搜索
楼主: SUARP-BIGNUM
收起左侧

[病毒样本] 马失前蹄!分析病毒的时候中锁机

  [复制链接]
欧阳宣
发表于 2019-2-8 23:57:13 | 显示全部楼层
eset报的是壳

a variant of Win32/Packed.NoobyProtect.M
momo5269
发表于 2019-2-9 08:10:07 | 显示全部楼层

VSE 确实删掉了 但不知道为啥写清除失败……
abc277399
发表于 2019-2-9 09:44:40 | 显示全部楼层
360

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
慕希
发表于 2019-2-9 11:29:20 | 显示全部楼层
SUARP-BIGNUM 发表于 2019-2-8 22:55
既然都跑行为分析了,那就发个日志上来吧

跑了1分钟的日志11:25:12[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:2.9.0.0

11:25:13[2]:(允许)字符串3:C:\Windows\System32\ntdll.dll

11:25:13[3]:(允许)内联文件路径:C:\Windows\System32\ntdll.dll

11:25:13[5]:(允许)字符串3:C:\Windows\System32\KernelBase.dll

11:25:13[6]:(允许)内联文件路径:C:\Windows\System32\KernelBase.dll

11:25:13[8]:(允许)字符串3:C:\Windows\System32\kernel32.dll

11:25:13[9]:(允许)内联文件路径:C:\Windows\System32\kernel32.dll

11:25:14[11]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:14[12]:(允许)字符串3:C:\Windows\System32\user32.dll

11:25:14[13]:(允许)内联文件路径:C:\Windows\System32\user32.dll

11:25:14[15]:(允许)字符串3:C:\Windows\System32\advapi32.dll

11:25:14[16]:(允许)内联文件路径:C:\Windows\System32\advapi32.dll

11:25:14[18]:(允许)字符串3:C:\Windows\System32\IPHLPAPI.DLL

11:25:14[19]:(允许)内联文件路径:C:\Windows\System32\IPHLPAPI.DLL

11:25:15[21]:(允许)载入动态链接库:C:\Windows\system32\uxtheme.dll

11:25:15[22]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

11:25:15[23]:(允许)字符串3:C:\Windows\system32;;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[24]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

11:25:15[25]:(允许)加载库文件:C:\Windows\system32\uxtheme.dll     函数名:ThemeInitApiHook

11:25:15[26]:(允许)载入动态链接库:C:\Windows\system32\uxtheme.dll

11:25:15[27]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

11:25:15[28]:(允许)字符串3:C:\Windows\system32;;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[29]:(允许)加载库文件:C:\Windows\system32\uxtheme.dll     函数名:ThemeInitApiHook

11:25:15[30]:(允许)映射动态链接库:user32.dll

11:25:15[31]:(允许)加载库文件:user32.dll     函数名:IsProcessDPIAware

11:25:15[32]:(允许)字符串2:Tab

11:25:15[33]:(允许)载入动态链接库:C:\Windows\system32\uxtheme.dll

11:25:15[34]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

11:25:15[35]:(允许)字符串3:C:\Windows\system32;;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[36]:(允许)加载库文件:C:\Windows\system32\uxtheme.dll     函数名:ThemeInitApiHook

11:25:15[37]:(允许)载入动态链接库:C:\Windows\system32\uxtheme.dll

11:25:15[38]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

11:25:15[39]:(允许)字符串3:C:\Windows\system32;;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[40]:(允许)加载库文件:C:\Windows\system32\uxtheme.dll     函数名:ThemeInitApiHook

11:25:15[41]:(允许)字符串2:CompositedWindow::Window

11:25:15[42]:(允许)字符串3:C:\Windows\system32\rpcss.dll

11:25:15[43]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[44]:(允许)字符串3:C:\Windows\system32\rpcss.dll

11:25:15[45]:(允许)字符串3:CRYPTBASE.dll

11:25:15[46]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[47]:(允许)字符串3:C:\Windows\system32\CRYPTBASE.dll

11:25:15[48]:(允许)字符串3:C:\Windows\Globalization\Sorting\sortdefault.nls

11:25:15[49]:(允许)内联文件路径:C:\Windows\Globalization\Sorting\sortdefault.nls

11:25:15[50]:(允许)字符串3:C:\Users\ADMINI~1\AppData\Local\Temp

11:25:15[51]:(允许)映射动态链接库:apphelp.dll

11:25:15[52]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[53]:(允许)载入动态链接库:apphelp.dll

11:25:15[54]:(允许)字符串3:apphelp.dll

11:25:15[55]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:15[56]:(允许)字符串3:C:\Windows\system32\apphelp.dll

11:25:15[57]:(允许)加载库文件:apphelp.dll     函数名:ApphelpCheckIME

11:25:15[58]:(允许)映射动态链接库:ntdll.dll

11:25:15[59]:(允许)加载库文件:ntdll.dll     函数名:NtOpenKey

11:25:15[60]:(阻止)打开注册表键 KeyHandle:1238712     DesiredAccess:257     ObjectAttributes:1238668

