一例.bat脚本打包样本的分析

news2024/10/7 4:35:31

样本的基本信息

hosts.exe
MD5: 72ddf833fa206326e15c2c97679d323e
SHA1: ad148ff4b7f77831b469be8bb19d32d029c23b50


banish.exe
MD5: 4a43ea617017d5de7d93eb2380634eee
SHA1: b0af5aa27cd0e49955f1ab2d18d69f7bc8fd4d21

分析过程

查壳

脱掉upx壳,用IDA打开,shift+F12查看字符串

可以看到ExeScript关键字,说明这个程序是使用ExeScript打包的脚本

使用ExeScriptDEC程序直接提取出bat文件,不用脱壳
得到两个文件的内容

banish.cmd

@rem ----- ExeScript Options Begin -----
@rem ScriptType: console,invoker
@rem DestDirectory: temp
@rem Icon: none
@rem OutputFile: I:\Backups\Software\Advanced\Programming\(development)\Otherwise\Windows 7\Chew-WGA\Script Programming\apps\_test7\banish.exe
@rem CompanyName: Anemeros
@rem FileVersion: 1.0.0.0
@rem ProductVersion: 1.0.0.0
@rem ----- ExeScript Options End -----
@ECHO OFF
TAKEOWN /F "%~1" >NUL
ICACLS "%~1" /grant "%USERNAME%":F >NUL
:LOOP
SET tmpfile="%TEMP%\%RANDOM%.tmp"
IF EXIST %tmpfile% (GOTO :LOOP)
MOVE /Y "%~1" %tmpfile% >NUL
IF "%ERRORLEVEL%" NEQ "0" (
    DEL /F /Q %tmpfile%
    ECHO Operation failed
    EXIT /B 0
) ELSE (
    DEL /F /Q %tmpfile%
    ECHO Operation completed successfully
    EXIT /B 1
)

banish.cmd的功能是把参数1代表的文件拷贝到%temp%\random.tmp

hosts.cmd


@rem ----- ExeScript Options Begin -----
@rem ScriptType: console,invoker
@rem DestDirectory: temp
@rem Icon: none
@rem OutputFile: I:\Backups\Software\Advanced\Programming\(development)\Otherwise\Windows 7\Chew-WGA\Script Programming\apps\_test7\hosts.exe
@rem CompanyName: Anemeros
@rem FileVersion: 1.0.0.0
@rem ProductVersion: 1.0.0.0
@rem ----- ExeScript Options End -----
@ECHO OFF
IF /I "%~1" EQU "/u" (GOTO :RemHosts)
ECHO.>> "%SystemRoot%\System32\drivers\etc\hosts"
CALL :AddHost "genuine.microsoft.com"
CALL :AddHost "mpa.one.microsoft.com"
CALL :AddHost "sls.microsoft.com"
GOTO :EOF

:AddHost
    TYPE "%SystemRoot%\System32\drivers\etc\hosts" | FIND /I "%~1" >NUL
    IF "%ERRORLEVEL%" NEQ "0" (ECHO 127.0.0.1 %~1>> "%SystemRoot%\System32\drivers\etc\hosts")
GOTO :EOF

:RemHosts
    TYPE "%SystemRoot%\System32\drivers\etc\hosts" | FIND /I /V "genuine.microsoft.com" | FIND /I /V "mpa.one.microsoft.com" | FIND /I /V "sls.microsoft.com" > "%temp%\hosts.txt"
    MOVE /Y "%temp%\hosts.txt" "%SystemRoot%\System32\drivers\etc\hosts" >NUL
GOTO :EOF

hosts.bat的功能是把下面3项添加到系统hosts文件,应该是与windows激活有关

127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sls.microsoft.com

通过关键字Anemeros,检索出一些激活工具

60CA507EF4BA7DBBB7EF6EA4B975B9B09A24D7D0C91D38D0876331203F962D98.eXe
6738d790fc0f3928a8a5f19d829cae4d
7f3b4d1c30e1f56776b30432d0bd7df3
8.eXe
Activator.eXe
CW.EXE
CW.eXe
CW.exe
CW.rar
Chew-WGA 0.9 – The Windows 7 Patch.eXe
Chew-WGA v.0.9.eXe
Chew-WGA v0.9.eXe
ChewWGA_v0.9.exe
Win7 Anemeros Software.exe
Win7 Lisans.eXe
bounty-39896427131516656
bounty-9105509022319790
c8d808ee0ec4e6096de1b1b1477fd8e7
crack KB971033.eXe
crack-KB971033.eXe
cw.exe
file
win7¼¤»î¹¤¾ß.eXe
win7永久激活.exe
三星笔记本WIN7激活工具.exe

