某直播平台抢币辅助软件

不甜不要钱

老爸喜欢看直播，喜欢给主播刷刷免费礼物什么的一般都是抢土豪刷礼物给的箱子里的游戏币，但是奈何网速和手速不行好多时候只能看别人抢，然后老爸就不知道从那里搞来了这个“软件”来抢币，中间运行好几次都被360拦截“恶意网络访问”和“线程注入”！我给老爸说了不要用这些东西，小心电脑GG就开心了！他就是说没毒放心都抢了好多次了，360扫描没什么问题，但是我放到“哈勃”看了一下这玩意好像真的不正常关键行为

行为描述：	跨进程写入数据
详情信息：	TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150000, Size = 0x00000020 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150020, Size = 0x00000034 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x7ffde238, Size = 0x00000004 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150000, Size = 0x00000020 TargetPID = 0x00000efc TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150020, Size = 0x00000034 TargetPID = 0x00000efc TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004 TargetPID = 0x00000efc
行为描述：	探测 Virtual PC是否存在
详情信息：	N/A
行为描述：	直接调用系统关键API
详情信息：	Index = 0x000000EA, Name: NtQueryInformationProcess, Instruction Address = 0x007FA334 Index = 0x0000014F, Name: NtSetInformationThread, Instruction Address = 0x00808DF1 Index = 0x000000EA, Name: NtQueryInformationProcess, Instruction Address = 0x0080C939
行为描述：	杀掉进程
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\b70c.exe
行为描述：	尝试打开调试器或监控软件的驱动设备对象
详情信息：	\??\SICE \??\SIWVID \??\NTICE
行为描述：	查询注册表_检测虚拟机相关
详情信息：	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
行为描述：	获取TickCount值
详情信息：	TickCount = 169641, SleepMilliseconds = 2001. TickCount = 174907, SleepMilliseconds = 2001. TickCount = 175016, SleepMilliseconds = 2001. TickCount = 175032, SleepMilliseconds = 2001. TickCount = 175172, SleepMilliseconds = 2001. TickCount = 174346, SleepMilliseconds = 300. TickCount = 176297, SleepMilliseconds = 2001. TickCount = 174612, SleepMilliseconds = 300. TickCount = 174628, SleepMilliseconds = 300. TickCount = 174643, SleepMilliseconds = 300. TickCount = 176563, SleepMilliseconds = 2001. TickCount = 179625, SleepMilliseconds = 5000. TickCount = 177188, SleepMilliseconds = 2001. TickCount = 177235, SleepMilliseconds = 2001. TickCount = 175550, SleepMilliseconds = 300.
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0x3927d1d7, EDX = 0x0000008d EAX = 0x3927d223, EDX = 0x0000008d EAX = 0x3927d26f, EDX = 0x0000008d EAX = 0x3927d2bb, EDX = 0x0000008d EAX = 0x3927d307, EDX = 0x0000008d EAX = 0x3927d353, EDX = 0x0000008d EAX = 0x3927d39f, EDX = 0x0000008d EAX = 0x3927d3eb, EDX = 0x0000008d EAX = 0x3927d437, EDX = 0x0000008d EAX = 0x3927d483, EDX = 0x0000008d EAX = 0xfd7a8aa7, EDX = 0x00000092 EAX = 0x1fe4c097, EDX = 0x00000093 EAX = 0x1fe4c0e3, EDX = 0x00000093 EAX = 0x1fe4c12f, EDX = 0x00000093 EAX = 0x1fe4c17b, EDX = 0x00000093
行为描述：	查找指定内核模块
详情信息：	lstrcmpiA: ntice.sys <------> ntkrnlpa.exe Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> halmacpi.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> kdcom.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> mcupdate_GenuineIntel.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> PSHED.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> BOOTVID.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> CLFS.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> CI.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> Wdf01000.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> WDFLDR.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> ACPI.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> WMILIB.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> msisadrv.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> pci.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> vdrvroot.sys Des: SoftICE驱动
行为描述：	查找反病毒常用工具窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [OLLYDBG,] NtUserFindWindowEx: [Class,Window] = [GBDYLLO,] NtUserFindWindowEx: [Class,Window] = [pediy06,] NtUserFindWindowEx: [Class,Window] = [FilemonClass,] NtUserFindWindowEx: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com] NtUserFindWindowEx: [Class,Window] = [PROCMON_WINDOW_CLASS,] NtUserFindWindowEx: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com] NtUserFindWindowEx: [Class,Window] = [RegmonClass,] NtUserFindWindowEx: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]
行为描述：	VMWare特殊指令检测虚拟机
详情信息：	N/A