11:25:15[61]:(允许)字符串3:C:\Users\ADMINI~1\AppData\Local\Temp

11:25:15[62]:(允许)字符串3:SOGOUPY.IME

11:25:15[63]:(允许)字符串3:Windows

11:25:15[64]:(允许)字符串3:system32

11:25:15[65]:(允许)字符串3:SOGOUPY.IME

11:25:15[66]:(允许)字符串3:\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

11:25:15[67]:(允许)字符串3:\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers

11:25:15[68]:(允许)字符串3:\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom

11:25:15[69]:(允许)字符串3:SogouPY.ime

11:25:15[70]:(允许)字符串3:*.*

11:25:15[71]:(允许)查找文件:C:\Windows\system32\*.*

11:25:16[72]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[73]:(允许)载入动态链接库:C:\Windows\system32\SogouPY.ime

11:25:16[74]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:16[75]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[76]:(允许)内联文件路径:C:\Windows\system32\SogouPY.ime

11:25:16[77]:(允许)载入动态链接库:C:\Windows\system32\SogouPY.ime

11:25:16[78]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:16[79]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[80]:(允许)内联文件路径:C:\Windows\system32\SogouPY.ime

11:25:16[81]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[82]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[83]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[84]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[85]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[86]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[87]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[88]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[89]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[90]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[91]:(允许)字符串3:C:\Windows\system32\TrustedInstaller.exe

11:25:16[92]:(允许)字符串3:C:\Windows\system32\SogouPY.ime

11:25:16[93]:(允许)读取文件:\??\C:\Windows\system32\SOGOUPY.IME

11:25:16[94]:(允许)字符串3:\??\C:\Windows\system32\SOGOUPY.IME

11:25:16[95]:(允许)内联文件路径:\??\C:\Windows\system32\SOGOUPY.IME

11:25:16[96]:(允许)载入动态链接库:C:\Windows\system32\SOGOUPY.IME

11:25:16[97]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:16[98]:(允许)字符串3:C:\Windows\system32\SOGOUPY.IME

11:25:18[100]:(允许)字符串3:C:\Windows\system32\MSIMG32.dll

11:25:18[101]:(允许)字符串3:C:\Windows\system32\WINHTTP.dll

11:25:18[102]:(允许)字符串3:C:\Windows\system32\webio.dll

11:25:18[103]:(允许)字符串3:C:\Windows\system32\OLEACC.dll

11:25:18[104]:(允许)映射动态链接库:advapi32.dll

11:25:18[105]:(允许)加载库文件:advapi32.dll     函数名:EventWrite

11:25:18[106]:(允许)加载库文件:advapi32.dll     函数名:EventRegister

11:25:18[107]:(允许)加载库文件:advapi32.dll     函数名:EventUnregister

11:25:18[108]:(允许)载入动态链接库:OLEACCRC.DLL

11:25:18[109]:(允许)字符串3:OLEACCRC.DLL

11:25:18[110]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:18[111]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe\OLEACCRC.DLL

11:25:18[112]:(允许)字符串3:C:\Windows\system32\OLEACCRC.DLL

11:25:18[113]:(允许)内联文件路径:C:\Windows\system32\OLEACCRC.DLL

11:25:19[114]:(允许)载入动态链接库:api-ms-win-core-synch-l1-2-0

11:25:19[115]:(允许)字符串3:api-ms-win-core-synch-l1-2-0

11:25:19[116]:(允许)字符串3:C:\Windows\system32

11:25:19[117]:(允许)字符串3:C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL

11:25:19[118]:(允许)加载库文件:api-ms-win-core-synch-l1-2-0     函数名:InitializeCriticalSectionEx

11:25:19[119]:(允许)载入动态链接库:api-ms-win-core-fibers-l1-1-1

11:25:19[120]:(允许)字符串3:api-ms-win-core-fibers-l1-1-1

11:25:19[121]:(允许)字符串3:C:\Windows\system32

11:25:19[122]:(允许)载入动态链接库:kernel32

11:25:19[123]:(允许)字符串3:kernel32

11:25:19[124]:(允许)字符串3:C:\Windows\system32

11:25:19[125]:(允许)加载库文件:kernel32     函数名:FlsAlloc

11:25:19[126]:(允许)加载库文件:kernel32     函数名:FlsSetValue

11:25:19[127]:(允许)载入动态链接库:api-ms-win-core-synch-l1-2-0

11:25:19[128]:(允许)字符串3:api-ms-win-core-synch-l1-2-0

11:25:19[129]:(允许)字符串3:C:\Windows\system32

11:25:19[130]:(允许)加载库文件:api-ms-win-core-synch-l1-2-0     函数名:InitializeCriticalSectionEx

11:25:19[131]:(允许)载入动态链接库:api-ms-win-core-fibers-l1-1-1

11:25:19[132]:(允许)字符串3:api-ms-win-core-fibers-l1-1-1

11:25:19[133]:(允许)字符串3:C:\Windows\system32

11:25:19[134]:(允许)载入动态链接库:kernel32

11:25:19[135]:(允许)字符串3:kernel32

11:25:19[136]:(允许)字符串3:C:\Windows\system32

11:25:19[137]:(允许)加载库文件:kernel32     函数名:FlsAlloc

11:25:19[138]:(允许)加载库文件:kernel32     函数名:FlsGetValue

11:25:19[139]:(允许)加载库文件:kernel32     函数名:FlsSetValue

11:25:19[140]:(允许)载入动态链接库:api-ms-win-core-localization-l1-2-1

11:25:19[141]:(允许)字符串3:api-ms-win-core-localization-l1-2-1

11:25:19[142]:(允许)字符串3:C:\Windows\system32

11:25:19[143]:(允许)加载库文件:api-ms-win-core-localization-l1-2-1     函数名:LCMapStringEx

