吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25988|回复: 23
收起左侧

[PC样本分析] 锁机软件

[复制链接]
C-FBI-QM 发表于 2016-9-12 22:58
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
最近看论坛中锁机的人挺多的,外加刚才看了个举报帖,也是因为锁机的求助帖。在这简单的说一下锁机软件,一般也就几种:
1.用net命令的
2.用VB脚本的
3.霸占屏幕的
其实都挺好解决的,也很容易看出来,预防也不难。
前两种解决主要靠PE等工具,最后一个安全模式就可以了。

说说预防吧。
预防主要靠个人习惯,说一种方法。
把net的读取和执行权限全部拒绝,这个可以防住net命令的锁机软件。
在打开脚本之前先查看一下,搜一搜有没有password,有的话就要小心咯。

其实还是先放到哈勃,火眼这种东西上分析一下比较好。
最好的方法还是用沙盘,虚拟机,影子系统运行,最推荐虚拟机,因为最安全。
如果配置比较低建议考虑前两个。

好了,大体就酱,东西不多,求轻拍。
重点还是个人习惯!
重点还是个人习惯!
重点还是个人习惯!
重要的事情说三遍!



最后附赠一个特征,如何查看这两个的报告判别是不是锁机
锁机软件在这两个分析系统上都会有一个共同的特征,特征在图上。
当然,特殊处理过的除外,比如用加密壳保护过的等等。
所以还是最推荐用虚拟机啦

QQ截图20160912225639.png QQ截图20160912225658.png

免费评分

参与人数 5热心值 +5 收起 理由
AWEIWEI + 1 用心讨论,共获提升!
Hmily + 1 用心讨论,共获提升!
循光而行 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
wangsheng66 + 1 用心讨论,共获提升!
wnagzihxain + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| C-FBI-QM 发表于 2016-9-12 23:11
52pojieYiHui 发表于 2016-9-12 23:02
轮OD的CreatewindowEXW断点怎么被遗忘了呢???

纠正个错字,应该是论
那个函数是CreateWindowExW
而且如果教这个不符合给小白看的初衷


52pojieYiHui 发表于 2016-9-12 23:47
C-FBI-QM 发表于 2016-9-12 23:11
纠正个错字,应该是论
那个函数是CreateWindowExW
而且如果教这个不符合给小白看的初衷

但那个断点是一般锁机的绝杀点
52pojieYiHui 发表于 2016-9-12 23:02
独而已 发表于 2016-9-12 23:25
不管怎么样三克油
我来看看看 发表于 2016-9-12 23:35
支持一下
tony2526 发表于 2016-9-12 23:46
不错,挺全面的,谢谢分享
 楼主| C-FBI-QM 发表于 2016-9-13 00:19
52pojieYiHui 发表于 2016-9-12 23:47
但那个断点是一般锁机的绝杀点

如果是创建进程的话,ShellExecuteA,Winexec,CreateProcessA这种也可以
idzyr 发表于 2016-9-13 01:23 来自手机
支持一下
amizzami 发表于 2016-9-13 05:33 来自手机
谢谢分享!大神分析得好!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 18:07

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表