该论文研究了基于输入/输出（I/O）行为的勒索软件检测技术的局限性。作者首先指出，现有检测技术通常假设勒索软件与良性程序在行为上存在显著差异，并通过监控用户空间的I/O行为应用自定义启发式规则进行识别。然而，通过对良性程序和勒索软件的实际行为进行对比分析，发现两者之间的行为界限模糊，勒索软件可以在遵循良性程序行为模式的情况下完成其加密目标。为了验证这一发现，作者提出了一种名为Animagus的模仿型勒索软件攻击方法。Animagus首先从良性程序中学习行为模式，然后生成并编排子进程，以与良性程序相同的行为执行加密任务。作者评估了Animagus对六种最先进的勒索软件检测技术的有效性，结果表明Animagus能够成功规避这些防御。文章还深入分析了现有检测技术失效的原因，以及Animagus与现有勒索软件样本的差异。最后，讨论了潜在的应对措施以及检测工具可以从这项工作中获得的益处。该研究对安全社区理解勒索软件检测的边界和挑战具有重要意义。