請選擇 進入手機版 | 繼續訪問電腦版

冰楓論壇

 找回密碼
 立即註冊
查看: 1044|回復: 8

[原創] AVA 偽Bypass 2017.08.08

  [複製鏈接]

19

主題

7

好友

28

積分

技術師

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

UID
146463
帖子
27
主題
19
精華
0
積分
28
楓幣
11426
威望
26
存款
0
贊助金額
0
推廣
0
GP
333
閱讀權限
100
性別
保密
在線時間
34 小時
註冊時間
2016-7-16
最後登錄
2017-8-23
發表於 2017-8-8 17:44:32 |顯示全部樓層
ava111.jpg


ava222.jpg

只能暫時PASS
先開AVA-Bypass
在啟動遊戲



AVA-Bypass.exe

696 KB, 閱讀權限: 20, 下載次數: 15

售價: 10 楓幣  [記錄]

3

主題

0

好友

2

積分

新手上路

Rank: 1

UID
198300
帖子
17
主題
3
精華
0
積分
2
楓幣
504
威望
2
存款
0
贊助金額
0
推廣
0
GP
2
閱讀權限
10
性別
保密
在線時間
5 小時
註冊時間
2017-7-24
最後登錄
2017-8-23
發表於 2017-8-8 21:24:33 |顯示全部樓層
用戶權限太高 怎麼辦=ˇ=
回復

使用道具 舉報

17

主題

0

好友

2

積分

新手上路

Rank: 1

UID
181183
帖子
52
主題
17
精華
0
積分
2
楓幣
130
威望
2
存款
0
贊助金額
0
推廣
0
GP
3
閱讀權限
10
性別
保密
在線時間
4 小時
註冊時間
2017-3-3
最後登錄
2017-8-22

Android勳章

發表於 2017-8-8 23:26:13 |顯示全部樓層
回復

使用道具 舉報

17

主題

0

好友

2

積分

新手上路

Rank: 1

UID
181183
帖子
52
主題
17
精華
0
積分
2
楓幣
130
威望
2
存款
0
贊助金額
0
推廣
0
GP
3
閱讀權限
10
性別
保密
在線時間
4 小時
註冊時間
2017-3-3
最後登錄
2017-8-22

Android勳章

發表於 2017-8-8 23:51:54 |顯示全部樓層
回復

使用道具 舉報

1

主題

0

好友

101

積分

註冊會員

Rank: 2

UID
193429
帖子
24
主題
1
精華
0
積分
101
楓幣
512
威望
100
存款
0
贊助金額
0
推廣
0
GP
0
閱讀權限
20
性別
保密
在線時間
10 小時
註冊時間
2017-6-24
最後登錄
2017-8-21

Android勳章 積分勳章 太陽勳章 神手勳章 2017年紀念勳章

發表於 2017-8-9 17:11:45 |顯示全部樓層
想請問一下這效果是什麼
[發帖際遇]: 一個袋子砸在了 25641321 頭上,25641321 賺了 1 楓幣. 幸運榜 / 衰神榜
回復

使用道具 舉報

220

主題

1

好友

577

積分

高級贊助會員

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
173947
帖子
266
主題
220
精華
0
積分
577
楓幣
2422
威望
198
存款
20
贊助金額
1500
推廣
0
GP
194
閱讀權限
150
性別
保密
在線時間
84 小時
註冊時間
2017-1-1
最後登錄
2017-8-22

高級客戶 論壇支持王 貢獻王 VIP會員

發表於 2017-8-9 20:29:10 |顯示全部樓層
本帖最後由 KinKALaw 於 2017-8-9 20:32 編輯

給了大家分析一下 看看是否下載

基本資訊:
檔案名稱:                         AVA-Bypass.exe
MD5:                                dbf2471f23e205552fbe6029298b9943
檔案類型:                        EXE
出品公司:                        N/A
版本:                                1.0.0.0---1.0.0.0
殼或編譯器信息:           COMPILER:Elan


關鍵行為
行為描述:殺掉進程
詳情信息:C:\\WINDOWS\\system32\\AVA.exe

進程行為
行為描述:創建本地執行緒
詳情信息: TargetProcess: %temp%\\****.exe, InheritedFromPID = 2000, ProcessID= 2680, ThreadID = 2748, StartAddress = 77C0A341, Parameter = 009B6920
TargetProcess:%temp%\\****.exe, InheritedFromPID = 2000, ProcessID = 2680, ThreadID = 2804,StartAddress = 6F7AF79C, Parameter = 00E24308
TargetProcess:%temp%\\****.exe, InheritedFromPID = 2000, ProcessID = 2680, ThreadID = 2808,
StartAddress= 0043A050, Parameter = 00B57938


文件行為
行為描述:創建文件
詳情信息: C:\\Documents andSettings\\Administrator\\Local Settings\\%temp%\\1.wavC:\\Documents and Settings\\Administrator\\Application
Data\\Microsoft\\Speech\\Files\\UserLexicons\\SP_352B2CD5214344E8B9AF99810B2A7804.dat


行為描述:覆蓋已有文件
詳情信息: C:\\Documents and Settings\\Administrator\\ApplicationData\\Microsoft\\Speech\\Files\\UserLexicons\\SP_352B2CD5214344E8B9AF99810B2A7804.dat