11:25:19[144]:(允许)映射动态链接库:api-ms-win-core-synch-l1-2-0.dll

11:25:19[145]:(允许)加载库文件:api-ms-win-core-synch-l1-2-0.dll     函数名:InitializeConditionVariable

11:25:19[146]:(允许)加载库文件:api-ms-win-core-synch-l1-2-0.dll     函数名:SleepConditionVariableCS

11:25:19[147]:(允许)加载库文件:api-ms-win-core-synch-l1-2-0.dll     函数名:WakeAllConditionVariable

11:25:19[148]:(允许)映射动态链接库:kernel32.dll

11:25:19[149]:(允许)加载库文件:kernel32.dll     函数名:FlsAlloc

11:25:19[150]:(允许)加载库文件:kernel32.dll     函数名:FlsFree

11:25:19[151]:(允许)加载库文件:kernel32.dll     函数名:FlsGetValue

11:25:19[152]:(允许)加载库文件:kernel32.dll     函数名:FlsSetValue

11:25:19[153]:(允许)加载库文件:kernel32.dll     函数名:InitializeCriticalSectionEx

11:25:19[154]:(允许)加载库文件:kernel32.dll     函数名:InitOnceExecuteOnce

11:25:19[155]:(允许)加载库文件:kernel32.dll     函数名:CreateEventExW

11:25:19[156]:(允许)加载库文件:kernel32.dll     函数名:CreateSemaphoreW

11:25:19[157]:(允许)加载库文件:kernel32.dll     函数名:CreateSemaphoreExW

11:25:19[158]:(允许)加载库文件:kernel32.dll     函数名:CreateThreadpoolTimer

11:25:19[159]:(允许)加载库文件:kernel32.dll     函数名:SetThreadpoolTimer

11:25:19[160]:(允许)加载库文件:kernel32.dll     函数名:WaitForThreadpoolTimerCallbacks

11:25:19[161]:(允许)加载库文件:kernel32.dll     函数名:CloseThreadpoolTimer

11:25:19[162]:(允许)加载库文件:kernel32.dll     函数名:CreateThreadpoolWait

11:25:19[163]:(允许)加载库文件:kernel32.dll     函数名:SetThreadpoolWait

11:25:19[164]:(允许)加载库文件:kernel32.dll     函数名:CloseThreadpoolWait

11:25:19[165]:(允许)加载库文件:kernel32.dll     函数名:FlushProcessWriteBuffers

11:25:19[166]:(允许)加载库文件:kernel32.dll     函数名:FreeLibraryWhenCallbackReturns

11:25:19[167]:(允许)加载库文件:kernel32.dll     函数名:GetCurrentProcessorNumber

11:25:19[168]:(允许)加载库文件:kernel32.dll     函数名:CreateSymbolicLinkW

11:25:19[169]:(允许)加载库文件:kernel32.dll     函数名:GetCurrentPackageId

11:25:19[170]:(允许)加载库文件:kernel32.dll     函数名:GetTickCount64

11:25:19[171]:(允许)加载库文件:kernel32.dll     函数名:GetFileInformationByHandleEx

11:25:19[172]:(允许)加载库文件:kernel32.dll     函数名:SetFileInformationByHandle

11:25:19[173]:(允许)加载库文件:kernel32.dll     函数名:GetSystemTimePreciseAsFileTime

11:25:19[174]:(允许)加载库文件:kernel32.dll     函数名:InitializeConditionVariable

11:25:19[175]:(允许)加载库文件:kernel32.dll     函数名:WakeConditionVariable

11:25:19[176]:(允许)加载库文件:kernel32.dll     函数名:WakeAllConditionVariable

11:25:19[177]:(允许)加载库文件:kernel32.dll     函数名:SleepConditionVariableCS

11:25:19[178]:(允许)加载库文件:kernel32.dll     函数名:InitializeSRWLock

11:25:19[179]:(允许)加载库文件:kernel32.dll     函数名:AcquireSRWLockExclusive

11:25:19[180]:(允许)加载库文件:kernel32.dll     函数名:TryAcquireSRWLockExclusive

11:25:19[181]:(允许)加载库文件:kernel32.dll     函数名:ReleaseSRWLockExclusive

11:25:19[182]:(允许)加载库文件:kernel32.dll     函数名:SleepConditionVariableSRW

11:25:19[183]:(允许)加载库文件:kernel32.dll     函数名:CreateThreadpoolWork

11:25:19[184]:(允许)加载库文件:kernel32.dll     函数名:SubmitThreadpoolWork

11:25:19[185]:(允许)加载库文件:kernel32.dll     函数名:CloseThreadpoolWork

11:25:19[186]:(允许)加载库文件:kernel32.dll     函数名:CompareStringEx

11:25:19[187]:(允许)加载库文件:kernel32.dll     函数名:GetLocaleInfoEx

11:25:19[188]:(允许)加载库文件:kernel32.dll     函数名:LCMapStringEx

11:25:19[189]:(阻止)创建注册表键:\Software\SogouInput

11:25:19[190]:(允许)读取注册表键值:\excludetime     数据:

