locked勒索病毒流程记录

主要介绍其各个模块之间运行流程,不做细节上分析。

模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread

模块 2,带有混淆的hta脚本通过mshta.exe执行

模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件

大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。

3.1 相关git链接 https://github.com/BeichenDream/BadPotato

3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file

相关推荐
2601_962364975 分钟前
Windows Hello VS 传统密码:身份认证安全层级全面对比分析
windows·安全·电脑
Imagine Miracle5 小时前
【WSL】让WSL2后台持久运行不自动关闭的解决方案
linux·windows·wsl
啦啦啦~~~2225 小时前
经典小游X,免费刺激,可离线使用!
windows·游戏·开源软件
月走乂山6 小时前
Windows提示调制解调器报错、同交换机其他电脑正常、远程能连但浏览器打不开——本机DNS配置问题排查
windows·dns·故障排查·网络故障·网络诊断
衔烛之龙18 小时前
Windows x64 构建 liboqs-java教程
java·windows·python
阿豪只会阿巴11 小时前
两小时快速入门 FastAPI--第二回
windows·python·fastapi
印度神油91 天前
Windows Python 打包实战:Nuitka 环境踩坑总结与 CI 自动化构建全指南
windows·python·ci/cd
2601_963771371 天前
Hardening Enterprise WordPress Sites Against REST API Leaks and Bad Headers
前端·windows·word·php
不要小看我们之间的羁绊啊1 天前
【windows】cc + cc switch + headroom
windows
找死的豆腐1 天前
基于.NET的Windows窗体编程之WinForms图像控件
windows·.net