这个相比较传统MBR锁,密码比较特别,说白了就是特殊字符
病毒名字:C.exe
MD5值:35560C676CAB2771D90C189E903B2BC1
病毒行为:
读取文件:\\.\HR::DTrampo
读取文件:\\.\\physicaldrive0
修改内核对象:\\.\\physicaldrive0(物理磁盘)
写入MBR Hex
内核操作:提升进程关机权限
内核操作:触发系统蓝屏
测试环境及工具:
操作系统:win10*64
操作工具:OD
分析目标:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