11:25:19[191]:(允许)字符串3:KERNELBASE.dll

11:25:19[192]:(允许)字符串3:C:\Windows\system32\

11:25:19[193]:(允许)字符串3:KERNELBASE.dll.mui

11:25:19[194]:(允许)内联文件路径:C:\Windows\system32\zh-CN\KERNELBASE.dll.mui

11:25:19[195]:(允许)字符串3:System\CurrentControlSet\Control\LSA\AccessProviders

11:25:19[196]:(允许)字符串3:MartaExtension

11:25:19[197]:(允许)字符串3:ntmarta.dll

11:25:19[198]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[199]:(允许)字符串3:C:\Windows\system32\ntmarta.dll

11:25:19[200]:(允许)字符串3:WLDAP32.dll

11:25:19[201]:(允许)字符串3:System\CurrentControlSet\Services\LDAP

11:25:19[202]:(允许)字符串3:LdapClientIntegrity

11:25:19[203]:(允许)字符串3:System\CurrentControlSet\Services\LDAP

11:25:19[204]:(允许)字符串3:UseOldHostResolutionOrder

11:25:19[205]:(允许)字符串3:System\CurrentControlSet\Services\LDAP

11:25:19[206]:(允许)字符串3:UseHostnameAsAlias

11:25:19[207]:(允许)字符串3:System\CurrentControlSet\Services\LDAP

11:25:19[208]:(允许)字符串3:IPv4LoopbackAlternative

11:25:19[209]:(允许)加载库文件:kernel32.dll     函数名:GetMartaExtensionInterface

11:25:19[210]:(允许)文件操作:映射文件至自身内存     映射名称:M533209721649eab2a767a298462b375afc542a3b88

11:25:19[211]:(允许)字符串3:SoftWare\SogouInput

11:25:19[212]:(允许)读取注册表键值:HKEY_CURRENT_USER\SoftWare\SogouInput\EnablePerf     数据:

11:25:19[213]:(允许)字符串3:EnablePerf

11:25:19[214]:(允许)加载库文件:kernel32.dll     函数名:ImeInquire

11:25:19[215]:(允许)加载库文件:kernel32.dll     函数名:ImeConversionList

11:25:19[216]:(允许)加载库文件:kernel32.dll     函数名:ImeRegisterWord

11:25:19[217]:(允许)加载库文件:kernel32.dll     函数名:ImeUnregisterWord

11:25:19[218]:(允许)加载库文件:kernel32.dll     函数名:ImeGetRegisterWordStyle

11:25:19[219]:(允许)加载库文件:kernel32.dll     函数名:ImeEnumRegisterWord

11:25:19[220]:(允许)加载库文件:kernel32.dll     函数名:ImeConfigure

11:25:19[221]:(允许)加载库文件:kernel32.dll     函数名:ImeDestroy

11:25:19[222]:(允许)加载库文件:kernel32.dll     函数名:ImeEscape

11:25:19[223]:(允许)加载库文件:kernel32.dll     函数名:ImeProcessKey

11:25:19[224]:(允许)加载库文件:kernel32.dll     函数名:ImeSelect

11:25:19[225]:(允许)加载库文件:kernel32.dll     函数名:ImeSetActiveContext

11:25:19[226]:(允许)加载库文件:kernel32.dll     函数名:ImeToAsciiEx

11:25:19[227]:(允许)加载库文件:kernel32.dll     函数名:NotifyIME

11:25:19[228]:(允许)加载库文件:kernel32.dll     函数名:ImeSetCompositionString

11:25:19[229]:(允许)加载库文件:kernel32.dll     函数名:ImeGetImeMenuItems

11:25:19[230]:(允许)字符串3:Software\SogouInput

11:25:19[231]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\     数据:

11:25:19[232]:(允许)载入动态链接库:VERSION.dll

11:25:19[233]:(允许)字符串3:VERSION.dll

11:25:19[234]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[235]:(允许)加载库文件:VERSION.dll     函数名:GetFileVersionInfoSizeW

11:25:19[236]:(允许)载入动态链接库:C:\Windows\system32\SOGOUPY.IME

11:25:19[237]:(允许)字符串3:C:\Windows\system32\SOGOUPY.IME

11:25:19[238]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[239]:(允许)加载库文件:C:\Windows\system32\SOGOUPY.IME     函数名:GetFileVersionInfoW

11:25:19[240]:(允许)载入动态链接库:C:\Windows\system32\SOGOUPY.IME

11:25:19[241]:(允许)字符串3:C:\Windows\system32\SOGOUPY.IME

11:25:19[242]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[243]:(允许)加载库文件:C:\Windows\system32\SOGOUPY.IME     函数名:VerQueryValueW

11:25:19[244]:(允许)字符串3:C:\Users\ADMINI~1\AppData\Local\Temp

11:25:19[245]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:19[246]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:19[247]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[248]:(允许)字符串3:kernel32.dll

11:25:19[249]:(允许)字符串3:C:\Windows\system32\

11:25:19[250]:(允许)字符串3:kernel32.dll.mui

11:25:19[251]:(允许)内联文件路径:C:\Windows\system32\zh-CN\kernel32.dll.mui

11:25:19[252]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:19[253]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:19[254]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[255]:(允许)载入动态链接库:SHELL32.dll

11:25:19[256]:(允许)字符串3:SHELL32.dll

11:25:19[257]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:19[258]:(允许)加载库文件:SHELL32.dll     函数名:SHGetFolderPathW

11:25:20[259]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions

11:25:20[260]:(允许)字符串3:ole32.dll

11:25:20[261]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[262]:(允许)字符串3:Category

