安装系统跳过工具箱-(安装系统跳过工具箱怎么办)

Thanos勒索软件生成器

尽管大多数用C＃编写的勒索软件的复杂程度都不高，但Thanos具有众多高级功能，使其在其他软件中脱颖而出。

正如您在上面看到的那样，该构建器具有广泛的功能，包括内置的未加密文件窃取程序，自动传播到其他设备以电脑及采用研究人员公开的RIPlace规避技术。

率先使用RIPlace反勒索软件规避

2019年11月，BleepingComputer报告了一种名为RIPlace的新型反勒索软件规避技术，该技术由端点保护公司Nyotron的安全研究人员披露。

Nyotron发现，当勒索软件将文件重命名为使用DefineDosDevice（）函数创建的符号链接时，反勒索软件将无法准确检测到该操作。

相反，它们的监视功能将收到一个错误，而重命名仍将起作用，从而绕过反勒索软件程序。

如果在调用重命名之前，我们调用DefineDosDevice（创建符号链接的旧函数），则可以传递任意名称作??为设备名称，并传递原始文件路径作为指向的目标。这样，我们可以使设备“ XY”引用“ C：\ passwords.txt”。

RIPlace发现，在回调函数中，使用通用例程FltGetDestinationFileNameInformation时，筛选器驱动程序无法解析目标路径。传递DosDevice路径时，它将返回错误（而不是返回经过处理的路径）；但是，重命名调用成功。

Thanos是第一个采用RIPlace技术的勒索软件，如以下代码所示。