行為描述:修改檔內容
詳情信息: C:\\Documents and Settings\\Administrator\\ApplicationData\\Microsoft\\Speech\\Files\\UserLexicons\\SP_352B2CD5214344E8B9AF99810B2A7804.dat---> Offset = 0
C:\\Documentsand Settings\\Administrator\\ApplicationData\\Microsoft\\Speech\\Files\\UserLexicons\\SP_352B2CD5214344E8B9AF99810B2A7804.dat---> Offset = 140
C:\\Documentsand Settings\\Administrator\\ApplicationData\\Microsoft\\Speech\\Files\\UserLexicons\\SP_352B2CD5214344E8B9AF99810B2A7804.dat---> Offset = 540
C:\\Documentsand Settings\\Administrator\\Local Settings\\%temp%\\1.wav ---> Offset = 0C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\1.wav --->Offset = 8192 C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\1.wav --->Offset = 16384 C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\1.wav --->Offset = 24576 C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\1.wav --->Offset = 32768


行為描述:查找文件
詳情信息:   FileName = C:\\Documents andSettings\\Administrator\\Local Settings\\%temp%\\1.wav


其他行為
行為描述:創建互斥體
詳情信息: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_MutexHKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Chinese_Mutex
HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_English_MutexHKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Japanese_Mutex
HKEY_CURRENT_USER_SOFTWARE_Microsoft_Speech_CurrentUserLexicon_Mutex
30F1B4D6-EEDA-11d2-9C23-00C04F8EF87C
{09F6C5C9-322C-4866-8445-327D6FC51D56}
{B8EB6CB1-A292-4F57-BEDC-0922EC3DED05}
HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_Lex_Mutex



行為描述:創建事件物件
詳情信息:EventName = DINPUTWINMM
EventName= HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_EventEventName =HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Chinese_EventEventName = HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_English_EventEventName = HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_PhoneConverters_Tokens_Japanese_EventEventName = HKEY_CURRENT_USER_SOFTWARE_Microsoft_Speech_CurrentUserLexicon_EventEventName   =  {1924FDFA-3F0D-45D3-B39A-62BB16E3941C}
EventName= {23D6A711-0276-4905-B5CF-9B6910D7ADEB}
EventName= HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_Lex_
EventEventName =HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_Lts_Event
EventName = HKEY_LOCAL_MACHINE_SOFTWARE_Microsoft_Speech_Voices_Tokens_MSSam_Lts_Phon
eConverter_Event
EventName= MSCTF.SendReceive.Event.MHK.IC EventName = MSCTF.SendReceiveConection.Event.MHK.IC



行為描述:查找指定視窗
詳情信息: NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]NtUserFindWindowEx:  [Class,Window]  = [CicLoaderWndClass,]


行為描述:打開事件
詳情信息: HookSwitchHookEnabledEvent MSFT.VSA.COM.DISABLE.2680 MSFT.VSA.IEC.STATUS.6c736db0
Global\\SvcctrlStartEvent_A3752DXCTF.ThreadMIConnectionEvent.000007E8.00000000.00000010CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010MSCTF.SendReceiveConection.Event.IOH.IC MSCTF.SendReceive.Event.IOH.IC



行為描述:視窗資訊
詳情信息: Pid = 2680, Hwnd=0x10350, Text = Bingfeng.tw, ClassName =_EL_Label. Pid = 2680, Hwnd=0x1034e, Text = By.zdzwhrfz, ClassName =  _EL_Label.
Pid = 2680, Hwnd=0x1034c, Text = Waitingfor the game to start, ClassName = _EL_Label.Pid = 2680, Hwnd=0x10346, Text = AVA bypass , ClassName = WTWindow.



行為描述:隱藏指定視窗
詳情信息:  [Window,Class] = [,_EL_Timer]



行為描述:打開互斥體詳情資訊:  
  ShimCacheMutex


進程樹
  • [url=]****.exe (PID: 0x00000a78)[/url]


文件分析圖譜(PortEx)
099.png





回復

使用道具 舉報

17

主題

0

好友

2

積分

新手上路

Rank: 1

UID
181183
帖子
52
主題
17
精華
0
積分
2
楓幣
130
威望
2
存款
0
贊助金額
0
推廣
0
GP
3
閱讀權限
10
性別
保密
在線時間
4 小時
註冊時間
2017-3-3
最後登錄
2017-8-22

Android勳章

發表於 2017-8-10 01:37:43 |顯示全部樓層
回復

使用道具 舉報

17

主題

0

好友

2

積分

新手上路

Rank: 1

UID
181183
帖子
52
主題
17
精華
0
積分
2
楓幣
130
威望
2
存款
0
贊助金額
0
推廣
0
GP
3
閱讀權限
10
性別
保密
在線時間
4 小時
註冊時間
2017-3-3
最後登錄
2017-8-22

Android勳章

發表於 2017-8-11 12:58:54 |顯示全部樓層
回復

使用道具 舉報

3

主題

0

好友

3

積分

新手上路

Rank: 1

UID
201670
帖子
18
主題
3
精華
0
積分
3
楓幣
6
威望
3
存款
0
贊助金額
0
推廣
0
GP
3
閱讀權限
10
性別
保密
在線時間
1 小時
註冊時間
2017-8-15
最後登錄
2017-8-21
發表於 7 天前 |顯示全部樓層
回復

使用道具 舉報

您需要登錄後才可以回帖 登錄 | 立即註冊

正在連接伺服器...
打開冰楓聊天室
廣告刊登意見回饋關於我們職位招聘

Copyright © 2011-2017 冰楓論壇, All rights reserved

免責聲明:本網站是以即時上載留言的方式運作,本站對所有留言的真實性、完整性及立場等,不負任何法律責任。

而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。

小黑屋|意見反饋|手機版|Archiver|冰楓論壇

GMT+8, 2017-8-23 16:05

APP Store下載 Play Store下載
回頂部