11:25:20[263]:(允许)字符串3:Name

11:25:20[264]:(允许)字符串3:ParentFolder

11:25:20[265]:(允许)字符串3:Description

11:25:20[266]:(允许)字符串3:RelativePath

11:25:20[267]:(允许)字符串3:ParsingName

11:25:20[268]:(允许)字符串3:InfoTip

11:25:20[269]:(允许)字符串3:LocalizedName

11:25:20[270]:(允许)字符串3:Icon

11:25:20[271]:(允许)字符串3:Security

11:25:20[272]:(允许)字符串3:StreamResource

11:25:20[273]:(允许)字符串3:StreamResourceType

11:25:20[274]:(允许)字符串3:LocalRedirectOnly

11:25:20[275]:(允许)字符串3:Roamable

11:25:20[276]:(允许)字符串3:PreCreate

11:25:20[277]:(允许)字符串3:Stream

11:25:20[278]:(允许)字符串3:PublishExpandedPath

11:25:20[279]:(允许)字符串3:Attributes

11:25:20[280]:(允许)字符串3:FolderTypeID

11:25:20[281]:(允许)字符串3:InitFolderHandler

11:25:20[282]:(允许)字符串3:PropertyBag

11:25:20[283]:(允许)映射动态链接库:ntdll.dll

11:25:20[284]:(允许)加载库文件:ntdll.dll     函数名:NtOpenProcess

11:25:20[285]:(允许)载入动态链接库:ADVAPI32.dll

11:25:20[286]:(允许)字符串3:ADVAPI32.dll

11:25:20[287]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[288]:(允许)加载库文件:ADVAPI32.dll     函数名:OpenThreadToken

11:25:20[289]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer

11:25:20[290]:(允许)字符串3:SessionInfo\1

11:25:20[291]:(允许)字符串3:KnownFolders

11:25:20[292]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

11:25:20[293]:(允许)字符串3:AppData

11:25:20[294]:(允许)字符串2:%USERPROFILE%

11:25:20[295]:(允许)字符串2:%ProgramData%

11:25:20[296]:(允许)字符串2:%PUBLIC%

11:25:20[297]:(允许)字符串2:%ALLUSERSPROFILE%

11:25:20[298]:(允许)字符串2:%SYSTEMROOT%

11:25:20[299]:(允许)字符串2:%SYSTEMDRIVE%

11:25:20[300]:(允许)获取文件属性:C:\Users\Administrator\AppData\Roaming

11:25:20[301]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Explorer\KnownFolderSettings

11:25:20[302]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow

11:25:20[303]:(允许)载入动态链接库:C:\Windows\system32\SOGOUPY.IME

11:25:20[304]:(允许)字符串3:C:\Windows\system32\SOGOUPY.IME

11:25:20[305]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[306]:(允许)载入动态链接库:C:\Windows\system32\SOGOUPY.IME

11:25:20[307]:(允许)字符串3:C:\Windows\system32\SOGOUPY.IME

11:25:20[308]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[309]:(允许)获取文件属性:C:\Program Files\SogouInput\9.1.0.2589\runtime.ini

11:25:20[310]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:20[311]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:20[312]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[313]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:20[314]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:20[315]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[316]:(允许)载入动态链接库:advapi32.dll

11:25:20[317]:(允许)字符串3:advapi32.dll

11:25:20[318]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[319]:(允许)加载库文件:advapi32.dll     函数名:AddMandatoryAce

11:25:20[320]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\runtime.ini

11:25:20[321]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\runtime.ini

11:25:20[322]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\runtime.ini

11:25:20[323]:(允许)映射动态链接库:mso.dll

11:25:20[324]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[325]:(允许)映射动态链接库:d3d7.dll

11:25:20[326]:(允许)映射动态链接库:d3d8.dll

11:25:20[327]:(允许)映射动态链接库:d3d9.dll

11:25:20[328]:(允许)映射动态链接库:d3d10.dll

11:25:20[329]:(允许)映射动态链接库:d3d11.dll

11:25:20[330]:(允许)映射动态链接库:d3d12.dll

11:25:20[331]:(允许)映射动态链接库:mscorwks.dll

11:25:20[332]:(允许)获取文件属性:C:\Program Files\SogouInput\9.1.0.2589\sgim_gl.bin

11:25:20[333]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_gl.bin

11:25:20[334]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_gl.bin

11:25:20[335]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_gl.bin

11:25:20[336]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:20[337]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:20[338]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[339]:(允许)载入动态链接库:C:\Windows\system32\kernel32.dll

11:25:20[340]:(允许)字符串3:C:\Windows\system32\kernel32.dll

11:25:20[341]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[342]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow

11:25:20[343]:(允许)字符串3:SoftWare\SogouInput

11:25:20[344]:(允许)读取注册表键值:HKEY_CURRENT_USER\SoftWare\SogouInput\CheckCrash     数据:

11:25:20[345]:(允许)字符串3:CheckCrash

11:25:20[346]:(允许)字符串2:C:\Program Files\SogouInput\9.1.0.2589

11:25:20[347]:(允许)字符串3:SoftWare\SogouInput

11:25:20[348]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SoftWare\SogouInput\DeadCheck     数据:

11:25:20[349]:(允许)字符串3:DeadCheck

11:25:20[350]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY.users

11:25:20[352]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY.users\acc.dat

11:25:20[353]:(允许)读取文件:C:\Users\Administrator\AppData\LocalLow\SogouPY.users\acc.dat

