锁机软件
最近看论坛中锁机的人挺多的,外加刚才看了个举报帖,也是因为锁机的求助帖。在这简单的说一下锁机软件,一般也就几种:1.用net命令的
2.用VB脚本的
3.霸占屏幕的
其实都挺好解决的,也很容易看出来,预防也不难。
前两种解决主要靠PE等工具,最后一个安全模式就可以了。
说说预防吧。
预防主要靠个人习惯,说一种方法。
把net的读取和执行权限全部拒绝,这个可以防住net命令的锁机软件。
在打开脚本之前先查看一下,搜一搜有没有password,有的话就要小心咯。
其实还是先放到哈勃,火眼这种东西上分析一下比较好。
最好的方法还是用沙盘,虚拟机,影子系统运行,最推荐虚拟机,因为最安全。
如果配置比较低建议考虑前两个。
好了,大体就酱,东西不多,求轻拍。
重点还是个人习惯!
重点还是个人习惯!
重点还是个人习惯!
重要的事情说三遍!
最后附赠一个特征,如何查看这两个的报告判别是不是锁机
锁机软件在这两个分析系统上都会有一个共同的特征,特征在图上。
当然,特殊处理过的除外,比如用加密壳保护过的等等。
所以还是最推荐用虚拟机啦
52pojieYiHui 发表于 2016-9-12 23:02
轮OD的CreatewindowEXW断点怎么被遗忘了呢???
{:17_1078:}纠正个错字,应该是论
那个函数是CreateWindowExW
而且如果教这个不符合给小白看的初衷
C-FBI-QM 发表于 2016-9-12 23:11
纠正个错字,应该是论
那个函数是CreateWindowExW
而且如果教这个不符合给小白看的初衷
但那个断点是一般锁机的绝杀点 轮OD的CreatewindowEXW断点怎么被遗忘了呢??? 不管怎么样三克油 支持一下 不错,挺全面的,谢谢分享 52pojieYiHui 发表于 2016-9-12 23:47
但那个断点是一般锁机的绝杀点
{:17_1089:}如果是创建进程的话,ShellExecuteA,Winexec,CreateProcessA这种也可以 支持一下 谢谢分享!大神分析得好!