论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[9006] 2015-06-08_技术剖析:海莲花OceanLotusEncryptor样本分析
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-17
IOT
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2015-06-08_技术剖析:海莲花OceanLotusEncryptor样本分析
技
术
剖
析
:
海
莲
花
O
c
e
a
n
L
o
t
u
s
E
n
c
r
y
p
t
o
r
样
本
分
析
F
r
e
e
B
u
f
2
0
1
5
-
0
6
-
0
8
微
信
号
:
微
信
号
:
f
r
e
e
b
u
f
前
言
前
言
上
周
,
3
6
0
发
布
了
海
莲
花
的
报
告
,
数
据
收
集
,
分
析
,
解
释
,
加
工
方
面
很
能
让
人
折
服
,
但
是
看
了
其
对
所
谓
O
c
e
a
n
L
o
t
u
s
E
n
c
r
y
p
t
o
r
样
本
的
分
析
,
和
我
自
己
观
查
到
的
,
我
觉
得
有
些
地
方
描
述
的
不
正
确
,
而
且
其
对
病
毒
攻
击
流
程
的
分
析
语
焉
不
详
—
—
一
个
A
P
T
攻
击
报
告
不
能
详
细
说
明
其
攻
击
流
程
,
其
他
数
据
分
析
的
再
好
我
觉
得
都
是
没
有
说
服
力
。
很
多
地
方
看
似
是
语
法
错
误
导
致
的
,
其
实
是
其
并
没
有
完
全
分
析
清
楚
攻
击
流
程
所
导
致
的
,
比
如
:
另
外
关
于
6
4
位
强
密
匙
绕
过
杀
软
,
其
实
质
就
是
O
c
e
a
n
L
o
t
u
s
E
n
c
r
y
p
t
o
r
在
创
建
进
程
时
候
的
用
到
的
一
个
6
4
b
y
t
e
s
的
随
机
数
,
并
没
有
什
么
其
他
的
作
用
。
还
有
一
点
释
放
的
同
名
d
o
c
不
是
木
马
本
身
释
放
的
,
而
是
由
其
子
进
程
解
密
母
体
文
件
,
然
后
覆
盖
母
体
文
件
的
所
产
生
的
。
综
述
综
述
该
病
毒
我
首
次
注
意
到
是
今
年
4
月
初
,
时
就
觉
得
这
个
病
毒
非
同
一
般
,
但
是
却
没
有
深
入
的
去
分
析
,
直
到
看
到
3
6
0
的
报
告
,
我
觉
得
写
的
很
模
糊
,
所
以
就
详
细
分
析
了
下
。
该
样
本
所
采
用
的
技
并
不
是
说
很
复
杂
,
但
是
各
种
技
巧
的
组
合
还
是
很
有
杀
伤
力
的
,
很
好
的
绕
过
了
杀
软
的
检
测
,
具
有
很
强
的
隐
蔽
性
,
而
且
从
代
码
逻
辑
与
攻
击
流
程
来
看
,
该
病
毒
绝
对
不
是
脚
本
小
子
,
f
r
e
s
h
m
a
n
所
能
写
的
。
关
于
是
不
是
专
门
针
对
中
国
的
A
P
T
攻
击
,
直
到
我
分
析
完
该
样
本
,
我
觉
得
这
应
该
不
是
专
门
针
对
中
国
大
陆
的
A
P
T
攻
击
,
原
因
有
两
点
:
1
、
在
其
释
放
的
文
件
中
,
有
一
个
%
a
p
p
d
a
t
a
%
/
t
e
n
c
e
n
t
/
q
q
.
e
x
e
的
文
件
。
该
文
件
文
件
信
息
伪
造
为
国
际
版
q
q
.
e
x
e
如
下
图
,
2
、
在
核
心
功
能
组
建
中
,
b
u
n
d
l
e
.
