GhostLock

GhostLock 是一个用于研究SMB共享拒绝处理的工具，能够以零写入、零加密和零行为防御警报的方式锁定企业共享文件。其核心功能包括文件级锁定（通过`CreateFileW` API调用并设置`dwShareMode=0`来锁定单个文件）和目录级锁定（使用`FILE_FLAG_BACKUP_SEMANTICS`标志锁定整个目录），后者仅需一次API调用来实现整个文件夹的命名空间封锁。该工具基于Python开发，专为Windows平台设计。GhostLock特别适用于红队演练或安全研究人员评估现有防御机制对新型攻击手法的有效性时使用，它展示了即使是标准权限用户也能造成类似勒索软件级别的可用性影响，而不会留下任何可被检测到的行为痕迹。