魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2019-04-21 17:42:06 | 2019-04-21 17:44:25 | 139 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-hpdapp01-1 | win7-sp1-x64-hpdapp01-1 | KVM | 2019-04-21 17:42:11 | 2019-04-21 17:44:27 |
| 魔盾分数 |
|---|
5.75可疑的 |
文件详细信息
| 文件名 | 小咖过实名验证.exe |
|---|---|
| 文件大小 | 536200 字节 |
| 文件类型 | PE32 executable (console) Intel 80386, for MS Windows |
| CRC32 | F3DC78AC |
| MD5 | e7532e18702e49d2f299fac8bfb105e1 |
| SHA1 | dea455814c2c8a30cfd0aaa8aa652c6f2e16b87b |
| SHA256 | 024a6bb660605e10345ea9d96e1ffc227fd7c293a16a009bca49c7dd522368f9 |
| SHA512 | e91bf8ce30d0aaa100059f593fa5d27c302c01ef4bffab50f8c6aea25a587ffd1b3954c0398a068267ecddb3b545cb41fd54b66802aff27455f4e55cf6ceb238 |
| Ssdeep | 12288:cHBhNwfdcaOgfeXVM29R7w7CwlGk7Zl6mfX:5dlkVMB7lGk7j6mP |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | 无此文件扫描结果 |
特征
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.93, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0007b000, virtual_size: 0x0007ade6
魔盾安全Yara规则检测结果 - 安全告警
Informational: Detected Entropy signature
Informational: Detected Overlay signature
Informational: Detected Rich Signature
Warning: Create a new process
Warning: Detected take screenshot function
Warning: Run a keylogger
Warning: Affect system registries
Warning: Affect private profile
Warning: Affect hook table
Critical: Detects malicious behaviors from a small size app
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected the presence of an or several urls
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', 'virtual_address': '0x00141000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x0000302c', 'characteristics_raw': '0x60000060'}
重置WinSock配置
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xeb\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xe9\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
data: unknown
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f \x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf0\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xea\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
data: C:\Windows\system32\ESPI11.dll
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 &\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf2\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x003\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f \x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf0\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 &\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf2\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x003\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xeb\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xea\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xe9\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x005b3b90 |
| 声明校验值 | 0x00090244 |
| 实际校验值 | 0x00090244 |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2019-04-21 17:16:44 |
| 载入哈希 | a6ae79bd1da5f27167c8b68ae13b7019 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x0009798e | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .rdata | 0x00099000 | 0x0003ef5c | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x000d8000 | 0x0005f9ca | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .rsrc | 0x00138000 | 0x000087c0 | 0x00005000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 3.81 |
