收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 如何单开hips拦截这个恶搞程序
12下一页
返回列表 发新帖
查看: 6423|回复: 16
收起左侧

[求助] 如何单开hips拦截这个恶搞程序

[复制链接]
Jason_Tatakor
发表于 2016-1-20 20:53:19 | 显示全部楼层 |阅读模式
本帖最后由 yhzhang 于 2016-1-20 21:21 编辑

样本见附件
规则来自自改编的温馨规则。@柯林
来自样本区http://bbs.kafan.cn/thread-1935363-1-1.html
火绒剑日志如下:
20:45:34:320,        FunkToy.exe,        3472:0,        3472,        EXEC_create,        C:\Users\你懂的\Desktop\FunkToy\FunkToy.exe,        parent_pid:3076 cmdline:'"C:\Users\你懂的\Desktop\FunkToy\FunkToy.exe" ' image_base:0x0000000000C40000 image_size:0x0008D000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64win.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64win.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64cpu.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\System32\wow64cpu.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WOW64,        access:0x00000001 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,        access:0x00000009 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Option,        access:0x00000003 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Option,        access:0x00000003 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\GP\DLL,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Srp\GP\DLL,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers,        access:0x00000001 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\TransparentEnabled,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers,        access:0x00000001 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\sechost.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\sechost.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\ExtendedLocale,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\ExtendedLocale,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Sorting\Versions,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Sorting\Versions,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Sorting\Versions\,        type:0x00000001 datalen:36 data:'30 00 30 00 30 00 36 00 30 00 31 00 30 00 31 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00000001 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE,        access:0x02000000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Diagnostics,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00100001 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00100001 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\imm32.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Compatibility32,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\IME Compatibility,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs,        type:0x00000001 datalen:68 data:'20 00 20 00 43 00 3A 00 5C 00 57 00 69 00 6E 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\guard32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\guard32.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:0,        3472,        EXEC_module_load,        C:\Windows\SysWOW64\guard32.dll,        base:0x0000000010000000 size:0x00048000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\version.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\version.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\fltLib.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\fltLib.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dtrampo.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dtrampo.dll,        access:0x00100001 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dtrampo.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dtrampo.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:0,        3472,        EXEC_module_load,        C:\Windows\SysWOW64\dtrampo.dll,        base:0x000000006ABD0000 size:0x00031000 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\00000804,        type:0x00000001 datalen:4 data:'61 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:320,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups\a,        type:0x00000001 datalen:4 data:'31 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:45:34:335,        FunkToy.exe,        3472:2004,        3472,        PROC_open,        ,        target_pid:-1 access:0x00000400 ,        0xC000000B [参数错误。  ],       
20:47:12:163,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:47:12:164,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR\Disable,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:164,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\00000804,        type:0x00000001 datalen:4 data:'61 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:164,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups\a,        type:0x00000001 datalen:4 data:'31 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:165,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontLink\SystemLink,        access:0x00000009 ,        0x00000000 [操作成功完成。  ],       
20:47:12:168,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:47:12:168,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0\DataFilePath,        type:0x00000001 datalen:66 data:'43 00 3A 00 5C 00 57 00 69 00 6E 00 64 00 6F 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:168,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\Fonts\StaticCache.dat,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:169,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:47:12:169,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane2,        type:0x00000001 datalen:24 data:'53 00 69 00 6D 00 53 00 75 00 6E 00 2D 00 45 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:169,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\Plane2,        type:0x00000001 datalen:24 data:'53 00 69 00 6D 00 53 00 75 00 6E 00 2D 00 45 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:170,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback,        access:0x00000009 ,        0x00000000 [操作成功完成。  ],       
20:47:12:170,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback\微软雅黑,        access:0x00000001 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:170,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\uxtheme.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:171,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\uxtheme.dll,        access:0x00100001 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:171,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\uxtheme.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:171,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\uxtheme.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:175,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dwmapi.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:175,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\dwmapi.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:177,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CTF\Compatibility\FunkToy.exe,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:178,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\ole32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:178,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\ole32.dll,        access:0x00100001 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:178,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\ole32.dll,        access:0x00000080 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00200000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:178,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\ole32.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:179,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:179,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:179,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\OLE,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:180,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\Tracing,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:180,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\Tracing,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:180,        FunkToy.exe,        3472:3228,        3472,        PROC_open,        ,        target_pid:-1 access:0x00000400 ,        0xC000000B [参数错误。  ],       
