哈勃分析系统报告(简略版)
详细地址:https://habo.qq.com/file/showdetail?md5=e2e2e5eeb7fb7805813e1cda951a26ef&pk=ADEGZV1pB2MIPls8
关键行为
行为描述: 获取TickCount值 【解释:调试API,加载】
详情信息:
TickCount = 5490578, SleepMilliseconds = 60000.
TickCount = 5490906, SleepMilliseconds = 60000.
TickCount = 5490921, SleepMilliseconds = 60000.
进程行为
行为描述: 创建本地线程
详情信息:
TargetProcess: %temp%\****.exe, InheritedFromPID = 1944, ProcessID = 2492, ThreadID = 2576, StartAddress = 77C0A
文件行为
行为描述: 创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\jmccc.jar
C:\Documents and Settings\Administrator\Local Settings\%temp%\jmccc_lib\json.jar
行为描述: 修改文件内容
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\jmccc.jar ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\jmccc_lib\json.jar ---> Offset = 0
行为描述: 查找文件
详情信息:
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%.\.minecraft\versions\*
FileName = C:\Program Files\Java\jre7\bin\javaw.exe
其他行为
行为描述: 创建互斥体
详情信息:
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
行为描述: 创建事件对象
详情信息:
EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.AMJ.IC
EventName = MSCTF.SendReceiveConection.Event.AMJ.IC
行为描述: 查找指定窗口
详情信息:
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述: 打开事件
详情信息:
HookSwitchHookEnabledEvent
MSFT.VSA.COM.DISABLE.2492
行为描述: 获取TickCount值
详情信息:
TickCount = 5490578, SleepMilliseconds = 60000.
TickCount = 5490906, SleepMilliseconds = 60000.
行为描述: 窗口信息
详情信息:
Pid = 2492, Hwnd=0x703bc, Text = 游戏核心:, ClassName = Afx:400000:b:10011:1900015:0.
行为描述: 调用Sleep函数
详情信息:
[1]: MilliSeconds = 60000.
[2]: MilliSeconds = 0.
[3]: MilliSeconds = 250.
行为描述: 隐藏指定窗口
行为描述: 打开互斥体
详情信息:
ShimCacheMutex
文件分析图谱(PortEx)
运行截图
追求源于热爱,极致源于梦想。 Airme/AirOS作者