| .vmp0 | 0x00141000 | 0x0000302c | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .vmp1 | 0x00145000 | 0x0007ade6 | 0x0007b000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.93 |
| .reloc | 0x001c0000 | 0x00000030 | 0x00001000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 0.10 |
资源
| 名称 | 偏移量 | 大小 | 语言 | 子语言 | 熵(Entropy) | 文件类型 |
|---|---|---|---|---|---|---|
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_BITMAP | 0x0013e8e4 | 0x00000144 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_MENU | 0x0013ea34 | 0x00000284 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_MENU | 0x0013ea34 | 0x00000284 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_DIALOG | 0x0013fc7c | 0x0000018c | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_STRING | 0x001406c4 | 0x00000024 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x00140710 | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x00140710 | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
| RT_GROUP_CURSOR | 0x00140710 | 0x00000022 | LANG_CHINESE | SUBLANG_CHINESE_SIMPLIFIED | 0.00 | None |
导入
库 WINMM.dll:
• 0x548ce1 - midiStreamOut
• 0x548ce5 - midiOutPrepareHeader
• 0x548ce9 - midiStreamProperty
• 0x548ced - midiStreamOpen
• 0x548cf1 - midiOutUnprepareHeader
• 0x548cf5 - waveOutUnprepareHeader
• 0x548cf9 - waveOutPrepareHeader
• 0x548cfd - waveOutWrite
• 0x548d01 - waveOutPause
• 0x548d05 - waveOutReset
• 0x548d09 - waveOutClose
• 0x548d0d - waveOutGetNumDevs
• 0x548d11 - midiStreamStop
• 0x548d15 - midiOutReset
• 0x548d19 - midiStreamClose
• 0x548d1d - midiStreamRestart
• 0x548d21 - waveOutOpen
库 WS2_32.dll:
• 0x548d29 - htons
• 0x548d2d - WSAAsyncSelect
• 0x548d31 - closesocket
• 0x548d35 - send
• 0x548d39 - select
• 0x548d3d - WSAStartup
• 0x548d41 - inet_ntoa
• 0x548d45 - recvfrom
• 0x548d49 - ioctlsocket
• 0x548d4d - recv
• 0x548d51 - getpeername
• 0x548d55 - accept
• 0x548d59 - ntohs
• 0x548d5d - WSACleanup
库 RASAPI32.dll:
• 0x548d65 - RasGetConnectStatusA
• 0x548d69 - RasHangUpA
库 KERNEL32.dll:
• 0x548d71 - UnmapViewOfFile
• 0x548d75 - MapViewOfFile
• 0x548d79 - CreateFileMappingA
• 0x548d7d - GetWindowsDirectoryA
• 0x548d81 - GetCurrentProcess
• 0x548d85 - MultiByteToWideChar
• 0x548d89 - WideCharToMultiByte
• 0x548d8d - Process32Next
• 0x548d91 - Process32First
• 0x548d95 - CreateToolhelp32Snapshot
• 0x548d99 - SetFilePointer
• 0x548d9d - GetFileSize
• 0x548da1 - TerminateProcess
• 0x548da5 - OpenProcess
• 0x548da9 - SetLastError
• 0x548dad - OpenFileMappingA
• 0x548db1 - GetTimeZoneInformation
• 0x548db5 - GetVersion
• 0x548db9 - FileTimeToSystemTime
• 0x548dbd - InterlockedIncrement
• 0x548dc1 - InterlockedDecrement
• 0x548dc5 - GetSystemInfo
• 0x548dc9 - IsProcessorFeaturePresent
• 0x548dcd - lstrcmpiA
• 0x548dd1 - RtlUnwind
• 0x548dd5 - GetStartupInfoA
• 0x548dd9 - GetOEMCP
• 0x548ddd - GetCPInfo
• 0x548de1 - GetProcessVersion
• 0x548de5 - SetErrorMode
• 0x548de9 - GlobalFlags
• 0x548ded - GetCurrentThread
• 0x548df1 - GetFileTime
• 0x548df5 - TlsGetValue
• 0x548df9 - LocalReAlloc
• 0x548dfd - TlsSetValue
• 0x548e01 - TlsFree
• 0x548e05 - GlobalHandle
• 0x548e09 - TlsAlloc
• 0x548e0d - LocalAlloc
