Posso agganciare il processo "vssadmin.exe delete"?

2

Sto studiando e elencando la famiglia ransomware. (come CryptoWall, TorrentLocker, CTB-Locker, .etc)

Quando leggo le caratteristiche di questa famiglia, eseguono vssadmin.exe per eliminare le copie shadow del PC della vittima in modo che la vittima non possa recuperare.

Quindi è possibile? Se riesco ad agganciare vssadmin, il processo vssadmin è sospeso fino all'autenticazione aggiuntiva (come il riconoscimento del volto nella cam del portatile).

In altre parole, il ransomware non può cancellare la copia shadow. Quindi, se gli utenti vengono attaccati dal ransomware, l'utente può recuperare alcuni file (anche se, da una certa data nella copia shadow ai dati correnti, vengono persi)

Grazie

    
posta Hwan 14.11.2016 - 07:28
fonte

1 risposta

1

Sì, ma non dovresti anche agganciare wmic shadowcopy delete e altri modi per farlo?

    
risposta data 27.11.2016 - 02:06
fonte

Leggi altre domande sui tag