锁屏

深山红叶__

基本沿袭上次锁屏，锁定方式更坑，可以说是更逗。

解除图案是一个ITF编码的条码（Interleaved 2 of 5），条码的内容是一个(10,100)的整数。




目前主流的条码扫描应用程序无法识别ITF编码

由于关键进程函数会造成BSOD，可能会使启动项失效。

深山红叶__

yjwfdc 发表于 2014-8-12 21:39
hx用的是RtlSetProcessIsCritical.
还未找到办法处理。

差不多一个意思，懒得拼这么多东西

1. 
   
2. Private Declare Function RtlAdjustPrivilege Lib "ntdll.dll" (ByVal Privilege As Long, ByVal Enable As Long, ByVal CurrentThread As Long, Enabled As Long) As Long
   
3. Private Declare Function NtSetInformationProcess Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, ByVal ProcessInformationClass As Long, ByRef ProcessInformation As Any, ByVal lProcessInformationLength As Long) As Long
   
4. Const ProcessBreakOnTermination = 29
   
5. 
   
6. Private Sub Form_Load()
   
7. Call RtlAdjustPrivilege(&H14, 1, 0, 0)'获取14号权限令牌
   
8. Call NtSetInformationProcess (-1, ProcessBreakOnTermination, 1&, 4)'提升进程为关键进程
   
9. End Sub
   
10. 
    
11. Private Sub Form_Unload(Cancel As Integer)
    
12. Call NtSetInformationProcess (-1, ProcessBreakOnTermination, 0&, 4)'降低进程为普通进程
    
13. End Sub
    

复制代码

上次锁屏发了NtSetInformationProcess的解决方法，C系是true,null,false起、false,null,false落，按理来说VB是100和000，不过VB的IDE有问题，所以起是001，降不明（似乎没有）
总之，要搞这东西还是用NtSetInformationProcess。

yjwfdc

深山红叶__ 发表于 2014-8-13 23:50
结构不懂，只会代进去用，这些是ProcessInformationClass类型。

速度卫士更新，修复降权失败的bug.http://bbs.kafan.cn/thread-1514499-1-1.html

欧阳宣

双击被过了……泪

yicun

欧阳宣 发表于 2014-8-11 22:38
双击被过了……泪

Your assigned ticket number is 2014081114340002

欧阳宣

yicun 发表于 2014-8-11 22:39
Your assigned ticket number is 2014081114340002

反正俺是上报到gd了，不管了

minjiaming

ESET过

b573684723

好压EAV4.2MISS

火绒扫描KILL

cn86li

To Panda

zmzcy

红伞的云居然分析出了

左手

呃。用速度卫士结束时，蓝屏了。。
样本后续还有动作，除了全局钩子外。
2014-08-11 22:59:32    创建文件    阻止
进程: c:\documents and settings\administrator\桌面\锁屏.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\VB Tools.lnk
规则: [应用程序]?* -> [文件组]系统加固_自启动项

a445441