非法分子和网络间谍们,都会将上传扫描工具作为测试他们恶意代码的手段之一。听起来有点扯淡是吧,但是在早几年这种现象确实是存在的,确切的说是在两年前。实际上,你在四处闲逛看这篇报告的同时,很多的人正忙着测试他们的代码。当我向大多数安全研究员提到这些的时候,他们的反应都是怀疑并且伴随而来一些问题,像“这些人不会自己进行反病毒测试吗?”或者“你肯定是说的那些脚本小子在锻炼自己的技术”。我确实不知道为什么这些人要使用上传扫描工具,但我100%确定他们这样做了。
在过去的时间里,我通过各种技术收集了文件以及上传的扫描数据,来通过他们上传的文件识别用户的行为类型。比起直接看文件,我更想通过描述用户上传文件的唯一hash来进行判断。当我开始做这件事的时候,这些人现在所执行的所有操作数据已经先于扫描工具返回来了,比那些通过自动化扫描非法分子的都要快。今天,我获取了更多的攻击者的活动,相信这是大众被扫描工具所蒙蔽的最后一次了。