• 0x548e11 - lstrcmpA
• 0x548e15 - GlobalGetAtomNameA
• 0x548e19 - GlobalAddAtomA
• 0x548e1d - GlobalFindAtomA
• 0x548e21 - GlobalDeleteAtom
• 0x548e25 - SetEndOfFile
• 0x548e29 - UnlockFile
• 0x548e2d - LockFile
• 0x548e31 - FlushFileBuffers
• 0x548e35 - DuplicateHandle
• 0x548e39 - lstrcpynA
• 0x548e3d - FileTimeToLocalFileTime
• 0x548e41 - LocalFree
• 0x548e45 - ReleaseMutex
• 0x548e49 - GetSystemDirectoryA
• 0x548e4d - CreateSemaphoreA
• 0x548e51 - ResumeThread
• 0x548e55 - ReleaseSemaphore
• 0x548e59 - EnterCriticalSection
• 0x548e5d - LeaveCriticalSection
• 0x548e61 - GetProfileStringA
• 0x548e65 - WriteFile
• 0x548e69 - ReadFile
• 0x548e6d - WaitForMultipleObjects
• 0x548e71 - CreateFileA
• 0x548e75 - SetEvent
• 0x548e79 - FindResourceA
• 0x548e7d - LoadResource
• 0x548e81 - LockResource
• 0x548e85 - GetModuleFileNameA
• 0x548e89 - GetCurrentThreadId
• 0x548e8d - ExitProcess
• 0x548e91 - GlobalSize
• 0x548e95 - GlobalFree
• 0x548e99 - DeleteCriticalSection
• 0x548e9d - InitializeCriticalSection
• 0x548ea1 - lstrcatA
• 0x548ea5 - lstrlenA
• 0x548ea9 - WinExec
• 0x548ead - lstrcpyA
• 0x548eb1 - FindNextFileA
• 0x548eb5 - GlobalReAlloc
• 0x548eb9 - HeapFree
• 0x548ebd - HeapReAlloc
• 0x548ec1 - GetProcessHeap
• 0x548ec5 - HeapAlloc
• 0x548ec9 - GetFullPathNameA
• 0x548ecd - FreeLibrary
• 0x548ed1 - LoadLibraryA
• 0x548ed5 - GetLastError
• 0x548ed9 - GetVersionExA
• 0x548edd - WritePrivateProfileStringA
• 0x548ee1 - CreateThread
• 0x548ee5 - CreateEventA
• 0x548ee9 - Sleep
• 0x548eed - ExpandEnvironmentStringsA
• 0x548ef1 - GlobalAlloc
• 0x548ef5 - GlobalLock
• 0x548ef9 - GlobalUnlock
• 0x548efd - GetTempPathA
• 0x548f01 - FindFirstFileA
• 0x548f05 - FindClose
• 0x548f09 - InterlockedExchange
• 0x548f0d - GetFileAttributesA
• 0x548f11 - DeleteFileA
• 0x548f15 - CopyFileA
• 0x548f19 - SetCurrentDirectoryA
• 0x548f1d - GetVolumeInformationA
• 0x548f21 - GetModuleHandleA
• 0x548f25 - GetProcAddress
• 0x548f29 - MulDiv
• 0x548f2d - GetCommandLineA
• 0x548f31 - GetTickCount
• 0x548f35 - CreateProcessA
• 0x548f39 - WaitForSingleObject
• 0x548f3d - CloseHandle
• 0x548f41 - GetSystemTime
• 0x548f45 - GetLocalTime
• 0x548f49 - RaiseException
• 0x548f4d - HeapSize
• 0x548f51 - GetACP
• 0x548f55 - SetStdHandle
• 0x548f59 - GetFileType
• 0x548f5d - UnhandledExceptionFilter
• 0x548f61 - FreeEnvironmentStringsA
• 0x548f65 - FreeEnvironmentStringsW
• 0x548f69 - GetEnvironmentStrings
• 0x548f6d - GetEnvironmentStringsW
• 0x548f71 - SetHandleCount
• 0x548f75 - GetStdHandle
• 0x548f79 - GetEnvironmentVariableA
• 0x548f7d - HeapDestroy
• 0x548f81 - HeapCreate
• 0x548f85 - VirtualFree
• 0x548f89 - SetEnvironmentVariableA
• 0x548f8d - LCMapStringA
• 0x548f91 - LCMapStringW
• 0x548f95 - VirtualAlloc
• 0x548f99 - IsBadWritePtr
• 0x548f9d - SetUnhandledExceptionFilter
• 0x548fa1 - GetStringTypeA
• 0x548fa5 - GetStringTypeW
• 0x548fa9 - CompareStringA
• 0x548fad - CompareStringW
• 0x548fb1 - IsBadReadPtr
• 0x548fb5 - IsBadCodePtr
库 USER32.dll:
• 0x548fbd - SetTimer
• 0x548fc1 - KillTimer
• 0x548fc5 - WinHelpA
• 0x548fc9 - LoadBitmapA
• 0x548fcd - CopyRect
• 0x548fd1 - ChildWindowFromPointEx
• 0x548fd5 - ScreenToClient
• 0x548fd9 - GetMessagePos
• 0x548fdd - SetWindowRgn
• 0x548fe1 - DestroyAcceleratorTable
• 0x548fe5 - GetWindow
