자유 게시판

코비님만 보세요.

2010.09.08 13:36

옥황상제와 말놓는 사이 조회:2180

코비님 글에 덧글을 달려니 스크롤 압박에 여기서 잠시 글 씁니다.

제가 코비님 덧글에도 댓글 달았지만...

증빙이 먼저입니다.

가설은 나중에 증빙을 토대로 진행하시면 됩니다.

-------------------------------------------------------------------------------

WinKeyFinder v1.73 포터블 실행시 로드되는 dll 파일들 입니다.
 
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\pstorec.dll
C:\WINDOWS\system32\ATL.DLL
 
열려지는 경로입니다.
 
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\EIGENE BILDER\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DOKUMENTE\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\
C:\PROGRAMME\GEMEINSAME DATEIEN\
C:\PROGRAMME\
C:\WINDOWS\SYSTEM32\
C:\WINDOWS\
 
접근 하는 레지 경로입니다.
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
------------------------------------------------------------------------------------------------------------------
 
하지만 실행 코드가 없다는 겁니다.
그리고 레지에 접근만하지 레지키가 변경되는 그 무엇도 없습니다. 
심증은 있으나 물증이 없으면 무죄입니다.
정히 알고싶다면 제가 어제 댓글 달아드린대로 안랩으로 쌤플을 보넨 후 토론하여도 늦지않습니다.
41개의 바이러스 토탈 엔진 중에서 1개의 엔진에서 휴리스틱 진단이 나온건데 그걸 바이러스 진단으로 확정하기는 이릅니다.
남어지 40개의 엔진은 검출을 못합니다. 우리는 % 치수상 어느것을 믿어야 할까요?
바이러스 토탈의 도표는 단지 참조만 하시면 됩니다.
 
아래 바이러스 토탈의 샘플 데이터는 코비님이 걸어주신 링크에서 다운받은 겁니다.(3개중 링크 맨위 프로그램)
본문에 데이터 역시 코비님 링크에서 받은 데이터 입니다.
------------------------------------------------------------------------------------------------------------------
 
제가 바라보는 WinKey Finder 1.73 문제점들...
업로드한 최초 유저가 XVA ,팩툴을 사용해서 팩을 하면서
소속된 와레즈 사이트의 스플레시 이미지를 로딩 되도록 만들었고, 패킹한 유저의 OS 는 XP 로 추정합니다.
XP 에서 WIN7 을 포함한 모든 플랫폼에서 적용되도록  호환성을 마춘 후,
포터블 프로그램이 종료되면서 실행시 생성된 폴더를 삭제 하도록 스크립트로 명령하였습니다.
(이 스크립트 적용 부분에서 뭔가 좀 실수를....)
 
그리고 한가지 더,
패킹한 유저가 어도비 프로그램을 설치해서 사용 중이였고,
어도비 프로그램을 자동 업데이트 모드로 해 두었다면
묘하게 패킹 중에 어도비 자동업데이트가 실시되었을 가능성이 높고,
패킹 후 어도비 관련 레지키와 해당 파일들이 생성되었고,
패커는 불 필요한 어도비 업데이트 관련 레지키와 폴더를 삭제하고 팩을한거 같습니다.
어도비 관련 삭제 정보가 확인되었습니다.
 
이 글을 보시는 분들은 만화같은 뉘앙스를 가질 수 도 있겠지요,  그냥 가능성을 점친겁니다.
https://windowsforum.kr/free/1390195 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
6887 해석부탁드립니다. [2] 메실 1667 09-27
6886 노트북 램128매가에서 윈7설치방법? [15] 메실 3402 09-27
6885 티스토리 초대장 7장 배포합니다. 초록날개 1565 09-27
6884 3d-album 한글패치 좀 보내주세요 서목섬 5298 09-27
6883 이거 하나만 받아 공유좀 해주세요. [4] 메실 2019 09-26
6882 콘덴서가 소켓형이라면... [3] 김윈도 1816 09-26
6881 이거 넷북에 설치 추천하실만 한가요. [2] 진모씨 1692 09-26
6880 생명 보험 실비 청구 [4] kdksj 2149 09-26
6879 와우 프리서버 [3] 죽음의기사 5314 09-26
6878 트윅버전찾다 xp 서팩3엄청난용량다이어트트윅버전 [3] 메실 2286 09-26
6877 윈7 노트북용으로 받고 있는데 티니버전인지? [1] 메실 1891 09-26
6876 잔잔한 재즈 연주곡.......... ohmylife 5708 09-26
6875 제 블로그에서 초대장(8장)을 배포합니다. Gim Gyu- 1698 09-26
6874 윈7 노트북용램128메가 라이트버전 [3] 메실 3372 09-26
6873 usb cd롬 되는 메모리좀 추천해주세요. [8] 눈비 2362 09-26
6872 살다살다 피시방에서... [2] 노란 1968 09-26
6871 신기한 사진 [2] Andrei Sak 2156 09-26
6870 대한민국 꼬마 아가씨들.... [8] 바우 2594 09-26
6869 윈도우7 테마팩에서 이미지만 추출하기 LiveREX 2639 09-26
6868 트루이미지 5519바이러스? [3] 메실 1746 09-26
홈으로 위로 목록
XE1.11.6 Layout1.4.8