提示“轻度风险”，说真的真怕是“表面辅助”“合法远控”，就怕老爸笔记本变成了远控肉鸡老爸很多工作资料都在他电脑上，挺为他担心的....希望大家帮我仔细看看这个软件到底问题多不多，也好让我给老爸做思想工作。谢谢大家了

文件超过上传限制（文件为29M），就用百度网盘分享了：链接：https://pan.baidu.com/s/1kW0ovX1 密码：00tq

安全守护者

建议楼主下次打包再传

安全守护者

1. 08:39:48[1]：(允许)程序启动：File_Analysis 行为记录成功开启   规则版本：2.3.0.0
   
2. 
   
3. 08:39:48[2]：(允许)打开内核对象：\\.\SICE(物理设备)
   
4. 
   
5. 08:39:48[3]：(允许)打开内核对象：\\.\SIWVID(物理设备)
   
6. 
   
7. 08:39:48[4]：(允许)打开内核对象：\\.\NTICE(物理设备)
   
8. 
   
9. 08:39:48[5]：(允许)读取文件：\\.\HR::DTrampo
   
10. 
    
11. 08:39:48[6]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc     数据：
    
12. 
    
13. 08:39:48[7]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\SystemBiosVersion     数据：Intel(R) HD Graphics
    
14. 
    
15. 08:39:48[8]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\VideoBiosVersion     数据：_ASUS_ - 1072009
    
16. 
    
17. 08:39:48[9]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\SystemBiosVersion     数据：_ASUS_ - 1072009
    
18. 
    
19. 08:39:48[10]：(允许)查找窗口：OLLYDBG(窗口类名)
    
20. 
    
21. 08:39:48[11]：(允许)查找窗口：GBDYLLO(窗口类名)
    
22. 
    
23. 08:39:48[12]：(允许)查找窗口：pediy06(窗口类名)
    
24. 
    
25. 08:39:48[13]：(允许)获取进程快照：系统全部进程
    
26. 
    
27. 08:39:48[14]：(允许)读取文件：C:\Windows\system32\ntdll.dll
    
28. 
    
29. 08:39:48[15]：(允许)查找窗口：FilemonClass(窗口类名)
    
30. 
    
31. 08:39:48[16]：(允许)查找窗口：(窗口类名)
    
32. 
    
33. 08:39:48[17]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
    
34. 
    
35. 08:39:48[18]：(允许)查找窗口：(窗口类名)
    
36. 
    
37. 08:39:48[19]：(允许)查找窗口：RegmonClass(窗口类名)
    
38. 
    
39. 08:39:48[20]：(允许)查找窗口：(窗口类名)
    
40. 
    
41. 08:39:48[21]：(允许)查找窗口：18467-41(窗口类名)
    
42. 
    
43. 08:39:48[22]：(允许)查找窗口：FilemonClass(窗口类名)
    
44. 
    
45. 08:39:48[23]：(允许)查找窗口：(窗口类名)
    
46. 
    
47. 08:39:48[24]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
    
48. 
    
49. 08:39:48[25]：(允许)查找窗口：(窗口类名)
    
50. 
    
51. 08:39:49[26]：(允许)打开内核对象：\\.\PIPE\wkssvc(物理设备)
    
52. 
    
53. 08:39:49[27]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\hash
    
54. 
    
55. 08:39:49[28]：(允许)获取文件属性：C:\Users\Administrator
    
56. 
    
57. 08:39:49[29]：(允许)获取文件属性：C:\Users\Administrator\.config\chrome-trace-config.json
    
58. 
    
59. 08:39:49[30]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/aurora.bin
    
60. 
    
61. 08:39:49[31]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\snapshot_blob.bin
    
62. 
    
63. 08:39:49[32]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/natives.bin
    
64. 
    
65. 08:39:49[33]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPepper\PlayerPath     数据：
    
66. 
    
67. 08:39:49[34]：(允许)获取文件属性：
    
68. 
    
69. 08:39:49[36]：(允许)获取文件属性：.
    
70. 
    
71. 08:39:49[37]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming
    
72. 
    
73. 08:39:49[38]：(安全环境)创建文件目录：
    
74. 
    
75. 08:39:49[39]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local
    
76. 
    
77. 08:39:49[40]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local\CEF\User Data
    
78. 
    
79. 08:39:49[41]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local\CEF\User Data\Dictionaries
    
80. 
    
