如何自己测试
- 创建一个新的目录,在这个新目录中复制
C:\Program Files\Windows Defender\MpCmdRun.exe或C:\Program Files\Windows Defender\NisSrv.exe - 复制
mpclient-mpcmdrun.dll或mpclient-nissrv.dll(取决于你要测试的二进制文件),并将 dll 重命名为mpclient.dll。 - 运行该可执行文件。
如何编译
- 安装releases.llvm.org/download.ht…
- 重新启动你的电脑
如果你想尝试MpCmdRun.exe。
clang++ dllmain-mpcmdrun.cpp -o mpclient.dll -shared
如果你想试试NisSrv.exe。
clang++ dllmain-NisSrv.cpp -o mpclient.dll -shared
规则
检查该文件lockbit3mpclientdefender.yar