r
d
b
会
创
建
这
样
一
个
路
径
用
于
存
放
从
服
务
器
下
载
的
其
他
攻
击
组
件
如
果
是
专
门
针
对
大
陆
的
如
果
是
专
门
针
对
大
陆
的
A
P
T
攻
击
,
未
免
有
点
牵
强
。
因
为
大
陆
很
少
会
用
到
攻
击
,
未
免
有
点
牵
强
。
因
为
大
陆
很
少
会
用
到
y
a
h
o
o
,
而
且
,
而
且
q
q
政
府
工
作
人
员
也
不
会
去
用
国
际
政
府
工
作
人
员
也
不
会
去
用
国
际
版
,
就
算
有
那
也
很
少
。
版
,
就
算
有
那
也
很
少
。
如
果
说
是
A
P
T
攻
击
人
员
的
失
误
,
那
么
这
这
两
点
将
是
致
命
性
的
错
误
,
会
造
成
攻
击
失
败
。
综
上
我
觉
得
如
果
说
非
要
说
是
A
P
T
攻
击
,
那
么
该
攻
击
要
么
是
针
对
驻
外
大
使
馆
,
或
者
海
外
中
国
企
业
的
职
工
。
q
q
用
于
自
己
使
用
,
y
a
h
o
o
则
应
该
用
于
与
当
地
人
民
,
工
作
交
流
使
用
,
这
样
就
能
说
的
通
了
。
当
然
这
只
是
我
的
推
断
,
代
表
个
人
意
见
,
如
有
不
对
勿
喷
。
攻
击
流
程
攻
击
流
程
2
.
1
攻
击
流
程
攻
击
流
程
该
样
本
攻
击
流
程
分
为
三
个
阶
段
:
第
一
阶
段
为
释
放
,
总
共
释
放
了
两
个
文
件
%
a
p
p
a
t
a
%
t
e
n
c
e
n
t
/
q
q
.
e
x
e
,
%
a
p
p
d
a
t
a
/
t
e
n
c
e
n
t
/
p
l
u
g
i
n
/
C
o
m
.
T
e
n
c
n
t
.
D
i
r
e
c
t
S
h
o
w
/
b
u
n
d
l
e
.
r
d
b
。
第
二
阶
段
注
入
代
码
到
傀
儡
进
程
中
让
其
加
载
核
心
功
能
组
建
b
u
n
d
l
e
.
r
d
b
。
第
三
阶
段
为
核
心
功
能
组
件
,
负
责
收
集
被
感
染
系
统
信
息
,
执
行
远
程
命
令
,
并
与
服
务
器
通
信
上
传
这
些
信
息
。
过
程
解
释
:
过
程
解
释
:
1
.
恶
意
电
子
邮
件
附
件
中
包
含
O
c
e
a
n
l
o
t
u
s
2
.
在
%
T
E
M
P
%
中
自
拷
贝
自
身
3
.
释
放
同
名
白
d
o
c
文
件
,
释
放
下
一
阶
段
执
行
体
q
q
.
e
x
e
与
核
心
功
能
组
建
b
u
n
d
l
e
.
r
d
b
文
件
4
.
q
q
.
e
x
e
运
行
之
后
注
入
代
码
到
傀
儡
进
程
中
5
.
傀
儡
进
程
加
载
b
u
n
d
l
e
.
r
d
b
6
.
收
集
账
号
信
息
7
.
上
传
被
感
染
机
器
信
息
到
服
务
器
,
获
取
服
务
器
指
令
3
.
1
d
r
o
p
p
e
r
技
术
细
节
技
术
细
节
D
r
o
p
p
e
r
,
即
3
6
0
命
名
的
O
c
e
a
n
L
o
t
u
s
E
n
c
r
y
p
t
o
r
运
行
之
后
,
首
先
会
在
%
t
e
m
p
%
中
自
释
放
一
个
副
本
,
然
后
创
建
一
个
自
进
程
,
该
进
程
命
令
行
为
%
t
e
m
p
%
[
r
a
n
d
o
m
]
.
t
m
p
–
h
e
l
p
[
p
a
r
e
n
t
p
a
t
h
]
[
0
-
9
a
-
f
]
{
6
4
}
.
