搜索
楼主: 川建国代理人
收起左侧

[技术原创] 如何看待所谓“Windows/Office激活工具”

  [复制链接]
gshwlj
发表于 2020-11-8 22:32:25 | 显示全部楼层
大神,请测测这个。。。
见附件........

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wcg2006
发表于 2020-11-8 22:45:49 | 显示全部楼层
收藏收藏,感谢分享
theking988
发表于 2020-11-9 02:33:00 | 显示全部楼层
这种工具我都是激活后取得数字权限后就马上重新格盘重新安装。再也不用激活工具了。所有杀软都杀他。肯定是有道理的
hoion
发表于 2020-11-9 13:44:39 | 显示全部楼层
本帖最后由 hoion 于 2020-11-9 18:45 编辑
川建国代{过}{滤}理人 发表于 2020-11-8 16:57
经测试判定为潜在危险工具
于①号工具工作机理相似,只不过①号工具为远程搭建KMS激活脚本,这个“Win10 ...

谢谢.
川建国代理人
 楼主| 发表于 2020-11-10 21:07:02 | 显示全部楼层
gshwlj 发表于 2020-11-8 22:32
大神,请测测这个。。。
见附件........

您好,经过测试得出结论为可疑程序
其释放了三个文件      cdb4ee2aea69cc6a_'       `.txt 和 D39D.bat(标点符号未作变动)
路径分别为C:\Windows\Temp\'   C:\Windows\Temp\`.txt   和C:\Users\vbccsb\AppData\Local\Temp\D36D.tmp\D38D.tmp\D39D.bat。
激活动态密钥进程:C:\Windows\system32\cmd.exe /c reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v Desktop
注入进程:C:\Windows\system32\cmd" /c "C:\Users\Administrator\AppData\Local\Temp\7625.tmp\7635.tmp\7636.bat c:\users\admini~1\appdata\local\temp\1.exe"
包含网络行为的进程:C:\Windows\system32\cmd.exe /c "prompt $H&for %B in (1) do rem"
其中包含大量网址:
  1. https://forums.mydigitallife.net/forums/51/
  2. https://forums.mydigitallife.net/members/293479/
  3. https://forums.mydigitallife.net/members/1108726/
  4. https://forums.mydigitallife.net/members/1023044/
  5. https://forums.mydigitallife.net/posts/838023
  6. https://forums.mydigitallife.net/members/77147/
  7. https://forums.mydigitallife.net/threads/74769/
  8. https://forums.mydigitallife.net/posts/1457558/
  9. https://textuploader.com/1dav8
  10. http://forums.mydigitallife.net/posts/838114
  11. https://forums.mydigitallife.net/posts/838808/
  12. https://forums.mydigitallife.net/posts/1259604/
  13. https://forums.mydigitallife.net/posts/1475544/
  14. https://pastebin.com/cpdmr6HZ
  15. https://sourceforge.net/projects/mingw-w64/files/x86_64-8.1.0-release-win32-sjlj-rt_v6-rev0.7z
  16. https://forums.mydigitallife.net/posts/1125229/
  17. https://github.com/abbodi1406/KMS_VL_ALL_AIO
  18. https://technet.microsoft.com/en-us/library/ff793426(v=ws.10).aspx
  19. https://forums.mydigitallife.net/members/325887/
  20. https://forums.mydigitallife.net/posts/862774
  21. https://forums.mydigitallife.net/threads/41010/
  22. https://forums.mydigitallife.net/members/2574/
  23. https://forums.mydigitallife.net/members/80361/
  24. https://sourceforge.net/projects/mingw-w64/files/i686-8.1.0-release-win32-sjlj-rt_v6-rev0.7z
  25. https://forums.mydigitallife.net/posts/1476097/
  26. https://github.com/AveYo/Compressed2TXT
  27. https://forums.mydigitallife.net/threads/67038/
  28. https://forums.mydigitallife.net/posts/856978
  29. https://forums.mydigitallife.net/threads/50234/
  30. https://forums.mydigitallife.net/posts/1343297/
  31. https://support.microsoft.com/en-us/help/4487266
  32. https://forums.mydigitallife.net/posts/1296482/
  33. https://forums.mydigitallife.net/posts/1553139/
  34. https://forums.mydigitallife.net/posts/1150042/
  35. https://stackoverflow.com/a/13351373
  36. https://technet.microsoft.com/en-us/library/ee939272(v=ws.10).aspx
  37. https://forums.mydigitallife.net/posts/839363
  38. https://stackoverflow.com/a/10407642
  39. https://forums.mydigitallife.net/posts/1508167/
  40. https://forums.mydigitallife.net/threads/50949/
  41. https://forums.mydigitallife.net/members/58504/
  42. https://forums.mydigitallife.net/posts/1462101/
  43. https://support.microsoft.com/en-us/help/2736303
  44. https://support.microsoft.com/en-us/help/942962
  45. https://forums.mydigitallife.net/posts/1466365/
  46. https://forums.mydigitallife.net/members/104688/
  47. https://forums.mydigitallife.net/members/846864/
  48. https://forums.mydigitallife.net/posts/860489
  49. https://forums.mydigitallife.net/members/120394/
  50. https://app.box.com/s/mztbabp2n21vvjmk57cl1puel0t088bs
  51. https://forums.mydigitallife.net/posts/309737/
  52. https://forums.mydigitallife.net/threads/78950/
  53. https://forums.mydigitallife.net/posts/1448556/
  54. https://forums.mydigitallife.net/members/presto1234.647219/
  55. https://forums.mydigitallife.net/posts/838505
复制代码
推测作用为四个:
连接指定站点
打开HTTP连接
打开HTTP请求
按名称获取主机地址

