locked勒索病毒流程记录

主要介绍其各个模块之间运行流程,不做细节上分析。

模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread

模块 2,带有混淆的hta脚本通过mshta.exe执行

模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件

大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。

3.1 相关git链接 https://github.com/BeichenDream/BadPotato

3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file

相关推荐
csdn_aspnet1 小时前
在 Windows 机器上安装和配置 RabbitMQ
windows·rabbitmq
csdn_aspnet2 小时前
Windows Server 上的 RabbitMQ 安装和配置
windows·rabbitmq
热爱生活的猴子6 小时前
Poetry 在 Linux 和 Windows 系统中的安装步骤
linux·运维·windows
R-sz9 小时前
java流式计算 获取全量树形数据,非懒加载树,递归找儿
java·开发语言·windows
柳鲲鹏16 小时前
WINDOWS最快布署WEB服务器:apache2
服务器·前端·windows
专注VB编程开发20年19 小时前
开机自动后台运行,在Windows服务中托管ASP.NET Core
windows·后端·asp.net
李洋-蛟龙腾飞公司21 小时前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
码农垦荒笔记21 小时前
Git 安装闭坑指南(仅 Windows 环境)
windows·git
阿幸软件杂货间1 天前
Windows 10 2016 长期服务版
windows·系统·win10
木头左1 天前
Windows环境下Docker容器化的安装与设置指南
windows·docker·容器