最近发现一款比较实用的APP卸载后在AppStore找不到了，APP在「已购项目」也消失了，说明也无法重新下载了。最后查询一番才知道，是作者把APP从中国大陆地区下架了。 下架的原…

EncFSMP 这个工具可以帮助生成一个加密容器，并挂载磁盘。 相比于VC、TC，它的优势是不需要指定虚拟磁盘的大小。相反的，它要求的是一个文件夹，在文件夹中生成一个xml配置文件…

近期手里拿了一个 E01 格式的镜像，需要修改镜像里面的内容然后重新打包。 首先使用 StarWind V2V Converter 先把 E01 格式的镜像转换成 VMware V…

如何屏蔽腾讯游戏反作弊预启动模式？ 以前反作弊预启动还是可以选择性安装，但是最近上游戏的时候提示必须要安装。当前游戏需要开启“腾讯游戏反作弊预启动模式“才能进入。请安装“腾讯游戏反…

被攻击的机器上运行的新博客的入口端口 通过 tcp.stream eq 0 and http.response.code >= 200 and http.response.c…

分析被感染的文件，文件感染前的所显示的内容 本次解密需要两个文件，一个是加密后的 .enc 文件，一个是 ransom_key 解密密钥。 我们在解析（第三篇）找到的文件头是 0x…

加密文件所使用的加密算法 从代码中加密逻辑的核心实现可以明确判断是 XOR（异或）加密算法，属于对称加密的一种。 加密过程为逐字节异或运算：原始文件的每个字节（*((_BYTE *…

勒索病毒"CryptDestroyHash"所调用的动态链接库名称 依次点击 IDA 顶部菜单栏的 “视图” → “打开子视图” → “导入”，即可调出 “导入表” 窗口，搜索 C…

样本（虚拟机运行）（编号：250901）：https://pan.baidu.com/s/1MscuyILdXfBQG4zQPqIv3w?pwd=8qhr 勒索病毒会加密什么文件？…

方法1：管理员权限打开PowerShell 输入一下代码，一定要管理员运行否则无法查看。 Get-WinEvent -FilterHashtable @{LogName='Secu…

向日葵有“远程桌面”和“远程文件”两个功能，日志也只记录“远程文件”传输的记录（测试版本：15.8.3.19819）。 如果是通过“远程文件”传输过，那么是在向日葵logs日志中是…

filelocator pro是Mythicsoft屡获殊荣的一款文件搜索工具，有了它，无论是源代码行，日志文件中的条目，法律摘要，甚至只是给家人的圣诞节信，通通都能帮助您快速找到…