81. 08:39:49[42]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\widevinecdmadapter.dll
    
82. 
    
83. 08:39:49[43]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins
    
84. 
    
85. 08:39:49[44]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang
    
86. 
    
87. 08:39:49[45]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang\zh-CN.pak
    
88. 
    
89. 08:39:49[47]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang\zh-CN.pak
    
90. 
    
91. 08:39:49[48]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev.bin
    
92. 
    
93. 08:39:49[49]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev.bin
    
94. 
    
95. 08:39:50[50]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget001.bin
    
96. 
    
97. 08:39:50[51]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget001.bin
    
98. 
    
99. 08:39:50[52]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget003.bin
    
100. 
     
101. 08:39:50[53]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev_res.bin
     
102. 
     
103. 08:39:50[54]：(允许)获取文件属性：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
104. 
     
105. 08:39:50[57]：(允许)查找文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
106. 
     
107. 08:39:50[58]：(允许)读取文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
108. 
     
109. 08:39:50[59]：(允许)获取文件属性：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
110. 
     
111. 08:39:50[62]：(允许)查找文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
112. 
     
113. 08:39:50[63]：(允许)读取文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
     
114. 
     
115. 08:39:50[64]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QQPCMgr\DisplayIcon     数据：
     
116. 
     
117. 08:39:50[66]：(允许)获取文件属性：C:\Program Files (x86)\Tencent\QQPCMgr\12.8.19072.214\QQPCMgr.exe
     
118. 
     
119. 08:39:50[67]：(允许)查找窗口：OLLYDBG(窗口类名)
     
120. 
     
121. 08:39:50[68]：(允许)查找窗口：GBDYLLO(窗口类名)
     
122. 
     
123. 08:39:50[69]：(允许)查找窗口：pediy06(窗口类名)
     
124. 
     
125. 08:39:50[70]：(允许)读取文件：\\.\Nsi
     
126. 
     
127. 08:39:50[71]：(允许)获取文件属性：C:\Windows\system32\drivers\etc
     
128. 
     
129. 08:39:50[72]：(允许)获取文件属性：C:\Windows\system32\drivers\etc\hosts
     
130. 
     
131. 08:39:50[73]：(允许)读取文件：C:\Windows\system32\drivers\etc\hosts
     
132. 
     
133. 08:39:50[74]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}\0000\DriverVersion     数据：{4d36e968-e325-11ce-bfc1-08002be10318}\0000
     
134. 
     
135. 08:39:50[75]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}\0000\DriverDate     数据：10.18.14.4578
     
136. 
     
137. 08:39:50[76]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ProviderName     数据：1-4-2017
     
138. 
     
139. 08:39:50[77]：(允许)获取文件属性：plugins\plugin.bin
     
140. 
     
141. 08:39:50[78]：(安全环境)创建进程："D:\File_Analysis 2.7[密码：520]\File_safe\极光繁星抢币工具v5.9.12.exe" --type=gpu-process --channel="4036.0.685381215\20435080" --no-sandbox --lang=zh-CN --log-severity=disable --supports-dual-gpus=false --gpu-driver-bug-workarounds=2,20,45 --gpu-vendor-id=0x8086 --gpu-device-id=0x0402 --gpu-driver-vendor="Intel Corporation" --gpu-driver-version=10.18.14.4578 --lang=zh-CN --log-severity=disable /prefetch:822062411
     
142. 
     
143. 08:39:51[79]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Extension     数据：
     
144. 
     
145. 08:39:51[80]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System\DNSClient\SearchList     数据：審圍
     
146. 
     
147. 08:39:51[81]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Domain     数据：�毑s
     
148. 
     
149. 08:39:51[82]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\UseDomainNameDevolution     数据：
     
150. 
     
151. 08:39:51[83]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\DomainNameDevolutionLevel     数据：
     
152. 
     
153. 08:39:51[84]：(阻止)创建注册表键：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Software\Microsoft\Windows\CurrentVersion\Internet Settings
     
154. 
     
155. 08:39:51[86]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\UseDomainNameDevolution     数据：
     
156. 
     
157. 08:39:51[87]：(阻止)创建注册表键：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
     
158. 
     
159. 08:39:51[88]：(允许)创建文件目录：C:\Users\Administrator
     
160. 
     
161. 08:39:51[89]：(允许)获取文件属性：C:\Users\Administrator
     
162. 
     
163. 08:39:51[90]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming
     
164. 
     
165. 08:39:52[91]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming
     
166. 
     
