11、勒索软件活动的法医调查：NoCrypt评估与分析

勒索软件活动的法医调查：NoCrypt评估与分析

1. 评估方法

1.1 测试全局API钩子

为了确定NoCrypt DLL文件是否钩住了所有进程，对全局API钩子进行了测试。成功注入进程的通知会输出到DebugView，这有助于监控钩子过程。当前进程被钩住，并且对ExitProcess和GetDriveTypeA函数进行了监控。DebugView还用于确认新进程也被钩住。当一个进程终止时，ExitProcess钩子会被执行，DebugView的输出会记录该进程已结束，并且钩子被释放。

1.2 检测已知样本哈希

NoCrypt包含一个由706个已知勒索软件样本哈希组成的黑名单。对这些样本中的每一个，都从使用VirusTotal的60家防病毒（AV）供应商那里检查了检测率。NoCrypt能够检测这些样本，并识别它们所属的家族。以往的研究表明，仅基于签名的检测不足以检测勒索软件活动。

测试NoCrypt以确认对已知勒索软件哈希的检测，每次检测到都会向用户发出警告。除了识别勒索软件变体，如果存在解密器链接，也会提供给用户。当发现一个样本是恶意的时，该进程会立即终止，并向用户发出警告。

1.3 通过查询VirusTotal检测样本哈希

当每个进程被钩住时，NoCrypt会检查白名单或黑名单中是否有匹配项，如果仍然未知，则将哈希传输到VirusTotal。进行了测试以确认NoCrypt在查询VirusTotal时的性能。使用不在黑名单中的已知恶意文件和已知受信任的应用程序进行测试，以确认NoCrypt不会影响合法程序的运行。监控任务管理器以确保样本正在运行。

将NoCrypt D