V2EX › acess 的所有回复 › 第 93 页 / 共 113 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 89 90 91 92 93 94 95 96 97 98 ... 113

❮

❯

2017-05-21 04:04:18 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty 从内存 dump 里找密钥可能的确很难，可能是知乎的答案让我产生了分析病毒这件事不难做的错觉……
不过，如果受害者中的是流行的勒索病毒，样本相似性很高，甚至大家中的都是一样的，那分析成本可能摊到每个受害者身上就不多了？

2017-05-21 04:00:26 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty
稍微搜了一下，好像又找到支持休眠的消息了:
https://superuser.com/questions/746290/what-happen-if-we-reduce-the-size-of-hiberfil-sys
看上去就算 hiberfil.sys 不够大，也只会休眠失败，而不会撑大这个文件？
果真如此的话，休眠的坏处好像仅仅剩下腹黑变态的勒索作者可能做出撕票之类针对性报复行为了吧——但受害者一方也不是完全没办法吧，安全专家会逆向病毒样本，那么说不定还有机会把病毒作者的小花招干掉？

2017-05-21 03:49:14 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty
刚刚回复得有点急……可能我说的有点缺乏逻辑。
刚刚稍微缕了一下思路:
我一开始以为休眠不会造成坏影响——反驳:hiberfil.sys 可能伸缩，然后就可能吃掉原本有希望恢复的文件。
我认为休眠可以增加获救概率——反驳:根据最初的分析，通过数据恢复途径“自救”更有价值。休眠反倒可能阻碍数据恢复。
可能安全专家们的确缺失了 CryptReleaseContext 的一些犄角旮旯的知识，也可能他们虽然知道这些知识，但害怕复杂的语言影响传播，所以最终还是选择放弃宣传内存 dump 这条路。
过了那么多天才出现搜索质数的自救方案，只能说遗憾。

2017-05-21 03:37:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@reizen 拍脑袋想一下:病毒可能会直接尝试覆盖原文件，而不是创建新文件。为啥 WanaCrypt 没这么做我就不懂了。

2017-05-21 03:31:36 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty Win8 起，因为快速启动，开了休眠的人应该挺多的。但 hiberfil.sys 如果“伸缩”了，可能的确会覆盖掉本来有希望恢复的数据。

2017-05-21 03:30:27 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@wevsty
1.我记得 hiberfil.sys 不是提前占过空间的吗，这样应该不会影响数据恢复啊……看样子我可能确实姿势水平不够。
2.我也没说一定能找回来，现在提这个看上去确实很马后炮，不过我还是觉得，想办法 dump 出内存可以提升获救的概率——就是赌一把。
3.原谅我的姿势水平不足……我只是看过主贴那篇分析文章而已，看得还不仔细，但我记得作者说过勒索作者没犯错来着……
4.我觉得除非碰到腹黑变态的勒索制造者，休眠操作可以阻止病毒继续运行传播，而且好像不会比拉电源有太多显著的坏处(不知道对不对)。

2017-05-21 00:15:55 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@SuujonH 欧洲刑警组织都在 Twitter 上转发了，这玩意已经不是技术宅限定了吧。
不过我想说的是为啥各大安全厂商不建议大家想办法 dump 内存，明明 dump 下来可以增加完全恢复概率的。

2017-05-20 23:51:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@binghe 广告而已

2017-05-20 18:42:03 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

LZ 猜测安全专家可能没想到微软的 Crypto API 居然没有清除掉内存中的质数，所以他们才没考虑 dump 内存的方法。
如果让 LZ 继续脑补，就是“阴谋论”了:如果 dump 内存的方法被广泛传播，潜在的勒索软件受害者可能未必把这条信息当回事，但勒索软件制造者倒是很可能在意这条信息，并开始思考如何应对内存 dump。所以，大家决定保持沉默，不把 dump 内存作为首选方法推广。更不用说通过休眠 dump 内存实际上是有“睡死”失败风险的……而且，病毒已经掌握机器控制权，什么都有可能发生，说不定检测到受害者想利用弱点进行破解，就直接撕票(比如删除私钥)。

2017-05-20 16:21:23 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@GNiux wanawiki 打错，应该是 wanakiwi

2017-05-20 16:17:58 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@GNiux 我说的不是这个思路。实际上，运行 360 的恢复工具 2.0 会直接干掉病毒的 tasksche.exe，然后 LZ 主帖说的工具 wanawiki 应该就不能工作了。

2017-05-20 15:57:30 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@gamexg 不过这个误删恢复的思路和本贴无关

2017-05-20 15:57:16 +08:00

回复了 acess 创建的主题 › 信息安全 › 如果发现自己中勒索了，休眠可以成为一种自救手段么？

@gamexg 就是有文件没被写 0 才有可能恢复啊。有一部分的确是被写 0 了，没救了。