자유 게시판

코비님만 보세요.

2010.09.08 13:36

옥황상제와 말놓는 사이 조회:2182

코비님 글에 덧글을 달려니 스크롤 압박에 여기서 잠시 글 씁니다.

제가 코비님 덧글에도 댓글 달았지만...

증빙이 먼저입니다.

가설은 나중에 증빙을 토대로 진행하시면 됩니다.

-------------------------------------------------------------------------------

WinKeyFinder v1.73 포터블 실행시 로드되는 dll 파일들 입니다.
 
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\pstorec.dll
C:\WINDOWS\system32\ATL.DLL
 
열려지는 경로입니다.
 
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\EIGENE BILDER\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DOKUMENTE\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\
C:\PROGRAMME\GEMEINSAME DATEIEN\
C:\PROGRAMME\
C:\WINDOWS\SYSTEM32\
C:\WINDOWS\
 
접근 하는 레지 경로입니다.
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
------------------------------------------------------------------------------------------------------------------
 
하지만 실행 코드가 없다는 겁니다.
그리고 레지에 접근만하지 레지키가 변경되는 그 무엇도 없습니다. 
심증은 있으나 물증이 없으면 무죄입니다.
정히 알고싶다면 제가 어제 댓글 달아드린대로 안랩으로 쌤플을 보넨 후 토론하여도 늦지않습니다.
41개의 바이러스 토탈 엔진 중에서 1개의 엔진에서 휴리스틱 진단이 나온건데 그걸 바이러스 진단으로 확정하기는 이릅니다.
남어지 40개의 엔진은 검출을 못합니다. 우리는 % 치수상 어느것을 믿어야 할까요?
바이러스 토탈의 도표는 단지 참조만 하시면 됩니다.
 
아래 바이러스 토탈의 샘플 데이터는 코비님이 걸어주신 링크에서 다운받은 겁니다.(3개중 링크 맨위 프로그램)
본문에 데이터 역시 코비님 링크에서 받은 데이터 입니다.
------------------------------------------------------------------------------------------------------------------
 
제가 바라보는 WinKey Finder 1.73 문제점들...
업로드한 최초 유저가 XVA ,팩툴을 사용해서 팩을 하면서
소속된 와레즈 사이트의 스플레시 이미지를 로딩 되도록 만들었고, 패킹한 유저의 OS 는 XP 로 추정합니다.
XP 에서 WIN7 을 포함한 모든 플랫폼에서 적용되도록  호환성을 마춘 후,
포터블 프로그램이 종료되면서 실행시 생성된 폴더를 삭제 하도록 스크립트로 명령하였습니다.
(이 스크립트 적용 부분에서 뭔가 좀 실수를....)
 
그리고 한가지 더,
패킹한 유저가 어도비 프로그램을 설치해서 사용 중이였고,
어도비 프로그램을 자동 업데이트 모드로 해 두었다면
묘하게 패킹 중에 어도비 자동업데이트가 실시되었을 가능성이 높고,
패킹 후 어도비 관련 레지키와 해당 파일들이 생성되었고,
패커는 불 필요한 어도비 업데이트 관련 레지키와 폴더를 삭제하고 팩을한거 같습니다.
어도비 관련 삭제 정보가 확인되었습니다.
 
이 글을 보시는 분들은 만화같은 뉘앙스를 가질 수 도 있겠지요,  그냥 가능성을 점친겁니다.
https://windowsforum.kr/free/1390195 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
» 코비님만 보세요. [7] 옥황상제와 2182 09-08
40719 GoodSync 파일좀 부탁드립니다.. [2] 늘푸른바다 2088 09-08
40718 USB사용 하시면 보안도 점검해보셔야합니다. 시큐 드라이브... [2] Hipros 2190 09-08
40717 ko_OFFICE14_essentials.iso [4] 스위스 6837 09-08
40716 전체화면 모드 중에 테스크바가 보이는 현상 ELUW 1687 09-09
40715 아이폰4 예약하신 분은 참고하세요 [1] LiveREX 2195 09-09
40714 화상 solution 관련.. [6] 비비안린 1882 09-09
40713 PC사랑 구독하시는분 계시나요? [14] 노란 2794 09-09
40712 네티즌이 쓴 용광로 청년 추모시 ‘심금 울렸다’ [11] gooddew 1885 09-10
40711 노트북가방 추천좀 해주세요. [3] 뻥쟁이 2290 09-10
40710 비오는대 점심들 뭐 드셧어요? [5] 루트원 1791 09-10
40709 KT 환급금 받아가세요~~~ [5] 루트원 2534 09-10
40708 강렬한 재즈 한곡 소개합니다. [1] ohmylife 1699 09-10
40707 아이폰 때문에 13년 vip혜택 포기했어요 [4] 피오리나 2254 09-10
40706 음...전북대 또는 전남대 수능 최저등급이 몇인가요? [7] nanari 5252 09-10
40705 아이폰4 리뷰 !! [5] 텐도진짜(Te 2112 09-10
40704 담주 월요일까지 비온다네요. [5] 라임노트 1634 09-11
40703 노턴 안티 2008 구입했습니다. [9] kdksj 1973 09-11
40702 외장 USB형 사운드 카드의 노이즈... [5] ohmylife 3436 09-11
40701 뭐 또..한 건 터졌네요. [18] Leche 3488 09-11
홈으로 위로 목록
XE1.11.6 Layout1.4.8