无法想象!Lockbit杀手锏“三重勒索”,让你的数据宛如囊中之物(4)

2023-04-28 来源:飞速影视

无法想象!Lockbit杀手锏“三重勒索”,让你的数据宛如囊中之物


4、反分析
在入口点函数的开始,LockBit检查进程控制块(PEB)中的NtGlobalFlag字段,以检测恶意软件进程是否正在调试。如果字段0x70,这表明设置了标记
FLG_HEAP_ENABLE_TAIL_CHECK
FLG_HEAP_ENABLE_FREE_CHECK
FLG_HEAP_VALIDATE_PARAMETERS
程序会立即退出。

无法想象!Lockbit杀手锏“三重勒索”,让你的数据宛如囊中之物


可执行文件对大多数重要字符串都进行了混淆并存储在栈中,在程序的运行过程中使用加减异或等运算进行动态解码,以某个字符串为例:

无法想象!Lockbit杀手锏“三重勒索”,让你的数据宛如囊中之物


相关影视
合作伙伴
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)

www.fs94.org-飞速影视 粤ICP备74369512号