자유 게시판

코비님만 보세요.

2010.09.08 13:36

옥황상제와 말놓는 사이 조회:2180

코비님 글에 덧글을 달려니 스크롤 압박에 여기서 잠시 글 씁니다.

제가 코비님 덧글에도 댓글 달았지만...

증빙이 먼저입니다.

가설은 나중에 증빙을 토대로 진행하시면 됩니다.

-------------------------------------------------------------------------------

WinKeyFinder v1.73 포터블 실행시 로드되는 dll 파일들 입니다.
 
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\pstorec.dll
C:\WINDOWS\system32\ATL.DLL
 
열려지는 경로입니다.
 
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\EIGENE BILDER\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE DATEIEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\AUTOSTART\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\PROGRAMME\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN?\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\VORLAGEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\FAVORITEN\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DOKUMENTE\
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\
C:\PROGRAMME\GEMEINSAME DATEIEN\
C:\PROGRAMME\
C:\WINDOWS\SYSTEM32\
C:\WINDOWS\
 
접근 하는 레지 경로입니다.
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ""
------------------------------------------------------------------------------------------------------------------
 
하지만 실행 코드가 없다는 겁니다.
그리고 레지에 접근만하지 레지키가 변경되는 그 무엇도 없습니다. 
심증은 있으나 물증이 없으면 무죄입니다.
정히 알고싶다면 제가 어제 댓글 달아드린대로 안랩으로 쌤플을 보넨 후 토론하여도 늦지않습니다.
41개의 바이러스 토탈 엔진 중에서 1개의 엔진에서 휴리스틱 진단이 나온건데 그걸 바이러스 진단으로 확정하기는 이릅니다.
남어지 40개의 엔진은 검출을 못합니다. 우리는 % 치수상 어느것을 믿어야 할까요?
바이러스 토탈의 도표는 단지 참조만 하시면 됩니다.
 
아래 바이러스 토탈의 샘플 데이터는 코비님이 걸어주신 링크에서 다운받은 겁니다.(3개중 링크 맨위 프로그램)
본문에 데이터 역시 코비님 링크에서 받은 데이터 입니다.
------------------------------------------------------------------------------------------------------------------
 
제가 바라보는 WinKey Finder 1.73 문제점들...
업로드한 최초 유저가 XVA ,팩툴을 사용해서 팩을 하면서
소속된 와레즈 사이트의 스플레시 이미지를 로딩 되도록 만들었고, 패킹한 유저의 OS 는 XP 로 추정합니다.
XP 에서 WIN7 을 포함한 모든 플랫폼에서 적용되도록  호환성을 마춘 후,
포터블 프로그램이 종료되면서 실행시 생성된 폴더를 삭제 하도록 스크립트로 명령하였습니다.
(이 스크립트 적용 부분에서 뭔가 좀 실수를....)
 
그리고 한가지 더,
패킹한 유저가 어도비 프로그램을 설치해서 사용 중이였고,
어도비 프로그램을 자동 업데이트 모드로 해 두었다면
묘하게 패킹 중에 어도비 자동업데이트가 실시되었을 가능성이 높고,
패킹 후 어도비 관련 레지키와 해당 파일들이 생성되었고,
패커는 불 필요한 어도비 업데이트 관련 레지키와 폴더를 삭제하고 팩을한거 같습니다.
어도비 관련 삭제 정보가 확인되었습니다.
 
이 글을 보시는 분들은 만화같은 뉘앙스를 가질 수 도 있겠지요,  그냥 가능성을 점친겁니다.
https://windowsforum.kr/free/1390195 홈으로 위로 목록
홈으로 위로 목록
홈으로 위로 목록
XE1.11.6 Layout1.4.8