收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 锁屏
1234567下一页
返回列表 发新帖
楼主: 深山红叶__
 收起左侧

[病毒样本] 锁屏

  [复制链接]
饭@avast
发表于 2014-8-12 21:04:35 | 显示全部楼层
to kaspersky
回复

举报

shihaono1
发表于 2014-8-12 21:13:26 | 显示全部楼层
诺顿检测到病毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

yjwfdc
头像被屏蔽
发表于 2014-8-12 21:39:44 | 显示全部楼层
深山红叶__ 发表于 2014-8-11 23:17
http://bbs.kafan.cn/thread-1761256-1-1.html
上次的特性除了加密以外全部保留
设置关键进程属性是hx ...

hx用的是RtlSetProcessIsCritical.
还未找到办法处理。
回复

举报

mefanfine
发表于 2014-8-12 22:41:05 | 显示全部楼层
zmzcy 发表于 2014-8-11 23:04
红伞的云居然分析出了

红伞确实也挺牛的
回复

举报

深山红叶__
 楼主| 发表于 2014-8-12 22:43:10 | 显示全部楼层
yjwfdc 发表于 2014-8-12 21:39
hx用的是RtlSetProcessIsCritical.
还未找到办法处理。

差不多一个意思,懒得拼这么多东西

  2. Private Declare Function RtlAdjustPrivilege Lib "ntdll.dll" (ByVal Privilege As Long, ByVal Enable As Long, ByVal CurrentThread As Long, Enabled As Long) As Long
  3. Private Declare Function NtSetInformationProcess Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, ByVal ProcessInformationClass As Long, ByRef ProcessInformation As Any, ByVal lProcessInformationLength As Long) As Long
  4. Const ProcessBreakOnTermination = 29

  6. Private Sub Form_Load()
  7. Call RtlAdjustPrivilege(&H14, 1, 0, 0)'获取14号权限令牌
  8. Call NtSetInformationProcess (-1, ProcessBreakOnTermination, 1&, 4)'提升进程为关键进程
  9. End Sub

  11. Private Sub Form_Unload(Cancel As Integer)
  12. Call NtSetInformationProcess (-1, ProcessBreakOnTermination, 0&, 4)'降低进程为普通进程
  13. End Sub
复制代码


上次锁屏发了NtSetInformationProcess的解决方法,C系是true,null,false起、false,null,false落,按理来说VB是100和000,不过VB的IDE有问题,所以起是001,降不明(似乎没有)
总之,要搞这东西还是用NtSetInformationProcess。
回复

举报

yjwfdc
头像被屏蔽
发表于 2014-8-12 22:47:25 | 显示全部楼层
深山红叶__ 发表于 2014-8-12 22:43
差不多一个意思,懒得拼这么多东西


RtlSetProcessIsCritical.
厉害些,还未找到办法处理

你这个新版“速度卫士”处理了。http://bbs.kafan.cn/thread-1514499-1-1.html
回复

举报

深山红叶__
 楼主| 发表于 2014-8-12 22:49:48 | 显示全部楼层
yjwfdc 发表于 2014-8-12 22:47
RtlSetProcessIsCritical.
厉害些,还未找到办法处理


NtSetInformationProcess (hPro, ProcessBreakOnTermination, 0&, 4)
就能降下来啊,Rtlset...是对这个函数的一个封装,只对自身。

上次的锁屏也用了Rtlset...,忘记提醒你更新了...
回复

举报

lsgster
发表于 2014-8-12 22:50:26 | 显示全部楼层
VSE只能扫ZIP,RAR就湿了
回复

举报

yjwfdc
头像被屏蔽
发表于 2014-8-13 00:09:32 | 显示全部楼层
深山红叶__ 发表于 2014-8-12 22:49
NtSetInformationProcess (hPro, ProcessBreakOnTermination, 0&, 4)
就能降下来啊,Rtlset...是对这 ...

但实际上可以降你的样本,不能降RtlSetProcessIsCritical.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

深山红叶__
 楼主| 发表于 2014-8-13 00:53:04 | 显示全部楼层
本帖最后由 深山红叶__ 于 2014-8-13 00:54 编辑
yjwfdc 发表于 2014-8-13 00:09
但实际上可以降你的样本,不能降RtlSetProcessIsCritical.


http://bbs.kafan.cn/thread-1757469-1-1.html

RtlSetProcessIsCritical的实质就是NtSetInformationProcess的一个封装,原理就是ProcessBreakOnTermination

所以NtSetInformationProcess这种通用的东西完全可以降。
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 14:25 , Processed in 0.097511 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表