11:25:20[354]:(允许)字符串3:C:\Users\Administrator\AppData\LocalLow\SogouPY.users\acc.dat

11:25:20[355]:(允许)内联文件路径:C:\Users\Administrator\AppData\LocalLow\SogouPY.users\acc.dat

11:25:20[356]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY\BrandScdConfig.ini

11:25:20[357]:(允许)字符串3:C:\Users\Administrator\AppData\LocalLow\SogouPY\BrandScdConfig.ini

11:25:20[358]:(允许)获取文件属性:C:\Program Files\SogouInput\9.1.0.2589\BrandScdConfig.ini

11:25:20[359]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\BrandScdConfig.ini

11:25:20[360]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\BrandScdConfig.ini

11:25:20[361]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\BrandScdConfig.ini

11:25:20[362]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SoftWare\SogouInput\Software\SogouInput.user

11:25:20[363]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SoftWare\SogouInput\Used     数据:

11:25:20[364]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SoftWare\SogouInput\SOFTWARE\SogouInput

11:25:20[365]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\SoftWare\SogouInput\SendUserExperience     数据:

11:25:20[366]:(允许)字符串3:C:\Windows\system32\tzres.dll

11:25:20[367]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[368]:(允许)字符串3:C:\Windows\system32\tzres.dll

11:25:20[369]:(允许)内联文件路径:C:\Windows\system32\tzres.dll

11:25:20[370]:(允许)字符串3:C:\Windows\system32\tzres.dll

11:25:20[371]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:20[372]:(允许)字符串3:C:\Windows\system32\tzres.dll

11:25:20[373]:(允许)内联文件路径:C:\Windows\system32\tzres.dll

11:25:20[374]:(允许)载入动态链接库:api-ms-win-core-sysinfo-l1-2-1

11:25:20[375]:(允许)字符串3:api-ms-win-core-sysinfo-l1-2-1

11:25:20[376]:(允许)字符串3:C:\Windows\system32

11:25:20[377]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_quick.bin

11:25:20[378]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_quick.bin

11:25:20[379]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_quick.bin

11:25:20[380]:(允许)字符串3:EUDC\936

11:25:20[381]:(允许)加载库文件:api-ms-win-core-sysinfo-l1-2-1     函数名:FlsGetValue

11:25:20[382]:(允许)读取注册表键值:HKEY_CURRENT_USER\EUDC\936\SystemDefaultEUDCFont     数据:

11:25:20[383]:(允许)字符串3:SystemDefaultEUDCFont

11:25:20[384]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY\EUDC\SGPYEUDC_1.TTE

11:25:20[385]:(允许)载入动态链接库:API-MS-Win-Security-LSALookup-L1-1-0.dll

11:25:20[386]:(允许)载入动态链接库:api-ms-win-appmodel-runtime-l1-1-1

11:25:20[387]:(允许)字符串3:API-MS-Win-Security-LSALookup-L1-1-0.dll

11:25:20[388]:(允许)字符串3:api-ms-win-appmodel-runtime-l1-1-1

11:25:20[389]:(允许)字符串3:C:\Windows\system32

11:25:21[390]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:21[391]:(允许)加载库文件:api-ms-win-appmodel-runtime-l1-1-1     函数名:LookupAccountSidLocalW

11:25:21[392]:(允许)载入动态链接库:ext-ms-win-kernel32-package-current-l1-1-0

11:25:21[393]:(允许)字符串3:ext-ms-win-kernel32-package-current-l1-1-0

11:25:21[394]:(允许)字符串3:C:\Windows\system32

11:25:21[395]:(允许)字符串3:rpcrt4.dll

11:25:21[396]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:21[397]:(允许)字符串3:Software\Policies\Microsoft\Windows NT\Rpc

11:25:21[398]:(允许)映射动态链接库:user32

11:25:21[399]:(允许)加载库文件:user32     函数名:ChangeWindowMessageFilter

11:25:21[400]:(允许)获取文件属性:C:\Program Files\SogouInput\Components\ComponentConfig.ini

11:25:21[401]:(允许)读取文件:C:\Program Files\SogouInput\Components\ComponentConfig.ini

11:25:21[402]:(允许)字符串3:C:\Program Files\SogouInput\Components\ComponentConfig.ini

11:25:21[403]:(允许)内联文件路径:C:\Program Files\SogouInput\Components\ComponentConfig.ini

11:25:21[404]:(允许)获取文件属性:C:\Program Files\SogouInput\9.1.0.2589\installfile.txt

11:25:21[405]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\installfile.txt

11:25:21[406]:(允许)字符串3:C:\Users\ADMINI~1\AppData\Local\Temp

11:25:21[407]:(阻止)创建注册表键:HKEY_CURRENT_USER\EUDC\936\Software\SogouInput.user

11:25:21[408]:(允许)字符串2:Window

11:25:21[409]:(允许)读取注册表键值:HKEY_CURRENT_USER\EUDC\936\SogouComponentFirstLoad     数据:

11:25:21[410]:(阻止)写注册表值:HKEY_CURRENT_USER\EUDC\936\SogouComponentFirstLoad     数据:

11:25:21[411]:(阻止)创建注册表键:HKEY_CURRENT_USER\EUDC\936\Software\SogouInput.user

11:25:21[412]:(允许)字符串2:Tab

11:25:21[413]:(允许)字符串2:CompositedWindow::Window

11:25:21[414]:(允许)载入动态链接库:dwmapi.dll

11:25:21[415]:(允许)字符串3:dwmapi.dll

11:25:21[416]:(允许)读取注册表键值:HKEY_CURRENT_USER\EUDC\936\Used     数据:

