《表5 勒索软件家族文件遍历类型及遍历顺序》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种基于诱饵文件的勒索软件及时检测方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

实验前，操作系统中的各个磁盘以及网络驱动器中均已部署了多个测试文件及文件夹。在对每个勒索软件样本进行插桩实验时，PIN首先会针对每个样本创建一个日志文件。每当样本调用Find First File和Find Next File进行文件遍历操作时，PIN会记录当前遍历的文件路径并按时间排序输出到日志文件中。本文还将日志文件后缀设置为随机字符串，防止其被勒索软件加密。当所有样本运行结束后，利用python对每个日志文件进行去重和去干扰操作，并归纳出3类文件遍历模式及对应的最先访问文件夹，如表2所示。本文还将日志文件根据勒索软件家族进行分类，得到每个家族的文件遍历顺序以及相应的文件遍历类型，实验结果如表5所示。