《表2 3种勒索软件文件遍历模式》
勒索软件在加密阶段首先会列举用户系统中的文件,该文件满足特定文件类型才对其进行加密。加密前工作主要包括文件遍历和文件类型过滤两部分。为了得到勒索软件在文件遍历时的遍历顺序,本文使用插桩工具PIN对勒索软件样本进行插桩分析,插桩点为Windows系统中与文件遍历相关的系统调用函数Find First File和Find Next File。当勒索软件样本调用Find First File和Find Next File进行文件遍历操作时,PIN能通过系统调用中的路径参数监控到勒索软件当前遍历的文件路径并进行记录。这样,当样本运行结束后即可得到其在文件遍历过程中完整的遍历顺序。然后对所有样本遍历的结果进行汇总分类,并对每一类遍历类型对应的文件遍历序列进行合并及去重,并按访问顺序排序,可得该类型勒索软件理论上最先访问的文件夹。通过实验分析,我们认为勒索软件的文件遍历模式主要有3种,相关描述及其对应的最先访问文件夹如表2所示(〈Username〉表示操作系统中每个用户的用户名)。
图表编号 | XD00226595600 严禁用于非法目的 |
---|---|
绘制时间 | 2020.10.24 |
作者 | 杨铮、傅建明、罗陈可、黄坚伟 |
绘制单位 | 空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院 |
更多格式 | 高清、无水印(增值服务) |