参考资料

  • ExeScriptDEC V1.5
  • window的dos命令学习笔记 八— bat文件打包成exe程序(实现脚本加密)
  • ExeScript 3.6
  • https://www.hybrid-analysis.com/sample/60ca507ef4ba7dbbb7ef6ea4b975b9b09a24d7d0c91d38d0876331203f962d98

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/723314.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【文件 part 6 - 格式化读写文件函数 随机读写】

【文件 part 6 - 格式化读写文件函数 随机读写】

格式化读写文件函数 /* 函数调用: */ fprintf ( 文件指针,格式字符串,输出表列); fscanf ( 文件指针,格式字符串,输入表列);/** 函数功能:* 从磁盘文件中读入或输出字符* fprint…
阅读更多...
用 ChatGPT 制作中英双语字幕

用 ChatGPT 制作中英双语字幕

用 ChatGPT 制作中英双语字幕 0. 背景1. 使用剪映生成英文字幕2. 使用 ChatGPT 的制作中英双语字幕 0. 背景 最近在学习 AI 相关的知识,有很多视频是英文的。 为了提高学习效率,我考虑将这些视频加上中英双语字幕。 效果展示如下, 1. 使用…
阅读更多...
如何用logrotate管理每日增长的日志

如何用logrotate管理每日增长的日志

这篇文章主要介绍了如何用logrotate管理每日增长的日志问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教! logrotate简介 logrotate is designed to ease administration of systems that gen…
阅读更多...
数据结构--二叉树的存储结构

数据结构--二叉树的存储结构

数据结构–二叉树的存储结构 二叉树的顺序存储 #define MaxSize 100 struct TreeNode {ElemType value;bool isEmpty; }; TreeNode tree[MaxSize];初始化 void init() {for (int i 0; i < MaxSize; i)tree[i].isEmpty true; }几个重要常考的基本操作: i的左孩子: 2 i 2…
阅读更多...
骨传导蓝牙耳机哪个好,推荐几款造诣不错的骨传导耳机

骨传导蓝牙耳机哪个好,推荐几款造诣不错的骨传导耳机

欢迎来到骨传导耳机的奇妙世界&#xff01;这种别具一格的耳机&#xff0c;也被亲切地称为“不入耳式”耳机。它采用了一种神奇的技术&#xff0c;通过颅骨、骨迷路、内耳淋巴液和听神经之间的信号传导&#xff0c;保护我们的听力。不仅如此&#xff0c;这款耳机的开放式设计&a…
阅读更多...
Spring七大组件

Spring七大组件

一、Spring七大组件 1.核心容器(Spring core) Spring-core相当于一个创建并管理bean的容器&#xff1a; 创建&#xff1a;底层使用反射技术创建bean的实例&#xff1b;管理&#xff1a;容器中的每个bean&#xff0c;spring容器默认按照单例模式管理&#xff1b;设计&#xff1…
阅读更多...
0501逻辑存储结构和架构-InnoDB引擎-MySQL-数据库

0501逻辑存储结构和架构-InnoDB引擎-MySQL-数据库

文章目录 1 逻辑结构1.1 表空间1.2 段1.3 区1.4 页1.5 行 2 架构2.1 内存架构2.1.1 Buffer Pool2.1.2 change bufer2.1.3 自适应哈希2.1.4 log buffer 2.2 磁盘架构2.2.1 System Tablespace2.2.2 File-Per-Table Tablespace2.2.3 General Tablespaces2.2.4 Undo Tablespaces2.2…
阅读更多...
NC30 缺失的第一个正整数

NC30 缺失的第一个正整数

import java.util.*;public class Solution {/*** 代码中的类名、方法名、参数名已经指定&#xff0c;请勿修改&#xff0c;直接返回方法规定的值即可*** param nums int整型一维数组* return int整型*/public int minNumberDisappeared (int[] nums) {// write code hereHashM…
阅读更多...
CCF-CSP真题《202303-3 LDAP》思路+python,c++满分题解

CCF-CSP真题《202303-3 LDAP》思路+python,c++满分题解

想查看其他题的真题及题解的同学可以前往查看&#xff1a;CCF-CSP真题附题解大全 试题编号&#xff1a;202303-3试题名称&#xff1a;LDAP时间限制&#xff1a;12.0s内存限制&#xff1a;1.0GB问题描述&#xff1a; 题目背景 西西艾弗岛运营公司是一家负责维护和运营岛上基础设…
阅读更多...
Android Studio实现内容丰富的安卓电影购票系统