与激活相关的进程九个:
检测自身是否被调试
创建互斥体
创建事件对象
样本控制台输出内容
打开事件
调用Sleep函数
隐藏指定窗口
打开互斥体
查找指定窗口


转换为exe后

综合多次线程注入、释放不明文件和夹带大量链接及导出SGML文档,ISO-8859文本,带有CRLF行终止符的行为,判定为可疑文件。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
huang1111
发表于 2020-11-10 22:12:08 | 显示全部楼层

KMS激活本身T=180D,所以一些KMS工具会自动帮用户注册服务,180天帮你重新激活一下,这时候一些外连IP是操作必须的,至于IP归属地,KMS工具基本都是国外大神搞的,国内只是汉化(或者加料),所以归属地非国内也很正常。
至于关闭杀软,这个不是判断理由,基本上主流KMS工具即使没有任何异常操作也会被杀软杀,或者在运行中被拦下来,不科学且不严谨
至于开头的智量扫描,不想多说啥了,为了提高查杀率采用先入库后分析(太大不分析)的原则做杀软,这根本只是为了成绩单纯的好看,没有任何意义
huang1111
发表于 2020-11-10 22:24:42 | 显示全部楼层
仅分析五号工具外联:
www.download.windowsupdate.com
采用国内CDN,CNAME到wu-fg-shim.trafficmanager.net(微软Azure)
访问后跳转http://www.update.microsoft.com/再跳转到https://support.microsoft.com/
请问?问题在哪里?
hoion
发表于 2020-11-11 08:38:51 | 显示全部楼层
川建国代理人 发表于 2020-11-8 18:58
您好,这种构建在远程端的许可证完全没有问题,若检查C盘无任何KMS释放的贴中的不明文件,即视为安全,若 ...

格式化硬碟.再重新安装系统后(不须要用激活软件已经激活了)但是也有很多XrML数字许可证文件.
请教要如何做才没有XrML数字许可证文件.(已经激活过了如何可以再使用永久激活工具)谢谢.
川建国代理人
 楼主| 发表于 2020-11-11 18:16:08 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-11-11 19:21 编辑
huang1111 发表于 2020-11-10 22:24
仅分析五号工具外联:
www.download.windowsupdate.com
采用国内CDN,CNAME到wu-fg-shim.trafficmanager. ...

编辑了

评分

参与人数 1人气 +1 收起 理由
henry217 + 1

查看全部评分

sunlight111
发表于 2020-11-12 09:21:55 | 显示全部楼层
正需要,多谢楼主
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-3-8 01:51 , Processed in 0.097470 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表