167. 08:39:52[92]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu
     
168. 
     
169. 08:39:52[93]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu
     
170. 
     
171. 08:39:52[94]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
     
172. 
     
173. 08:39:52[95]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\DomainNameDevolutionLevel     数据：
     
174. 
     
175. 08:39:52[96]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
     
176. 
     
177. 08:39:52[97]：(允许)查找窗口：OLLYDBG(窗口类名)
     
178. 
     
179. 08:39:52[98]：(允许)读取文件：C:\Windows\image.Dat
     
180. 
     
181. 08:39:52[99]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\DBFilter\\1002     数据：
     
182. 
     
183. 08:39:52[100]：(允许)查找窗口：GBDYLLO(窗口类名)
     
184. 
     
185. 08:39:52[101]：(允许)查找窗口：pediy06(窗口类名)
     
186. 
     
187. 08:39:52[102]：(允许)查找窗口：Regmonclass(窗口类名)
     
188. 
     
189. 08:39:53[103]：(允许)查找窗口：18467-41(窗口类名)
     
190. 
     
191. 08:39:53[104]：(允许)时间操作：设置定时器(一)     时间间隔：500ms
     
192. 
     
193. 08:39:53[105]：(允许)查找窗口：Filemonclass(窗口类名)
     
194. 
     
195. 08:39:53[106]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
     
196. 
     
197. 08:39:54[107]：(允许)查找窗口：OLLYDBG(窗口类名)
     
198. 
     
199. 08:39:54[108]：(允许)查找窗口：GBDYLLO(窗口类名)
     
200. 
     
201. 08:39:54[109]：(允许)查找窗口：pediy06(窗口类名)
     
202. 
     
203. 08:39:56[110]：(安全环境)创建进程：C:\Windows\SysWOW64\WerFault.exe     命令行：C:\Windows\SysWOW64\WerFault.exe -u -p 4036 -s 1820
     

复制代码

然后莫名其妙的没数据了
------------------------------------------------------------------------------------

1. 可执行程序属性信息        加壳信息 : 未发现加壳
   
2. 文件熵 : 7.992401 (可能存在加壳)
   
3. fpu反调试 : 未检测到
   
4. 载入地址 : 正常的载入点
   
5. 代码入口信息 : 可能是伪造入口
   
6. DOS stub : : 正常
   
7. TLS表信息 : 发现 - 包含1 个函数
   
8. 段信息 : 6
   
9. 可疑的名称 可能存在自修改代码
   
10. 资源段 : 未见异常
    
11. 输入表段 : 可疑的名称 长度过小
    
12. 可疑的名称 长度过小 可能存在自修改代码
    
13. zucuosew 可疑的名称 可能存在自修改代码
    
14. obasmqjz 可疑的名称 长度过小 可能存在自修改代码
    
15. 时间戳 : 未见异常
    
16. ASLR ： 未开启
    
17. DEP/NX ： 未开启
    
18. SEH ： 开启

复制代码

VT：https://www.virustotal.com/#/fil ... 442871527/detection
Tencent Habo：https://habo.qq.com/file/showdetail?pk=ADMGYV1pB2MIO1s6#runphoto

#根据分析结果，可以确认此样本存在异常行为【/没有那个正经软件去读取物理设备吧】，但鉴于杀软报告的结果以及未见显著恶意行为（只是查找），建议谨慎使用。
##此样本将同步到火绒进行分析。

ATP_synthase

检测虚拟机这一点就有问题，最好还是不用为好

安全守护者

火绒确认说该样本没有恶意代码
http://bbs.huorong.cn/forum.php? ... mp;page=1#pid206618

cloud01

这个事情只能让你妈妈管管！

不甜不要钱

安全守护者 发表于 2018-2-6 15:31
火绒确认说该样本没有恶意代码
http://bbs.huorong.cn/forum.php?mod=viewthread&tid=43846&page=1#pid206 ...

十分感谢大佬的分析，只要没什么大问题就好

不甜不要钱

cloud01 发表于 2018-2-6 16:19
这个事情只能让你妈妈管管！

我觉得你这个问题不能算问题

不甜不要钱

wusiyuanjh 发表于 2018-2-6 09:35
检测虚拟机这一点就有问题，最好还是不用为好

反虚拟机我也知道不好，但是讲给我爸听人家根本不听

ELOHIM

不老实，估计用户数量大了以后，就会漏出狐狸尾巴了。
——————
微软提示：Trojan:Win32/Azden.A!cl 未下载完直接拦截。