hiro888888 发表于 2025-4-2 11:03
这个问题技术上基本无解,格局在此,道高一尺魔高一丈。 要想彻底解决必须走行政层面的,报警等
如果楼主 ...
爬梯子的合同是和破坏者签的吧?改成按次收费
Gravitation 发表于 2025-4-2 11:06
以下内容仅供技术讨论交流,只供参考,所有论述观点均为猜测,不建议做为事实依据。
猜测1:电脑运行了For ...
人家按合同要求甲方必须开放人家远程控制,为所欲为,什么窗不窗体运行已经不是关键了,搞破坏人家手段多的是。
sunnyvv512 发表于 2025-4-2 09:05
LZ表达确实抽象。 就是丙方介入甲乙方项目做清尾工作。
乙方嚣张。不过甲方多金,丙方拿人钱财替人消灾, ...
LZ你又评论说到我没考虑一些隐性成本问题,我想表达的很简单,签合约前提是谈拢买卖,买卖就包括一些显性和隐性成本。你们老板跟甲方签好善后合约,让LZ你们这些牛马来执行合约,这时发现成本超预期,这是你们老板的事情吧,而牛马要考虑的,除了通过技术问题来优化目前费时费工的现状,帮老板省钱外,当下的这些显性和隐性的成本,老板必须给你们这些牛马报销吧。
综上,所有事情都从市场经济的角度去看,就会变得更简单。有契约按契约内容,无契约按公序良俗。出多少资金匹配多少生产资料。
rsheen 发表于 2025-4-2 11:15
爬梯子的合同是和破坏者签的吧?改成按次收费
楼主公司其中一个乙方,破坏者是另一个乙方,甲方都给他们钱,甲方明知破坏者乙方搞事情屁都不敢放,轮不到楼主公司什么话语权的。
chaojie0406 发表于 2025-4-2 11:26
人家按合同要求甲方必须开放人家远程控制,为所欲为,什么窗不窗体运行已经不是关键了,搞破坏人家手段多 ...
我表达的东西不方便说太明。
你说的是对的。我也认为防范难度太大。
楼主都说了,乙方是皇帝女儿,甲方要想处理早处理了,你们就别老说bj了,楼主要的是技术,楼主可能是老板,觉得这样工程量太大,不赚钱,要是闹大了楼主有可能会出局。
看你这样说是甲方已经知道他们破坏了,搞不好要有人吃牢饭
完整备份怎么样?
qq2348227 发表于 2025-4-2 00:25
他执行的方案是 all 关闭服务
我也是 all 开启服务?
可以看看文件运行历史记录 最近打开文件历史记录或系统相关日志,
看了下 对面清理相关痕迹,可能无果。
若是单纯服务关闭,最高权限+cmd sc相关服务命令,注册表都可以篡改。
所以 笨办法 去服务列表 找一个正常win 挨个改即可。 但你得明白 若你计算机上还要其它方式修改 后面或破坏其它 就
给个受限的用户来远程连接控制,这样是不是就破坏不了系统呢
后面,物理机拿到手之后,都要在 bios 里面 关 windows 下 刷 bios,或者 升降 bios
如果这样,他们会不会这样,摧毁网络?
发现新型勒索病毒,样本附后
病毒运行后大约发起50个外部网络连接,通过445端口传播,
ip地址选择本机ROUTE过的IP地址外溢,达到效率最大化的目的,不再做低效率的穷举法,
如果445端口不可用,则可能使用3006端口,绕开网络端口的封堵;
进程中分别调用三个net.exe\net1.exe,进程管理中手动结束后不再恢复。
病毒自身注入SVCHOST进程中,在系统各处分别植入SVCHOST.EXE文件方便逃避追杀和回溯进程。
在C:\Windows\NetworkDistribution\中带有49个特洛伊工具箱,删除后仍然可以恢复。
在C盘目录下随机使用如config132、Zuser278、setup588等具有迷惑性随机名称创建两个目录,
将10个伪装成doc、xlsl、rtf、jpeg的病毒本体文件存放在此,
资源管理器无法删除,用360强力删除可以删除,但因无法彻底清除病毒,重启系统后又恢复。
文件样本及49个特洛伊工具箱已提取在附件中。附带有查杀日志及进程详单
本帖最后由 qq2348227 于 2025-4-2 12:55 编辑
目前高阶景友还没有出现~
我只求个,人家的破坏的手法,用的什么代码 停用 100% 服务。漏网之鱼的服务 5个8个的,无所谓,反正系统已经瘫痪了。也不能 vnc 握手成功了。
凭什么人家会破坏,我不会破坏,我也要学会破坏。我学会了破坏,我肯定不去破坏,我只想知道里面的破坏代码原理。
有景友会这种停服务的破坏嘛?