• 0x548fe9 - ReleaseCapture
• 0x548fed - GetCapture
• 0x548ff1 - SetCapture
• 0x548ff5 - GetScrollRange
• 0x548ff9 - SetScrollRange
• 0x548ffd - SetScrollPos
• 0x549001 - SetRect
• 0x549005 - InflateRect
• 0x549009 - GetActiveWindow
• 0x54900d - SetFocus
• 0x549011 - IsIconic
• 0x549015 - PeekMessageA
• 0x549019 - SetMenu
• 0x54901d - GetMenu
• 0x549021 - DeleteMenu
• 0x549025 - GetSystemMenu
• 0x549029 - DefWindowProcA
• 0x54902d - GetClassInfoA
• 0x549031 - IsZoomed
• 0x549035 - PostQuitMessage
• 0x549039 - CopyAcceleratorTableA
• 0x54903d - GetKeyState
• 0x549041 - TranslateAcceleratorA
• 0x549045 - IsWindowEnabled
• 0x549049 - ShowWindow
• 0x54904d - SystemParametersInfoA
• 0x549051 - LoadImageA
• 0x549055 - EnumDisplaySettingsA
• 0x549059 - ClientToScreen
• 0x54905d - EnableMenuItem
• 0x549061 - IntersectRect
• 0x549065 - DestroyIcon
• 0x549069 - PtInRect
• 0x54906d - OffsetRect
• 0x549071 - IsWindowVisible
• 0x549075 - EnableWindow
• 0x549079 - RedrawWindow
• 0x54907d - GetWindowLongA
• 0x549081 - SetWindowLongA
• 0x549085 - GetSysColor
• 0x549089 - GetSubMenu
• 0x54908d - SetCursorPos
• 0x549091 - LoadCursorA
• 0x549095 - GetSysColorBrush
• 0x549099 - LoadStringA
• 0x54909d - GetMenuCheckMarkDimensions
• 0x5490a1 - GetMenuState
• 0x5490a5 - SetMenuItemBitmaps
• 0x5490a9 - CheckMenuItem
• 0x5490ad - MoveWindow
• 0x5490b1 - IsDialogMessageA
• 0x5490b5 - ScrollWindowEx
• 0x5490b9 - SendDlgItemMessageA
• 0x5490bd - MapWindowPoints
• 0x5490c1 - AdjustWindowRectEx
• 0x5490c5 - GetScrollPos
• 0x5490c9 - RegisterClassA
• 0x5490cd - GetMenuItemCount
• 0x5490d1 - GetMenuItemID
• 0x5490d5 - CreateWindowExA
• 0x5490d9 - SetWindowsHookExA
• 0x5490dd - CallNextHookEx
• 0x5490e1 - GetClassLongA
• 0x5490e5 - SetPropA
• 0x5490e9 - UnhookWindowsHookEx
• 0x5490ed - GetPropA
• 0x5490f1 - SetCursor
• 0x5490f5 - GetDC
• 0x5490f9 - FillRect
• 0x5490fd - IsRectEmpty
• 0x549101 - ReleaseDC
• 0x549105 - IsChild
• 0x549109 - DestroyMenu
• 0x54910d - SetForegroundWindow
• 0x549111 - GetWindowRect
• 0x549115 - EqualRect
• 0x549119 - UpdateWindow
• 0x54911d - ValidateRect
• 0x549121 - InvalidateRect
• 0x549125 - GetClientRect
• 0x549129 - GetFocus
• 0x54912d - GetParent
• 0x549131 - GetTopWindow
• 0x549135 - PostMessageA
• 0x549139 - IsWindow
• 0x54913d - SetParent
• 0x549141 - DestroyCursor
• 0x549145 - SendMessageA
• 0x549149 - SetWindowPos
• 0x54914d - MessageBoxA
• 0x549151 - GetCursorPos
• 0x549155 - GetSystemMetrics
• 0x549159 - EmptyClipboard
• 0x54915d - SetClipboardData
• 0x549161 - OpenClipboard
• 0x549165 - GetClipboardData
• 0x549169 - CloseClipboard
• 0x54916d - wsprintfA
• 0x549171 - WaitForInputIdle
• 0x549175 - GetDlgCtrlID
• 0x549179 - CreateAcceleratorTableA
• 0x54917d - CreateMenu
• 0x549181 - ModifyMenuA
• 0x549185 - AppendMenuA
• 0x549189 - CreatePopupMenu
• 0x54918d - DrawIconEx
• 0x549191 - CreateIconFromResource
• 0x549195 - CreateIconFromResourceEx
• 0x549199 - RegisterClipboardFormatA
• 0x54919d - SetRectEmpty
• 0x5491a1 - DispatchMessageA
• 0x5491a5 - GetMessageA
• 0x5491a9 - WindowFromPoint
• 0x5491ad - DrawFocusRect
• 0x5491b1 - DrawEdge
• 0x5491b5 - DrawFrameControl
• 0x5491b9 - TranslateMessage
• 0x5491bd - GetForegroundWindow
• 0x5491c1 - UnregisterClassA
• 0x5491c5 - GetDesktopWindow
• 0x5491c9 - GetClassNameA