20:47:12:181,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{0000897b-83df-4b96-be07-0fb58b01c4a4}\LanguageProfile\0x00000000\{0001bea3-ed56-483d-a2e2-aeae25577436},        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:181,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{0000897b-83df-4b96-be07-0fb58b01c4a4}\LanguageProfile\0x00000000\{0001bea3-ed56-483d-a2e2-aeae25577436},        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:181,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{0000897b-83df-4b96-be07-0fb58b01c4a4}\LanguageProfile\0x00000000\{0001bea3-ed56-483d-a2e2-aeae25577436}\Enable,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:182,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CTF\TIP\,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:182,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{0000897b-83df-4b96-be07-0fb58b01c4a4}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:182,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{03B5835F-F03C-411B-9CE2-AA23E1171E36}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:182,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{07EB03D6-B001-41DF-9192-BF9B841EE71F}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:182,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{3697C5FA-60DD-4B56-92D4-74A569205C16}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{3FC47A08-E5C9-4BCA-A2C7-BC9A282AED14}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{531FDEBF-9B4C-4A43-A2AA-960E8FCDC732}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{78CB5B0E-26ED-4FCC-854C-77E8F3D1AA80}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{81D4E9C9-1D3B-41BC-9E6C-4B40BF79E35E}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{8613E14C-D0C0-4161-AC0F-1DD2563286BC}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{A028AE76-01B1-46C2-99C4-ACD9858AE02F}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{AE6BE008-07FB-400D-8BEB-337A64F7051F}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{C1EE01F2-B3B6-4A6A-9DDD-E988C088EC82}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{DCBD6FA8-032F-11D3-B5B1-00C04FC324A1}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{E429B25A-E5D3-4D1F-9BE3-0C608477E3A1}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{F25E9F57-2FC8-4EB3-A41A-CCE5F08541E6}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\TIP\{F89E9E58-BD2F-4008-9AC2-0F816C09F4EE}\Category\Category\{534C48C1-0607-4098-A521-4FC899C73E90},        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Keyboard Layout\Toggle,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:183,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\Globalization\Sorting\SortDefault.nls,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale,        access:0x00000001 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\CustomLocale,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NLS\Language,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NLS\Language,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\Type,        type:0x00000004 datalen:4 data:'92 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\DefaultFallback,        type:0x00000001 datalen:12 data:'65 00 6E 00 2D 00 55 00 53 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\zh-CN\en-US,        type:0x00000007 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\PendingDelete,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\UILanguages\PendingDelete,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x02000000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:184,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Control Panel\Desktop\MuiCached\MachineLanguageConfiguration,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\Settings\LanguageConfiguration,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MUI\Settings\LanguageConfiguration,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x02000000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Software\Policies\Microsoft\Control Panel\Desktop,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Control Panel\Desktop\LanguageConfiguration,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x02000000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Software\Policies\Microsoft\Control Panel\Desktop,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Control Panel\Desktop,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MUI\Settings,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x02000000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Control Panel\Desktop\MuiCached,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_CURRENT_USER\Control Panel\Desktop\MuiCached\MachinePreferredUILanguages,        type:0x00000007 datalen:12 data:'7A 00 68 00 2D 00 43 00 4E 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CMF\Config,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CMF\Config,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:185,        FunkToy.exe,        3472:1836,        3472,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CMF\Config\SYSTEM,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],       
20:47:12:186,        FunkToy.exe,        3472:1836,        3472,        FILE_open,        C:\Windows\SysWOW64\zh-CN\msctf.dll.mui,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],       
20:47:12:186,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:186,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_CURRENT_USER\Software\Microsoft\CTF\DirectSwitchHotkeys,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:12:186,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CTF\,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:13:180,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CTF\KnownClasses,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],       
20:47:13:389,        FunkToy.exe,        3472:1836,        3472,        PROC_open,        ,        target_pid:-1 access:0x00000400 ,        0xC000000B [参数错误。  ],       
20:47:13:389,        FunkToy.exe,        3472:1836,        3472,        REG_openkey,        HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\GRE_Initialize,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],       
20:47:13:391,        FunkToy.exe,        3472:0,        3472,        EXEC_destroy,        C:\Users\你懂的\Desktop\FunkToy\FunkToy.exe,        parent_pid:3076 cmdline:'"C:\Users\你懂的\Desktop\FunkToy\FunkToy.exe" ' ,        0x00000000 [操作成功完成。  ],       