qq2348227 发表于 2025-4-2 12:52
目前高阶景友还没有出现~
你这难度不是一般的高了,人家专门写个病毒去稿破坏,你想弄清楚人家的原理,那就属于反编汇的范畴了
本帖最后由 lrjycyz 于 2025-4-2 13:35 编辑
sunnyvv512 发表于 2025-4-2 09:05
LZ表达确实抽象。 就是丙方介入甲乙方项目做清尾工作。
乙方嚣张。不过甲方多金,丙方拿人钱财替人消灾, ...
好简单的事,网络专用,就不给乙方开连接口,让甲方上堡垒机管控这些设备,用堡垒机给乙方授权,证据就到你手上了。然后上安全设备,监控网络流量,分析溯源,我看你好牛逼!啥年代了,连这点都做不到,还谈什么技术!
本帖最后由 byrabbit 于 2025-4-2 13:38 编辑
qq2348227 发表于 2025-4-2 12:52
目前高阶景友还没有出现~
只要你获取最高权限。sc命令批量关闭服务 删除某些 这些都可以方式是一种破坏方式。
获取当前服务列表。批量循环sc设置启动方式禁用。
关键的是 它可能不仅仅只含这一种破坏方式。留后面 下病毒。 远程删除文件 等等 。
有些服务 关不掉 直接pe 注册表编辑 手动服务修改。 不过你得看 它是否隐藏了进程 或将进程隐藏在 驱动引导服务列表里面。
下面是虚拟机内:备份后系统 尝试折腾。(别拿实体机测试)
多种手段一起,那就用在线文件修复命令看看,若出现系统文件损坏。先把备份一个镜像 然后 将备份拷贝进虚拟机 然后用安装程序 升级 保留用户数据的那种 比如升到7/10/11。可以试试11毕竟它自带杀毒和系统保护功能都非常强。
qq2348227 发表于 2025-4-2 12:52
目前高阶景友还没有出现~
会不会是
SC stop
之类的命令?
细节我也不是很了解。。。SC后面不一定是stop,但这个系列的命令应该可以关闭服务?
纯属瞎聊啊,这个事我也没干过。。。
有备份就直接还原嘛!没有就重新安装,只要数据不在C盘就好办
qq2348227 发表于 2025-4-2 11:10
是的没错,我表达的意思就是道高一尺魔高一丈。。
zhuchangan 发表于 2025-4-2 09:07
我是真的无语,2个乙方对一个甲方,你们的利益不是一致的吗?作为服务商保证的是甲方在签约期间合同约定的 ...
会不会是丙方以极低的价格得到了维护合同,例如:丙按同行业,同样设备一年只需维护1次,打个比方维修率是1%,丙方给甲报价1W,现在己方搞破坏,维修次数已经达到10%,这样高的维修率丙方已经没有钱赚了,可能还倒贴,所以才跳出来想办法解决己搞破坏?
1、既然有堡垒机,应该有录像呀?
2、乙1合同到期,不是应该禁止他们的访问权限么! 否则放进来只是为了搞破坏,没运维合同还指望他们进内网做啥?
3、乙1如果只负责软件,那应该用严格的最小权限给他,比如要用的时候才通过申请开放进入,服务后即随时关闭。
4、乙1看起来是破坏系统,可以考虑一些整机备份还原的策略方法。当估计会增加硬件的投入。