• 0x5491cd - GetWindowThreadProcessId
• 0x5491d1 - FindWindowA
• 0x5491d5 - GetDlgItem
• 0x5491d9 - GetWindowTextA
• 0x5491dd - SetWindowTextA
• 0x5491e1 - SetActiveWindow
• 0x5491e5 - LoadIconA
• 0x5491e9 - GetWindowTextLengthA
• 0x5491ed - CharUpperA
• 0x5491f1 - GetWindowDC
• 0x5491f5 - BeginPaint
• 0x5491f9 - EndPaint
• 0x5491fd - TabbedTextOutA
• 0x549201 - DrawTextA
• 0x549205 - GrayStringA
• 0x549209 - DestroyWindow
• 0x54920d - CreateDialogIndirectParamA
• 0x549211 - EndDialog
• 0x549215 - GetNextDlgTabItem
• 0x549219 - GetWindowPlacement
• 0x54921d - RegisterWindowMessageA
• 0x549221 - GetLastActivePopup
• 0x549225 - GetMessageTime
• 0x549229 - RemovePropA
• 0x54922d - CallWindowProcA
库 GDI32.dll:
• 0x549235 - Escape
• 0x549239 - ExtTextOutA
• 0x54923d - TextOutA
• 0x549241 - RectVisible
• 0x549245 - PtVisible
• 0x549249 - GetViewportExtEx
• 0x54924d - ExtSelectClipRgn
• 0x549251 - RoundRect
• 0x549255 - GetTextExtentPoint32A
• 0x549259 - GetDeviceCaps
• 0x54925d - EndPath
• 0x549261 - BeginPath
• 0x549265 - GetWindowOrgEx
• 0x549269 - GetViewportOrgEx
• 0x54926d - GetWindowExtEx
• 0x549271 - GetDIBits
• 0x549275 - RealizePalette
• 0x549279 - GetTextMetricsA
• 0x54927d - StretchBlt
• 0x549281 - CreatePalette
• 0x549285 - GetSystemPaletteEntries
• 0x549289 - CreateDIBitmap
• 0x54928d - DeleteObject
• 0x549291 - SelectClipRgn
• 0x549295 - CreatePolygonRgn
• 0x549299 - GetClipRgn
• 0x54929d - SetStretchBltMode
• 0x5492a1 - CreateRectRgnIndirect
• 0x5492a5 - SetBkColor
• 0x5492a9 - LineTo
• 0x5492ad - MoveToEx
• 0x5492b1 - ExcludeClipRect
• 0x5492b5 - GetClipBox
• 0x5492b9 - ScaleWindowExtEx
• 0x5492bd - SetWindowExtEx
• 0x5492c1 - SetWindowOrgEx
• 0x5492c5 - ScaleViewportExtEx
• 0x5492c9 - SetViewportExtEx
• 0x5492cd - GetCurrentObject
• 0x5492d1 - DPtoLP
• 0x5492d5 - LPtoDP
• 0x5492d9 - Rectangle
• 0x5492dd - Ellipse
• 0x5492e1 - CreateCompatibleDC
• 0x5492e5 - BitBlt
• 0x5492e9 - StartPage
• 0x5492ed - StartDocA
• 0x5492f1 - DeleteDC
• 0x5492f5 - EndDoc
• 0x5492f9 - EndPage
• 0x5492fd - CreateFontIndirectA
• 0x549301 - GetStockObject
• 0x549305 - CreateSolidBrush
• 0x549309 - FillRgn
• 0x54930d - CreateRectRgn
• 0x549311 - CombineRgn
• 0x549315 - PatBlt
• 0x549319 - CreatePen
• 0x54931d - GetObjectA
• 0x549321 - SelectObject
• 0x549325 - CreateBitmap
• 0x549329 - OffsetViewportOrgEx
• 0x54932d - SetViewportOrgEx
• 0x549331 - SetMapMode
• 0x549335 - SetTextColor
• 0x549339 - SetROP2
• 0x54933d - SetPolyFillMode
• 0x549341 - SetBkMode
• 0x549345 - RestoreDC
• 0x549349 - CreateDCA
• 0x54934d - CreateCompatibleBitmap
• 0x549351 - GetPolyFillMode
• 0x549355 - GetStretchBltMode
• 0x549359 - GetROP2
• 0x54935d - GetBkColor
• 0x549361 - GetBkMode
• 0x549365 - GetTextColor
• 0x549369 - CreateRoundRectRgn
• 0x54936d - CreateEllipticRgn
• 0x549371 - SelectPalette
• 0x549375 - SaveDC
• 0x549379 - PathToRegion
库 WINSPOOL.DRV:
• 0x549381 - OpenPrinterA
• 0x549385 - DocumentPropertiesA
• 0x549389 - ClosePrinter
库 ADVAPI32.dll:
• 0x549391 - RegQueryValueExA
• 0x549395 - RegOpenKeyExA
• 0x549399 - RegSetValueExA
• 0x54939d - RegDeleteValueA
• 0x5493a1 - RegDeleteKeyA
• 0x5493a5 - RegQueryValueA
• 0x5493a9 - RegCreateKeyExA
• 0x5493ad - RegEnumKeyA
• 0x5493b1 - RegCloseKey
• 0x5493b5 - InitializeSecurityDescriptor
