好友 阅读权限 10
听众 最后登录 1970-1-1
特拉斯
发表于 2020-4-14 14:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
基本信息 文件名称: 单开队长v4.11.exe MD5: bf5f2949c911f1d74de0260fe1c93dd9 文件类型: EXE 上传时间: 2020-04-14 13:36:53 出品公司: vrBrothers Corporation. 版本: 2014.0.2.63702---2014.0.2.63702 壳或编译器信息: PACKER:UPolyX v0.5
关键行为 行为描述: 探测 Virtual PC是否存在 详情信息: N/A 行为描述: 获取文件属性探测虚拟机 详情信息: GetFileAttributesEx: FileName = C:\WINDOWS\system32\VBoxDisp.dllGetFileAttributesEx: FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Uninstall.lnkGetFileAttributesEx: FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\Website.lnk 行为描述: 设置特殊文件夹属性 详情信息: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet FilesC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5C:\Documents and Settings\Administrator\Local Settings\HistoryC:\Documents and Settings\Administrator\Local Settings\History\History.IE5C:\Documents and Settings\Administrator\Cookies 行为描述: 设置消息钩子 详情信息: C:\WINDOWS\system32\DINPUT8.dllC:\Documents and Settings\Administrator\Local Settings\%temp%\cfgdll.dll 行为描述: 查询注册表_检测虚拟机相关 详情信息: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion 行为描述: 获取User基本信息 详情信息: Level = 2. 行为描述: 获取TickCount值 详情信息: TickCount = 224206, SleepMilliseconds = 50.TickCount = 224268, SleepMilliseconds = 50.TickCount = 224362, SleepMilliseconds = 50.TickCount = 224409, SleepMilliseconds = 50.TickCount = 224503, SleepMilliseconds = 50.TickCount = 224612, SleepMilliseconds = 50.TickCount = 224675, SleepMilliseconds = 50.TickCount = 224706, SleepMilliseconds = 50.TickCount = 224737, SleepMilliseconds = 50.TickCount = 224753, SleepMilliseconds = 50.TickCount = 224784, SleepMilliseconds = 50.TickCount = 224987, SleepMilliseconds = 50.TickCount = 226253, SleepMilliseconds = 50.TickCount = 226268, SleepMilliseconds = 50.TickCount = 226284, SleepMilliseconds = 50. 行为描述: 打开注册表_检测虚拟机相关 详情信息: \REGISTRY\MACHINE\HARDWARE\ACPI\DSDT\VBOX__ 行为描述: 获取硬件属性检测虚拟机 详情信息: 检测Vmware: 调用WMI接口获取硬件信息 行为描述: 查找文件方式探测虚拟机 详情信息: FindFirstFileEx: FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\*.* 行为描述: 直接获取CPU时钟 详情信息: EAX = 0x74a02dfa, EDX = 0x000000baEAX = 0x74a02e46, EDX = 0x000000baEAX = 0x74a02e92, EDX = 0x000000baEAX = 0x74a02ede, EDX = 0x000000baEAX = 0x74a02f2a, EDX = 0x000000baEAX = 0x74a02f76, EDX = 0x000000baEAX = 0x74a02fc2, EDX = 0x000000baEAX = 0x74a0300e, EDX = 0x000000baEAX = 0x74a0305a, EDX = 0x000000baEAX = 0x74a030a6, EDX = 0x000000ba 行为描述: VMWare特殊指令检测虚拟机 详情信息: N/A
进程行为 [url=]更多>>[/url] 文件行为 创建文件 获取文件属性探测虚拟机 创建可执行文件 覆盖已有文件 查找文件 删除文件 重命名文件 设置特殊文件夹属性 修改文件内容 [url=]更多>>[/url] 网络行为 连接指定站点 打开HTTP连接 建立到一个指定的套接字连接 读取网络文件 发送HTTP包 打开HTTP请求 按名称获取主机地址 [url=]更多>>[/url] 注册表行为 修改注册表 删除注册表键值 打开注册表_检测虚拟机相关 查询注册表_检测虚拟机相关 [url=]更多>>[/url] 其他行为 检测自身是否被调试 隐藏指定窗口 获取User基本信息 获取光标位置 直接操作物理设备 可执行文件签名信息 加载新释放的文件 查找文件方式探测虚拟机 可执行文件MD5 创建互斥体 获取硬件属性检测虚拟机 VMWare特殊指令检测虚拟机 搜索kernel32.dll基地址 打开事件 获取TickCount值 直接获取CPU时钟 探测 Virtual PC是否存在 创建事件对象 查找指定窗口 窗口信息 调整进程token权限 枚举窗口 调用Sleep函数 打开互斥体 [url=]更多>>[/url] [url=]https://habo.qq.com/file/historylist应该是下载地址[/url]
发帖前要善用【论坛搜索 】 功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
发表于 2020-4-14 14:00
|
发表于 2020-4-15 08:11
