勒索病毒雖已非新型態惡意攻擊，但目的同為加密檔案進而勒索受害人的WannaCry卻利用微軟作業系統既有但未被公開的漏洞造成全球相當慘重的災情，受害者為了救回被加密的重要檔案而向駭客支付贖金，執法人員卻因比特幣高度隱密的特性而無法追查攻擊者，使得受害者求償無門。有別以往勒索軟體攻擊方式，WannaCry可自動攻擊區域網路中擁有相同弱點的主機，使得全球受害電腦數量短短幾天內暴增，直到全球多數電腦完成更新或關閉特定網路服務後，災情才得以趨緩。然而，變種WannaCry(如Petya)或新型態勒索軟體卻又相繼出現，使得偵測惡意行為特徵成為解決不斷變化的勒索病毒之重要有效途徑。有別於一般軟體逆向工程分析方式，本文藉由建構實體測試環境並實際運作WannaCry，取得並分析執行前後系統差異及揮發性資料中所留存的相關數位證據，從數位鑑識角度瞭解WannaCry 於主機系統底層之行為特徵，可作為偵測同類型惡意攻擊指標。