Android Studio实现内容丰富的安卓电影购票系统

如需源码可以添加q-------3290510686&#xff0c;也有演示视频演示具体功能&#xff0c;源码不免费&#xff0c;尊重创作&#xff0c;尊重劳动。 项目编号043 1.开发环境 android stuido jdk1.8 eclipse mysql tomcat 2.功能介绍 安卓端&#xff1a; 1.注册登录 2.查看电影列表…
阅读更多...
datagrip 无法断句

datagrip 无法断句

使用datagrip 的时候出现了几个sql 执行会无法断开语句的情况可以在这里设置: When caret outside statement execute:
阅读更多...
PADS Layout软件中焊盘各层的释义是什么呢

PADS Layout软件中焊盘各层的释义是什么呢

对于PADS软件而言&#xff0c;焊盘的组成由下面几种组成。 焊盘&#xff1a;包括规则焊盘以及通孔焊盘。 热焊盘&#xff1a;热风盘&#xff0c;也叫花焊盘&#xff0c;在负片中有效&#xff0c;设计用于在负片中焊盘与敷铜的接连方式&#xff0c;防止焊接时散热太快&#xf…
阅读更多...
Windows远程连接linux中mysql数据库

Windows远程连接linux中mysql数据库

我没有mysql并且没有把mysql配置到环境变量中&#xff0c;所以现在我要下载mysql 一.下载mysql Mysql官网下载地址&#xff1a;https://downloads.mysql.com/archives/installer 二.安装mysql 1. 选择设置类型 双击运行mysql-installer-community-8.0.26.msi&#xff0c;这…
阅读更多...
网络安全 | 商用密码产品介绍

网络安全 | 商用密码产品介绍

关注wx&#xff1a; CodingTechWork 密码产品概述 密码 使用特定变换对数据等信息进行加密保护、安全认证的技术、产品和服务。 密码技术 实现密码的加密保护和安全认证等功能的技术&#xff0c;主要包含密码算法、密钥管理和密码协议等。 密码划分 核心密码普通密码商用…
阅读更多...
ai绘画图片网站哪个好?这几个好用的ai绘画图片网站分享给你

ai绘画图片网站哪个好?这几个好用的ai绘画图片网站分享给你

近期我的朋友公司给它安排了一项艰巨的任务&#xff0c;公司给了他一堆图片&#xff0c;然后要求他根据这些图片生成一些风格类似却又独具特色的优质图片&#xff0c;这可难倒他了&#xff0c;他在机缘巧合的情况下得知了有ai绘画图片生成图片的技术&#xff0c;但它不知道怎么…
阅读更多...
Rust 第三天---内存管理与所有权

Rust 第三天---内存管理与所有权

前面介绍了环境配置以及基础语法,掌握之后已经可以开始用Rust编写一些简单的程序了,今天就要来介绍一下Rust核心的功能—内存管理与所有权 1. 关于内存管理 无论什么高级语言必须考虑到的一点就是编写程序时对于内存的管理问题,更简单一点解释,利用编程语言能快速高效的分配内…
阅读更多...
C语言究竟是一门怎样的语言?

C语言究竟是一门怎样的语言?

对于大部分程序员&#xff0c;C语言是学习编程的第一门语言&#xff0c;很少有不了解C的程序员。 C语言除了能让你了解编程的相关概念&#xff0c;带你走进编程的大门&#xff0c;还能让你明白程序的运行原理&#xff0c;比如&#xff0c;计算机的各个部件是如何交互的&#xf…
阅读更多...
40、使用elementUI分别实现前端,后端表格分页

40、使用elementUI分别实现前端,后端表格分页

说明&#xff1a;前端单独做的表格分页—用于解决数据过多页面渲染压力&#xff0c;如果是服务器响应数据过慢&#xff0c;使用第二种分页方法–后端分页。以下为分页效果 一、前端分页 1、创建表格 <el-table:key"new Date().getTime()":data"tableData.s…
阅读更多...
Linux samba服务器配置教程

Linux samba服务器配置教程

此教程适用于Centos 和 Ubuntu&#xff0c;其它Linux系统一般大概率配置命令相同&#xff01; 一、关闭防火墙 1. Centos 查看防火墙状态&#xff1a;systemctl status firewalld.service 关闭防火墙&#xff1a;systemctl stop firewalld.service 永久关闭防火墙&#xff…
阅读更多...
Node中npm基本使用

Node中npm基本使用

1.创建文件夹 说明&#xff1a;创建一个空文件夹&#xff0c;然后以此目录为工作目录&#xff0c;执行npm init,交互式创建package.json文件(包的配置文件) npm init 注意&#xff1a;package下的name属性不能使用中文&#xff0c;大写&#xff0c;默认值为文件名的名称&…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023