locked勒索病毒流程记录

主要介绍其各个模块之间运行流程,不做细节上分析。

模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread

模块 2,带有混淆的hta脚本通过mshta.exe执行

模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件

大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。

3.1 相关git链接 https://github.com/BeichenDream/BadPotato

3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file

相关推荐
hairenjing11232 小时前
使用 Mac 数据恢复从 iPhoto 图库中恢复照片
windows·stm32·嵌入式硬件·macos·word
九鼎科技-Leo4 小时前
了解 .NET 运行时与 .NET 框架:基础概念与相互关系
windows·c#·.net
九鼎科技-Leo6 小时前
什么是 ASP.NET Core?与 ASP.NET MVC 有什么区别?
windows·后端·c#·asp.net·mvc·.net
黎明晓月10 小时前
Java之字符串分割转换List
java·windows·list
九鼎科技-Leo10 小时前
在 C# 中,ICollection 和 IList 接口有什么区别?
windows·c#·.net
顾辰呀11 小时前
实现uniapp-微信小程序 搜索框+上拉加载+下拉刷新
前端·windows
Bunny Chen14 小时前
如何缩小PPT演示文稿的大小?
windows·microsoft·powerpoint
如光照14 小时前
Linux与Windows中的流量抓取工具:wireshark与tcpdump
linux·windows·测试工具·网络安全
wwc_boke14 小时前
Linux查看端口占用及Windows查看端口占用
linux·运维·windows
WangMing_X15 小时前
C# 一个工具类让winform自动根据窗体大小缩放所有控件
开发语言·windows·c#