@
skylancer 嗯,BT 这样本身 IDM 也不支持,但是这样的话,A 就要内置 BT 等的下载功能模块,A 的体积就变大了。这样 A+B 模式的话,应该类似于木马下载器+真木马这样模式,A 要保持小巧简洁,达到快速刺入对方系统的目的。
@
acess 写进 MBR 启动层也是文件啊,也是写入了硬盘啊,只是不是一般所看到存在于 Windows 的文件罢了,而且,暗云加载进系统,会释放出诸如 xnfbase.dll、thpro32.dll 等文件,这是它要实际它那些功能的模块,怎么没有实体文件。MBR 空间有限,必然木马体积也少,功能就受限,写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了,这个勒索界面不是提供一个测试解锁的,让你相信它能解,放心付款,既然有这些功能,怎么会没有实体文件实现,全部挂到内存不现实,在我看来太玄学了。
另,这也不是说 IDM 如何,只是说一种技巧,本身 IDM 也有局限的,是按扩展名归类的,.exe/.zip 等等才拦截,要是病毒换个扩展名也是没反应的,比如说早期 IE 有个漏洞,能把.css 文档错误执行,你把.exe 改成.css 挂到网页,用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。