《表5 勒索软件家族文件遍历类型及遍历顺序》
实验前,操作系统中的各个磁盘以及网络驱动器中均已部署了多个测试文件及文件夹。在对每个勒索软件样本进行插桩实验时,PIN首先会针对每个样本创建一个日志文件。每当样本调用Find First File和Find Next File进行文件遍历操作时,PIN会记录当前遍历的文件路径并按时间排序输出到日志文件中。本文还将日志文件后缀设置为随机字符串,防止其被勒索软件加密。当所有样本运行结束后,利用python对每个日志文件进行去重和去干扰操作,并归纳出3类文件遍历模式及对应的最先访问文件夹,如表2所示。本文还将日志文件根据勒索软件家族进行分类,得到每个家族的文件遍历顺序以及相应的文件遍历类型,实验结果如表5所示。
图表编号 | XD00226595900 严禁用于非法目的 |
---|---|
绘制时间 | 2020.10.24 |
作者 | 杨铮、傅建明、罗陈可、黄坚伟 |
绘制单位 | 空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院、空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院 |
更多格式 | 高清、无水印(增值服务) |