网页
资讯
视频
图片
知道
文库
贴吧
地图
采购
进入贴吧
全吧搜索
吧内搜索
搜贴
搜人
进吧
搜标签
日
一
二
三
四
五
六
签到排名:今日本吧第
个签到,
本吧因你更精彩,明天继续来努力!
本吧签到人数:0
一键签到
可签
7
级以上的吧
50
个
一键签到
本月漏签
0
次!
0
成为超级会员,赠送8张补签卡
如何使用?
点击日历上漏签日期,即可进行
补签
。
连续签到:
天 累计签到:
天
0
超级会员单次开通12个月以上,赠送连续签到卡3张
使用连续签到卡
10月02日
漏签
0
天
计算机病毒吧
关注:
1,356
贴子:
7,078
看贴
图片
吧主推荐
游戏
1
2
下一页
尾页
21
回复贴,共
2
页
,跳到
页
确定
<返回计算机病毒吧
>0< 加载中...
【技术贴】我的网友遇到了麻烦事0x1
只看楼主
收藏
回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
前不久,我的网友不知道从哪里搞来个挂,还没享受腾云驾雾的上帝快感,电脑就被锁了。
送TA礼物
IP属地:江苏
1楼
2018-04-05 20:28
回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
这破锁机叫什么:最新驱动多功能
难不成是驱动级锁机?谁信啊。就小学森那点技术,几个能写出驱动级啊。
不用看,都知道是E语言的垃圾货。
IP属地:江苏
2楼
2018-04-05 20:35
回复
收起回复
重庆酷软在线科技有限公司
名亭数据恢复大师,支持1000+文件格式,一键恢复误删文件,极速扫描,实时预览;让数据恢复变得简单又快捷,无需担心数据损坏,一键下载体验!
2024-10-02 10:27
广告
立即查看
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
改名为sth1.exe
挂上pedoll
IP属地:江苏
3楼
2018-04-05 20:46
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
连接之后输入doll db<sth1.exe>之后回车
IP属地:江苏
4楼
2018-04-05 20:47
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
允许访问
IP属地:江苏
5楼
2018-04-05 20:48
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
挂好脚本之后Hook函数
IP属地:江苏
6楼
2018-04-05 20:50
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
一直运行就是了
IP属地:江苏
7楼
2018-04-05 20:52
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
关键执行结果:
驳回:创建进程:(null)命令行:net user admin 6143718
驳回:创建进程:(null)命令行:net user 加Q3235738406 6143718 /add
驳回:创建进程:(null)命令行:net localgroup administrators 加Q3235738406 /add
驳回:创建进程:(null)命令行:shutdown -s -f -t 2
执行函数:打开 文件:\\.\\physicaldrive0
Binary Hooker--> string (c398b3bacf255f903e5b28ffea60f869) string (b5a349162213626b73c25cf478c6a7a6)
执行函数:打开 文件:\\.\\physicaldrive0
数据已经Dump:大小 548
写文件:476
执行函数:打开 文件:\\.\\physicaldrive0
数据已经Dump:大小 548
执行:打开进程:explorer.exe
执行:打开进程:explorer.exe
执行:打开进程:explorer.exe
通过分析我们得知,这是所谓的三重锁,即MBR锁+用户锁+屏幕锁
IP属地:江苏
8楼
2018-04-05 20:54
回复
收起回复
崇悦派网络服务
是一款Windows、Linux及Mac 0S操作系统下的电脑安全辅助软件拥有电脑体检、木马查杀、系统修复、清理垃圾、优化加速、软件管家等多种功能。
2024-10-02 10:27
广告
立即查看
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
再看屏幕,已经被锁了,和我们刚才得出的结论一样
IP属地:江苏
9楼
2018-04-05 20:55
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
进程行为:
执行:创建 文件:C:\Users\admin\Desktop\sth1mgr.exe
执行:打开 文件:\\.\HR::DTrampo
数据已经Dump:大小 2920
写文件:388
驳回:创建进程:(null)命令行:C:\Users\admin\Desktop\sth1mgr.exe
执行:打开 文件:C:\Windows\Fonts\staticcache.dat
执行:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WINDDYY
执行:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WINDDYY
执行:设置注册表键值LastKey=\qpsj\
执行:打开注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
执行:设置注册表键值LastKey=\sth1.exe\
执行:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WINDDYY
执行:打开注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
驳回:创建进程:(null)命令行:net user admin 6143718
驳回:创建进程:(null)命令行:net user 加Q3235738406 6143718 /add
驳回:创建进程:(null)命令行:net localgroup administrators 加Q3235738406 /add
驳回:创建进程:(null)命令行:shutdown -s -f -t 2
执行函数:打开 文件:\\.\\physicaldrive0
Binary Hooker--> string (c398b3bacf255f903e5b28ffea60f869) string (b5a349162213626b73c25cf478c6a7a6)
执行函数:打开 文件:\\.\\physicaldrive0
数据已经Dump:大小 548
写文件:476
执行函数:打开 文件:\\.\\physicaldrive0
数据已经Dump:大小 548
写文件:476
执行:打开注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
执行:设置注册表键值LastKey=\DisableTaskmgr\
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc
IP属地:江苏
10楼
2018-04-05 20:56
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Ndisuio
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
执行:打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
执行:打开进程:explorer.exe
执行:打开进程:explorer.exe
执行:打开进程:explorer.exe
IP属地:江苏
12楼
2018-04-05 20:57
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
通过这些,我们基本上可以得知:
这个锁机软件读取了大量的注册表项,写了MBR,执行了cmd的net user命令
IP属地:江苏
13楼
2018-04-05 20:58
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
那么密码到底是什么呢?
IP属地:江苏
14楼
2018-04-05 20:58
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
在数据窗口,我们发现了两个512字节的数据,这就是被锁后的MBR和原来的MBR了。
IP属地:江苏
15楼
2018-04-05 21:27
回复
收起回复
gjiujmdd
升级初中
7
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
那么MBR锁的密码就在这个数据里面了
如图所示:Y[括号后面的就是MBR锁密码。
就是:jizezhou
IP属地:江苏
16楼
2018-04-05 21:30
回复
收起回复
登录百度账号
扫二维码下载贴吧客户端
下载贴吧APP
看高清直播、视频!
贴吧热议榜
1
王楚钦不敌林德止步32强
2450250
2
伊朗对以色列发动大规模导弹袭击
2060276
3
吧友神预言王楚钦大满贯二轮游
1766688
4
东北雨姐称先行全额退款
1471689
5
我发有中配的大作大伙打分
1115244
6
《黑神话》Steam通关率已达40%
980250
7
吧友锐评一下学校动漫社招新题
783408
8
RTX 5090详细规格曝光
713253
9
伊朗不派兵与以色列对抗
502964
10
布云朝克特0比2辛纳
448476
贴吧页面意见反馈
违规贴吧举报反馈通道
贴吧违规信息处理公示