11:25:21[417]:(允许)字符串3:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\

11:25:21[418]:(阻止)创建注册表键:HKEY_CURRENT_USER\EUDC\936\Software\SogouInput.user

11:25:21[419]:(阻止)写注册表值:HKEY_CURRENT_USER\EUDC\936\Used     数据:

11:25:21[420]:(阻止)写注册表值:HKEY_CURRENT_USER\EUDC\936\SogouComponentFirstLoad     数据:

11:25:21[421]:(阻止)创建注册表键:HKEY_CURRENT_USER\EUDC\936\Software\SogouInput.user

11:25:21[422]:(允许)字符串3:C:\Windows\system32\dwmapi.dll

11:25:21[423]:(阻止)写注册表值:HKEY_CURRENT_USER\EUDC\936\Used     数据:

11:25:21[424]:(允许)获取文件属性:C:\Program Files\SogouInput\9.1.0.2589\sgim_charvalid_tmp.bin

11:25:21[425]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_charvalid_tmp.bin

11:25:21[426]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY

11:25:21[427]:(允许)字符串3:dwmapi.dll

11:25:21[428]:(允许)加载库文件:dwmapi.dll     函数名:DwmIsCompositionEnabled

11:25:21[429]:(允许)加载库文件:dwmapi.dll     函数名:DwmGetWindowAttribute

11:25:21[430]:(允许)字符串3:C:\Users\ADMINI~1\AppData\Local\Temp

11:25:21[431]:(允许)字符串2:C:\Users\Administrator\AppData\Roaming

11:25:21[432]:(安全环境)设置文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY\env.ini

11:25:21[433]:(允许)内联文件路径:C:\Users\Administrator\Desktop\ARK

11:25:21[434]:(允许)读取文件:C:\Users\Administrator\AppData\LocalLow\SogouPY\env.ini

11:25:21[435]:(允许)字符串3:C:\Users\Administrator\AppData\LocalLow\SogouPY\env.ini

11:25:21[436]:(允许)内联文件路径:C:\Users\Administrator\AppData\LocalLow\SogouPY\env.ini

11:25:21[437]:(允许)字符串2:Window

11:25:21[438]:(允许)映射动态链接库:C:\Users\Administrator\Desktop\ARK工具\行为分析\File_Analysis\File_safe\小蘑菇.exe

11:25:21[439]:(允许)读取文件:\\.\\physicaldrive0

11:25:21[440]:(允许)字符串3:\\.\\physicaldrive0

11:25:21[441]:(允许)内联文件路径:\\.\\physicaldrive0

11:25:21[442]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

11:25:21[443]:(阻止)写入MBR Hex: 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 0A 83 C5 4D 00 00 80 01 01 00 07 FE FF FF 3F 00 00 00 33 6A 1D 06 00 FE FF FF 12 FE FF FF 00 08 76 36 30 58 C2 03 00 FE FF FF 0F FE FF FF 33 A9 1D 06 CD 5E 58 30 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

11:25:21[444]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

11:25:21[445]:(阻止)写入MBR Hex: E9 00 00 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD ED 7C BB ED 7C E8 B0 00 89 C1 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 13 3C 0D 74 1B B4 02 88 07 88 67 01 81 C3 02 00 41 E9 E5 FF 81 EB 02 00 49 31 C0 89 07 E9 D9 FF 8C C8 8E C0 31 DB BE DA 7C 2E 8A 0E D9 7C B5 00 3E 8A 07 26 8A 24 38 E0 75 31 81 C3 02 00 46 E2 EF 31 C0 B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 31 DB B2 80 B4 03 B0 01 B6 00 B5 00 B1 01 CD 13 E9 1D 00 BB 00 B8 81 C3 38 00 B0 58 88 07 2E 8B 0E D9 7C 31 C0 89 07 81 C3 02 00 E2 F8 E9 45 FF B8 FF FF 50 B8 00 00 50 CB 51 53 3E 8A 0F 80 F9 00 74 05 43 40 E9 F3 FF 59 5B C3 10 59 CD 8E 96 4A 74 3F 3F CF C7 85 57 F9 6B F8 93 00 00 00 6A 69 65 73 75 6F 2D 51 51 2D 31 30 30 33 36 33 32 32 34 32 00 21 21 21 50 6C 65 61 73 65 20 65 6E 74 65 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

精准分析MBR逻辑锁密码:Y蛶朖t??锨匴鵮鴵     Hex:59 CD 8E 96 4A 74 3F 3F CF C7 85 57 F9 6B F8 93

11:25:21[446]:(阻止)内核操作:提升进程关机权限

11:25:21[447]:(阻止)内核操作:触发系统蓝屏

11:25:22[448]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_adjcache.bin

11:25:22[449]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_adjcache.bin

11:25:22[450]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_adjcache.bin

11:25:22[451]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_tra.bin

11:25:22[452]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_tra.bin

11:25:22[453]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_tra.bin

11:25:22[454]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_eng_pre.bin

11:25:22[455]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_eng_pre.bin

11:25:22[456]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_eng_pre.bin

11:25:22[457]:(允许)读取文件:C:\Program Files\SogouInput\9.1.0.2589\sgim_url.bin

11:25:22[458]:(允许)字符串3:C:\Program Files\SogouInput\9.1.0.2589\sgim_url.bin

11:25:22[459]:(允许)内联文件路径:C:\Program Files\SogouInput\9.1.0.2589\sgim_url.bin

11:25:22[460]:(允许)读取文件:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_usr_v3_ext.bin

