍而已。
计算机A发起共享,计算机B感染病毒。然后A的共享文件也被加密了,但是这边的加密方式其实就是system重现了勒索病毒在B上的加密操作。
我用文件系统过滤,想拦截文件修改的操作,但是我发现完全没有拦住,或者说有时候生效,有时候无效,感觉整个人都不好了...
生效的时候,可以拦住部分文件修改
不生效的时候,做拦截和不做没啥区别...
其实网上也有类似讨论,但是有效信息太少。而且我的问题也比较蒙蔽,希望大神们看到我的帖子能帮忙回复~~~跪谢大婶们~~~ |
|
发表于 2018-1-9 10:56:42
发表于 2018-1-12 09:45:22