locked勒索病毒流程记录

主要介绍其各个模块之间运行流程,不做细节上分析。

模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread

模块 2,带有混淆的hta脚本通过mshta.exe执行

模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件

大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。

3.1 相关git链接 https://github.com/BeichenDream/BadPotato

3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file

相关推荐
mCell1 小时前
从删库到跑路?这50个Linux命令能保你职业生涯
linux·windows·macos
dualven_in_csdn1 小时前
electron 使用记录
windows
zz9602263 小时前
Windows Server存储池,虚拟磁盘在系统启动后不自动连接需要手动连接
windows
吳所畏惧9 小时前
NVM踩坑实录:配置了npm的阿里云cdn之后,下载nodejs老版本(如:12.18.4)时,报404异常,下载失败的问题解决
前端·windows·阿里云·npm·node.js·batch命令
leese2339 小时前
FreeMarker模板引擎
windows
love530love9 小时前
命令行创建 UV 环境及本地化实战演示—— 基于《Python 多版本与开发环境治理架构设计》的最佳实践
开发语言·人工智能·windows·python·conda·uv
呉師傅10 小时前
佳能iR-ADV C5560复印机如何扫描文件到电脑
运维·网络·windows·计算机外设·电脑
程序视点10 小时前
【最新专业评测】PDF Reducer专业版:85%超高压缩率的PDF压缩神器|Windows最佳PDF压缩工具推荐
windows
qyhua13 小时前
Windows 平台源码部署 Dify教程(不依赖 Docker)
人工智能·windows·python
女程序猿!!!15 小时前
网址收集总结
windows