共 2 篇相关文章
这篇讲的是Petya和NotPetya这两个名字相似、利用方式也相似(均利用永恒之蓝漏洞)的勒索病毒,其内在实现到底有何关键不同。作者从五个具体的技术点切入,为读者进行了一次清晰的“法医式”对比。 两者最细微但关键的区别始于加密使用的XOR密钥:Petya用的是0x37,而NotPetya换成了0x07。随后,在病毒的核心部分Mini-Kernel中,NotPetya移除了那个标志性的红色骷髅显示模块。启动感染第二阶段的方式也不同,Petya调用NtRaiseHardError API强制重启,NotPetya则直接执行了shutdown命令。因此,在最终的表现上,Petya会显示骷髅,NotPetya则不会。它们最后展示的勒索信息文案也完全不同。 文章最后,作者也给出了一个务实的安全建议:面对此类攻击,确保拥有独立的离线数据备份,比支付赎金可靠得多。
这篇文章讲的是一个特洛伊病毒如何用视觉诡计在电脑上“隐身”的故事。作者从一个客户提交的病毒样本说起,这个样本本该修改系统hosts文件以劫持两个社交网站,但打开文件一看,却干干净净,没有任何劫持条目。 谜底在于,黑客在同一个目录下创建了一个隐藏的、真正的hosts文件。这个文件利用了一个极其刁钻的技巧:它的文件名虽然看起来也是“hosts”,但其中的字母“o”被替换成了Unicode编码中一个西里尔字母“о”。在普通视图下两者几乎一模一样,但系统读取的是包含恶意重定向规则的那个隐藏文件。 文章由此延伸,指出这并非个例。黑客还会使用Unicode控制字符(如RLO)来反转文件名,将“picgpj.exe”伪装成一张图片文件,诱使用户双击。这些手法的共同点在于,它们都利用了Unicode字符的视觉相似性来欺骗人眼,而非对抗计算机本身。 作者最终提出的观点直指核心:在精心构造的字符诡计面前,我们肉眼的观察并不可靠。这篇文章生动地揭示了攻击者如何利用编码层面的特性来突破常规防御思维,提醒我们在排查问题或鉴别文件时,需要更深入底层原理的视角。