11:25:22[461]:(允许)字符串3:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_usr_v3_ext.bin

11:25:22[462]:(允许)内联文件路径:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_usr_v3_ext.bin

11:25:22[463]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_usr_v3_ext.bin

11:25:22[465]:(允许)读取文件:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_privilege.bin

11:25:22[466]:(允许)字符串3:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_privilege.bin

11:25:22[467]:(允许)内联文件路径:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_privilege.bin

11:25:22[468]:(允许)获取文件属性:C:\Users\Administrator\AppData\LocalLow\SogouPY\sgim_privilege.bin

11:25:32[470]:(允许)字符串3:Software\SogouInput

11:25:32[471]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[472]:(允许)字符串3:VirtualProcessLog

11:25:32[473]:(允许)字符串3:Software\SogouInput

11:25:32[474]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[475]:(允许)字符串3:VirtualProcessLog

11:25:32[476]:(允许)字符串3:Software\SogouInput

11:25:32[477]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[478]:(允许)字符串3:VirtualProcessLog

11:25:32[479]:(允许)字符串3:Software\SogouInput

11:25:32[480]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[481]:(允许)字符串3:VirtualProcessLog

11:25:32[482]:(允许)字符串3:Software\SogouInput

11:25:32[483]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[484]:(允许)字符串3:VirtualProcessLog

11:25:32[485]:(允许)字符串3:Software\SogouInput

11:25:32[486]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[487]:(允许)字符串3:VirtualProcessLog

11:25:32[488]:(允许)字符串3:Software\SogouInput

11:25:32[489]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[490]:(允许)字符串3:VirtualProcessLog

11:25:32[491]:(允许)字符串3:Software\SogouInput

11:25:32[492]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[493]:(允许)字符串3:VirtualProcessLog

11:25:32[494]:(允许)打开内核对象:\\.\pipe\_sogoutool_multithreading_pipenew29.1.0.2589863fd27(物理设备)

11:25:32[495]:(允许)字符串3:\\.\pipe\_sogoutool_multithreading_pipenew29.1.0.2589863fd27

11:25:32[496]:(允许)内联文件路径:\\.\pipe\_sogoutool_multithreading_pipenew29.1.0.2589863fd27

11:25:32[497]:(允许)字符串3:Software\SogouInput

11:25:32[498]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[499]:(允许)字符串3:VirtualProcessLog

11:25:32[500]:(允许)字符串3:Software\SogouInput

11:25:32[501]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[502]:(允许)字符串3:VirtualProcessLog

11:25:32[503]:(允许)字符串3:Software\SogouInput

11:25:32[504]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[505]:(允许)字符串3:VirtualProcessLog

11:25:32[506]:(允许)字符串3:Software\SogouInput

11:25:32[507]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[508]:(允许)字符串3:VirtualProcessLog

11:25:32[509]:(允许)字符串3:Software\SogouInput

11:25:32[510]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[511]:(允许)字符串3:VirtualProcessLog

11:25:32[512]:(允许)字符串3:Software\SogouInput

11:25:32[513]:(允许)读取注册表键值:HKEY_LOCAL_MACHINE\Software\SogouInput\VirtualProcessLog     数据:

11:25:32[514]:(允许)字符串3:VirtualProcessLog


15852701396
发表于 2019-2-9 11:57:54 | 显示全部楼层
ESET 解压就杀了,哈哈哈,所以说还是要压缩包直接拖进虚拟机啊。。。
asdfgpasdfgp
发表于 2019-2-9 12:03:32 | 显示全部楼层
入库病毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
SUARP-BIGNUM
 楼主| 发表于 2019-2-9 12:22:58 | 显示全部楼层
www-tekeze 发表于 2019-2-8 21:08
还在360里加白? 真是醉了。。。是加的se壳,但Code我不懂,你慢慢研究。。

好了,研究了一下,密码是:Y蛶朖t??锨匴鵮鴵
转换成:
Alt+89
Alt+205
Alt+142
Alt+150
Alt+74
Alt+116
Alt+63
Alt+63
Alt+207
Alt+199
Alt+133
Alt+87
Alt+249
Alt+107
Alt+248
Alt+147
回车即可解锁
www-tekeze
发表于 2019-2-9 12:57:27 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-2-9 13:15 编辑
SUARP-BIGNUM 发表于 2019-2-9 12:22
好了,研究了一下,密码是:Y蛶朖t??锨匴鵮鴵
转换成:
Alt+89

用大肉鸡工具搞定得了。。  不会敲Code,看不懂。。
心心相印
发表于 2019-2-9 15:18:31 | 显示全部楼层
本帖最后由 心心相印 于 2019-2-9 15:20 编辑

sysdiag kill
心心相印
发表于 2019-2-9 15:21:01 | 显示全部楼层
欧阳宣 发表于 2019-2-8 23:57
eset报的是壳

a variant of Win32/Packed.NoobyProtect.M

火绒kill
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-18 17:36 , Processed in 0.073027 second(s), 15 queries .

快速回复 返回顶部 返回列表