• 0x5493b9 - SetSecurityDescriptorDacl
• 0x5493bd - RegOpenKeyA
库 SHELL32.dll:
• 0x5493c5 - Shell_NotifyIconA
• 0x5493c9 - ShellExecuteA
• 0x5493cd - SHGetSpecialFolderPathA
库 ole32.dll:
• 0x5493d5 - CLSIDFromString
• 0x5493d9 - OleUninitialize
• 0x5493dd - OleInitialize
库 OLEAUT32.dll:
• 0x5493e5 - LoadTypeLib
• 0x5493e9 - RegisterTypeLib
• 0x5493ed - UnRegisterTypeLib
库 COMCTL32.dll:
• 0x5493f5 - None
• 0x5493f9 - ImageList_Destroy
库 WININET.dll:
• 0x549401 - InternetCloseHandle
库 comdlg32.dll:
• 0x549409 - ChooseColorA
• 0x54940d - GetOpenFileNameA
• 0x549411 - GetFileTitleA
• 0x549415 - GetSaveFileNameA
库 KERNEL32.dll:
• 0x54941d - VirtualProtect
• 0x549421 - GetModuleFileNameA
• 0x549425 - ExitProcess
库 USER32.dll:
• 0x54942d - MessageBoxA
投放文件
行为分析
互斥量(Mutexes)
- ESPI_GMEM_MUTEX 1.0
执行的命令
- cmd /c title \xe5\xb0\x8f\xe5\x92\x96
创建的服务
无信息
启动的服务
无信息
进程
_____________________.exe PID: 2668, 上一级进程 PID: 2296
cmd.exe PID: 2768, 上一级进程 PID: 2668
访问的文件
- C:\
- C:\Users\test\AppData\Local\Temp\xiaoka.dll
- C:\Windows\System32\ESPI11.dll
- C:\Windows\System32\mswsock.dll
- C:\Users\test\AppData\Local\Temp\user32.dll
- C:\Users\test\AppData\Local\Temp
- C:\Users
- C:\Users\test
- C:\Users\test\AppData
- C:\Users\test\AppData\Local
读取的文件
- C:\Windows\System32\ESPI11.dll
- C:\Users\test\AppData\Local\Temp\xiaoka.dll
- C:\Windows\System32\mswsock.dll
修改的文件
- C:\Users\test\AppData\Local\Temp\xiaoka.dll
- C:\Windows\System32\ESPI11.dll
删除的文件
- C:\Users\test\AppData\Local\Temp\xiaoka.dll
注册表键
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\xiaoka.dll
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DisableUNCCheck
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\EnableExtensions
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DelayedExpansion
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DefaultColor
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\CompletionChar
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\PathCompletionChar
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\AutoRun
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting\WMR
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR\Disable
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\xiaoka.dll
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DisableUNCCheck
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\EnableExtensions
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DelayedExpansion
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DefaultColor
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\CompletionChar
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\PathCompletionChar
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\AutoRun
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar
- HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR\Disable
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
删除的注册表键
无信息
API解析
- kernel32.dll.IsProcessorFeaturePresent
- cryptbase.dll.SystemFunction036
- d3d9.dll.Direct3DCreate9
- xiaoka.dll.SetPara
- xiaoka.dll.GetNPMVersion
- espi11.dll.SetPara
- mswsock.dll.WSPStartup
- user32.dll.FindWindowA
- kernel32.dll.SetThreadUILanguage
- kernel32.dll.CopyFileExW
- kernel32.dll.IsDebuggerPresent
- kernel32.dll.SetConsoleInputExeNameW