توییت
یک پروژه آزمایشی کوچک برای ساخت یک ابزار دفاعی برای جلوگیری از حملات باج افزار به سیستم های لینوکس.
ماژول سیستم را با استفاده از ftrace فراخوانی sys_rename را قلاب میکند تا تمام فایلهای تغییر نام یافته در سیستم را نظارت کند.
باج افزار اغلب بسیاری از فایل ها را رمزگذاری می کند و نام آنها را با پسوند یکسان تغییر می دهد. NoCrypt بررسی میکند که آیا فرآیندی فایلی را با پسوند باجافزار شناختهشده تغییر نام میدهد، فرآیند را از بین میبرد و یک گزارش در بافر پیام هسته چاپ میکند (برای مشاهده آن از dmesg استفاده کنید).
NoCrypt همچنین یک بررسی رفتار کوچک دارد، اگر همان فرآیند (والد) شروع به تغییر نام بسیاری از فایل ها کند، پس از 12 فایل تغییر نام به طور پیش فرض، از بین می رود. ماژول وظیفه والد را نظارت می کند زیرا باج افزار اغلب ابزارهای خط فرمان با رشته های متعدد (ساختارهای مختلف کار) هستند.
این پروژه را به عنوان اثبات مفهومی در نظر بگیرید که می توانید به راحتی آن را برای نیازهای خود سفارشی کنید. در واقع توصیه نمی شود که آن را در مرحله تولید قرار دهید.
لینک گیت هاب :
ماژول سیستم را با استفاده از ftrace فراخوانی sys_rename را قلاب میکند تا تمام فایلهای تغییر نام یافته در سیستم را نظارت کند.
باج افزار اغلب بسیاری از فایل ها را رمزگذاری می کند و نام آنها را با پسوند یکسان تغییر می دهد. NoCrypt بررسی میکند که آیا فرآیندی فایلی را با پسوند باجافزار شناختهشده تغییر نام میدهد، فرآیند را از بین میبرد و یک گزارش در بافر پیام هسته چاپ میکند (برای مشاهده آن از dmesg استفاده کنید).
NoCrypt همچنین یک بررسی رفتار کوچک دارد، اگر همان فرآیند (والد) شروع به تغییر نام بسیاری از فایل ها کند، پس از 12 فایل تغییر نام به طور پیش فرض، از بین می رود. ماژول وظیفه والد را نظارت می کند زیرا باج افزار اغلب ابزارهای خط فرمان با رشته های متعدد (ساختارهای مختلف کار) هستند.
این پروژه را به عنوان اثبات مفهومی در نظر بگیرید که می توانید به راحتی آن را برای نیازهای خود سفارشی کنید. در واقع توصیه نمی شود که آن را در مرحله تولید قرار دهید.
لینک گیت هاب :