对某KMS文件的分析

qq296015668

原文连接：https://bbs.pcbeta.com/viewthread-1662873-1-1.html
百度盘： http://pan.baidu.com/share/home?uk=3240351574




基本信息

文件名称：	KMS10.exe
MD5：	745739807ad9356a8e4ac5651258a0ee
文件类型：	EXE
上传时间：	2015-12-29 16:10:14
出品公司：	N/A
版本：	1.0.0.0---1.0.0.0
壳或编译器信息：	N/A
TAV扫描结果：	Suspicious.VMPPacker.Gen

进程行为

行为描述：	创建本地线程
详情信息：	N/A
行为描述：	进程退出
详情信息：	N/A
行为描述：	枚举进程
详情信息：	N/A

文件行为

行为描述：	查找文件
详情信息：	FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.zh-CN FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.zh-Hans FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.zh FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.CHS FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.CH

其他行为

行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-* MSCTF.Shared.MUTEX.ELH MSCTF.Shared.MUTEX.AEF
行为描述：	创建事件对象
详情信息：	EventName = MSCTF.SendReceive.Event.AEF.IC EventName = MSCTF.SendReceiveConection.Event.AEF.IC
行为描述：	查找指定窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,] NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：	枚举窗口
详情信息：	N/A
行为描述：	窗口信息
详情信息：	Pid = 1476, Hwnd=0x202b4, Text = 系统信息, ClassName = TGroupBox. Pid = 1476, Hwnd=0x202b2, Text = KMS模式, ClassName = TComboBox. Pid = 1476, Hwnd=0x302bc, Text = 一键永久激活Windows和Office, ClassName = TButton. Pid = 1476, Hwnd=0x202cc, Text = KMS10, ClassName = TArmStrongForm.
行为描述：	隐藏指定窗口
详情信息：	[Window,Class] = [,ComboLBox]

运行该文件后，文件会自动拷贝自身到 C:\windows\KMS10\KMS10.exe
并在计划任务里面加入开机运行和定时运行






并没有说完，保存成草稿的时候不知道怎么回事，莫名的就审核去了！

接着 在C:\Users\Administrator（你的用户名）\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch  下面查看你的 浏览器快捷方式 -右键-属性  均加入了  http://hao.qquu8.com  这个页面





在 Quick Launch 这个目录下面还有一个隐藏文件夹User Pinned  打开，里面两个文件夹、点开TaskBar 这个 ，把里面的浏览器快捷属性都改一下





然而我还是发现有一点小问题。。。我的浏览器不能固定到任务栏了。其他的问题还是继续观察中，准备装个虚拟机完全的记录下文件的执行过程，到时候会补上！

星的AB

已经自己电话激活了，再也不用用这种东西了，垃圾，还说自己无毒

liuxunying

我也不建议用这一类的激活软件。

用过很多种，但隔一天就重回未激活状态。而且感觉那些程序有后门。

villana

手动KMS。。。

griefhy

这个东西确实有毒，准确的说劫持了资源管理器然后注入浏览器启动参数，简直无耻。

shz6110592

破解的都带点毒吧

QQ539331995

用KMSpico

qwertykwl

这么好的技术贴子，不加分，会有报应，

tegl

这个矮种马会劫持主页，流氓木马

395092454

毒吧傻逼们我电脑里什么没有哈哈，其实要是真的有价值的电脑也不在乎那几块钱在淘宝就能买到在线激活号码

漫步者gw

劫持主页。

locationiskey

加入计划任务完全正常啊
不然到期了怎么给你自动续期

也许有问题，但也得找到点子上

gjp1976

你那不是正宗小马吧？？？？

poiuy99

youwenti??????????

gjp1976

提供个正宗的给分析分析
小马Win10激活v2.0.7z (670.95 KB, 下载次数: 78)

2015-12-29 21:16 上传

下载次数: 78
下载积分: PB币 -1
请勿使用多线程下载工具下载论坛附件！

wwdboy

找个服务器自己手动激活更好一些

damolang

楼主强啊&&&&&&

feimaxingkong

正宗小马

cngn

已经运行了，现在有无办法进行清楚啊？

tittys3000

会劫持的 还是不要使用的好