자유 게시판

코비님만 보세요.

2010.09.08 13:36

옥황상제와 말놓는 사이 조회:2196

코비님 글에 덧글을 달려니 스크롤 압박에 여기서 잠시 글 씁니다.

제가 코비님 덧글에도 댓글 달았지만...

증빙이 먼저입니다.

가설은 나중에 증빙을 토대로 진행하시면 됩니다.

-------------------------------------------------------------------------------

WinKeyFinder v1.73 포터블 실행시 로드되는 dll 파일들 입니다.
 
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\pstorec.dll
C:\WINDOWS\system32\ATL.DLL
 
열려지는 경로입니다.
 
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\EIGENE BILDER\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DOKUMENTE\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\
C:\PROGRAMME\GEMEINSAME DATEIEN\
C:\PROGRAMME\
C:\WINDOWS\SYSTEM32\
C:\WINDOWS\
 
접근 하는 레지 경로입니다.
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""

------------------------------------------------------------------------------------------------------------------
 
하지만 실행 코드가 없다는 겁니다.
그리고 레지에 접근만하지 레지키가 변경되는 그 무엇도 없습니다. 
심증은 있으나 물증이 없으면 무죄입니다.
정히 알고싶다면 제가 어제 댓글 달아드린대로 안랩으로 쌤플을 보넨 후 토론하여도 늦지않습니다.
41개의 바이러스 토탈 엔진 중에서 1개의 엔진에서 휴리스틱 진단이 나온건데 그걸 바이러스 진단으로 확정하기는 이릅니다.
남어지 40개의 엔진은 검출을 못합니다. 우리는 % 치수상 어느것을 믿어야 할까요?
바이러스 토탈의 도표는 단지 참조만 하시면 됩니다.
 
아래 바이러스 토탈의 샘플 데이터는 코비님이 걸어주신 링크에서 다운받은 겁니다.(3개중 링크 맨위 프로그램)
본문에 데이터 역시 코비님 링크에서 받은 데이터 입니다.
------------------------------------------------------------------------------------------------------------------
 
제가 바라보는 WinKey Finder 1.73 문제점들...
업로드한 최초 유저가 XVA ,팩툴을 사용해서 팩을 하면서
소속된 와레즈 사이트의 스플레시 이미지를 로딩 되도록 만들었고, 패킹한 유저의 OS 는 XP 로 추정합니다.
XP 에서 WIN7 을 포함한 모든 플랫폼에서 적용되도록  호환성을 마춘 후,
포터블 프로그램이 종료되면서 실행시 생성된 폴더를 삭제 하도록 스크립트로 명령하였습니다.
(이 스크립트 적용 부분에서 뭔가 좀 실수를....)
 
그리고 한가지 더,
패킹한 유저가 어도비 프로그램을 설치해서 사용 중이였고,
어도비 프로그램을 자동 업데이트 모드로 해 두었다면
묘하게 패킹 중에 어도비 자동업데이트가 실시되었을 가능성이 높고,
패킹 후 어도비 관련 레지키와 해당 파일들이 생성되었고,
패커는 불 필요한 어도비 업데이트 관련 레지키와 폴더를 삭제하고 팩을한거 같습니다.
어도비 관련 삭제 정보가 확인되었습니다.
 
이 글을 보시는 분들은 만화같은 뉘앙스를 가질 수 도 있겠지요,  그냥 가능성을 점친겁니다.
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
6724 아이폰4 예약하신 분은 참고하세요 [1] LiveREX 2204 09-09
6723 전체화면 모드 중에 테스크바가 보이는 현상 ELUW 1690 09-09
6722 ko_OFFICE14_essentials.iso [4] 스위스 6892 09-08
6721 USB사용 하시면 보안도 점검해보셔야합니다. 시큐 드라이브... [2] Hipros 2197 09-08
6720 GoodSync 파일좀 부탁드립니다.. [2] 늘푸른바다 2104 09-08
» 코비님만 보세요. [7] 옥황상제와 2196 09-08
6718 레반넨님, 太白님 보시길^^ [6] Leche 2155 09-08
6717 천둥 번개 [12] kdksj 3098 09-07
6716 링크오류테스트 [4] 피오리나 1682 09-07
6715 바이오스 부팅 순서가 ...... [4] fgcv 4226 09-07
6714 사운드 카드를 사용하시나요? [18] ohmylife 2630 09-07
6713 노트북 추천 부탁드려봅니다 [9] 사람사는세 1566 09-07
6712 구글 크롬 6 네이버 카페뒤로가기 문제... [7] 실성토끼nn 2978 09-07
6711 비쥬얼베이직을 공부를 해보고자 합니다. 책을 추천해주세요~ [1] 김훈기 1910 09-07
6710 오늘도 초청장을 구해볼까 했는데 헛탕~ [2] 왜들이래 1522 09-07
6709 아 저기.... 원도우 파티션 문제... [10] 봉빵 4375 09-06
6708 하반기라 그런지 [2] 메실 1521 09-06
6707 난 치한이 아니라고요~~~ [1] 루트원 1883 09-06
6706 윈도우7을 처음 접해본 소감 [3] 짜장면 1912 09-06
6705 병원에 다녀 왔습니다. [18] gooddew 1761 09-06
XE1.11.6 Layout1.4.8