无法想象！Lockbit杀手锏“三重勒索”，让你的数据宛如囊中之物(4)

4、反分析
在入口点函数的开始，LockBit检查进程控制块(PEB)中的NtGlobalFlag字段，以检测恶意软件进程是否正在调试。如果字段0x70，这表明设置了标记
FLG_HEAP_ENABLE_TAIL_CHECK
FLG_HEAP_ENABLE_FREE_CHECK
FLG_HEAP_VALIDATE_PARAMETERS
程序会立即退出。

可执行文件对大多数重要字符串都进行了混淆并存储在栈中，在程序的运行过程中使用加减异或等运算进行动态解码，以某个字符串为例：