《表4 操作系统及软件的MRU文件保存位置》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种基于诱饵文件的勒索软件及时检测方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

通过对2.1节所示的优先遍历和特殊文件夹遍历类型的勒索软件家族进行分析发现，部分样本会查询操作系统或软件保存的用户最近访问过（Most-Recently-Used，MRU）的文件，并优先加密MRU文件以及其实际所在的文件夹，操作系统及部分软件的MRU文件保存目录如表4所示。由此可见仅依靠静态部署难以及时检测到此类勒索软件。又因为用户的MRU文件会随用户的文件访问行为而改变，需要部署诱饵文件的文件夹时刻会发生变化，所以无法通过静态方式来进行部署。因此本文提出诱饵文件的动态部署方法，实时监控操作系统或软件的MRU保存目录，跟踪MRU文件变化，进而动态地在MRU文件所在的实际文件夹中部署或删除诱饵文件。若检测到MRU保存目录中增加了新文件，且该文件所在文件夹内还未部署诱饵文件，则需要进行相应部署；如果检测到MRU目录中有文件删除（即该文件已不再是MRU文件），且其所在文件夹中不存在其他MRU文件，则需要将诱饵文件从该文件夹中移除。通过动态部署，能够保证用户当前的MRU文件所在的文件夹一定包含诱饵文件，可以有效检测针对MRU文件的勒索软件，弥补静态部署的不足。