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

柯林
发表于 2016-1-20 23:03:11 | 显示全部楼层
这个不知道你具体怎么修改的,你看原版的规则能拦截不?
火绒剑不熟悉,看你贴的日志,那些注册表项,毛豆默认规则里是不是有那个control项,印象模糊了,另外那些对dll文件的访问,是改写的话,就是感染型病毒了,毛豆默认是针对可执行文件实施监控保护的,如果没有被注入利用的合法程序,陌生程序执行修改dll动作会被监控到的
你看下,就用官方默认规则,开疯狂模式,能不能防御?如果没问题,再比对查找下你修改的规则,看是哪里放过了?
很久没用豆了,现在装的FSCS,请用豆的朋友帮你测试下
回复

举报

Jason_Tatakor
 楼主| 发表于 2016-1-20 23:31:49 来自手机 | 显示全部楼层
好的,谢谢柯大。明天发规则给你,现在也不知道哪些坛友在用毛豆了,用纯墙的更少,好冷清的赶脚
回复

举报

Jason_Tatakor
 楼主| 发表于 2016-1-20 23:32:11 来自手机 | 显示全部楼层
本帖最后由 yhzhang 于 2016-1-21 13:25 编辑

编辑掉
回复

举报

Jason_Tatakor
 楼主| 发表于 2016-1-20 23:32:28 来自手机 | 显示全部楼层
本帖最后由 yhzhang 于 2016-1-21 13:25 编辑

编辑掉
回复

举报

Jason_Tatakor
 楼主| 发表于 2016-1-20 23:35:30 来自手机 | 显示全部楼层
本帖最后由 yhzhang 于 2016-1-21 13:26 编辑

编辑掉
回复

举报

Jason_Tatakor
 楼主| 发表于 2016-1-20 23:37:09 来自手机 | 显示全部楼层
网路问题,好几连了,抱歉。
回复

举报

柯林
发表于 2016-1-21 00:16:05 | 显示全部楼层
yhzhang 发表于 2016-1-20 23:37
网路问题,好几连了,抱歉。

你发规则给我,我也没法看。要不你放上规则,让豆油们导入后帮你看看
回复

举报

羽扇纶巾
发表于 2016-1-22 00:35:40 | 显示全部楼层
本帖最后由 羽扇纶巾 于 2016-1-22 00:48 编辑

是第一个吗?“...修改注册表,开机启动,无限重启”

温馨规则的RD监控的是*,而且其自定义全局垫底;◎基本权限的程序;◎基本可信的程序,都明确阻止了——[RD]注册表保护(阻止)——*\*ControlSet*\Control\*(注:此处防进入安全模式被破坏已经绰绰有余。)

不可能拦不住。

怎么。楼主改规则了,还是量权失衡?
回复

举报

综合症初期患者
发表于 2016-1-22 01:52:29 | 显示全部楼层
羽扇纶巾 发表于 2016-1-22 00:35
是第一个吗?“...修改注册表,开机启动,无限重启”

温馨规则的RD监控的是*,而且其自定义全局垫底;◎ ...

看文件名就知道是第二个啊...
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-7 13:37 , Processed in 0.157220 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表