然
后
结
束
进
程
。
子
进
程
创
建
之
后
,
先
获
取
f
i
l
e
p
a
t
h
路
径
,
即
母
体
的
路
径
,
然
后
读
取
母
体
i
d
为
6
5
的
资
源
数
据
,
并
解
密
,
随
后
覆
盖
原
文
件
,
释
放
d
o
c
文
档
。
之
后
会
检
测
是
否
运
行
在
虚
拟
机
里
,
检
测
完
之
后
便
会
解
密
数
据
释
放
q
q
.
e
x
e
,
与
b
u
n
d
l
e
.
r
d
b
,
注
册
m
s
p
a
i
n
t
键
值
,
建
立
计
划
任
务
,
创
建
q
q
.
e
x
e
进
程
,
结
束
运
行
。
3
.
1
.
1
判
断
运
行
参
数
,
以
判
断
自
身
是
否
为
母
体
的
子
进
程
。
这
样
是
为
了
确
保
正
确
释
放
d
o
c
文
件
。
3
.
1
.
2
然
后
接
下
来
获
取
资
源
节
数
据
并
解
密
资
源
节
i
d
为
6
5
的
资
源
,
即
为
d
o
c
文
件
内
容
。
3
.
1
.
3
.
检
测
是
否
运
行
自
虚
拟
机
中
,
如
果
是
则
结
束
运
行
。
通
过
这
段
指
令
,
就
可
以
检
测
运
行
环
境
是
否
在
v
m
w
a
r
e
里
,
该
反
虚
拟
机
技
术
为
公
开
的
v
m
w
a
r
e
与
客
户
机
之
间
会
话
用
的
一
段
指
令
序
列
。
反
虚
拟
机
的
手
段
其
实
有
很
多
,
但
是
选
择
这
种
方
式
本
人
认
为
:
一
是
相
对
检
测
注
册
表
,
进
程
名
可
靠
性
比
较
高
,
更
加
通
用
,
二
是
这
样
子
会
更
加
的
隐
蔽
,
因
为
检
测
注
册
表
,
与
进
程
名
很
容
易
被
分
析
人
员
识
别
出
来
,
而
且
代
码
量
会
大
.
3
.
1
.
3
接
下
来
是
对
解
密
自
身
数
据
,
为
释
放
%
a
p
p
d
a
t
a
%
/
T
e
n
c
e
n
t
/
q
q
.
e
x
e
与
%
a
p
p
d
a
t
a
%
T
e
n
c
e
n
t
/
p
l
u
g
i
n
/
C
o
m
.
T
e
n
c
n
t
.
D
i
r
e
c
t
S
h
o
w
/
b
u
n
d
l
e
.
r
d
b
做
准
备
,
值
得
注
意
的
是
解
密
数
据
不
是
整
体
存
放
的
,
而
是
分
块
解
密
,
这
样
做
是
为
了
对
抗
杀
毒
软
件
,
扰
乱
分
析
人
员
的
深
入
分
析
,
其
中
解
密
算
法
相
当
复
杂
,
下
图
为
解
密
流
程
一
部
分
:
3
.
1
.
4
解
密
之
后
设
置
注
册
表
,
伪
装
为
m
s
p
a
i
n
t
的
注
册
表
信
息
,
分
别
设
置
H
K
C
U
/
S
O
F
T
W
A
R
E
/
m
s
p
a
i
n
t
值
为
b
u
n
d
l
e
.
r
d
b
的
路
径
。
H
K
L
M
/
S
O
F
T
W
A
R
E
/
m
s
p
a
i
n
t
值
为
q
q
.
e
x
e
的
路
径
。
3
.
1
.
5
将
q
q
.
e
x
e
加
入
计
划
任
务
每
过
十
五
分
钟
启
动
一
次
%
a
p
p
d
a
t
a
%
/
T
e
n
c
e
n
t
/
q
q
.
e
x
e
3
.
2
%
a
p
p
d
a
t
a
%
/
T
e
n
c
e
n
t
/
q
q
.
e
x
e
细
节
3
.
2
.
1
.
该
进
程
启
动
方
式
为
计
划
任
务
创
建
的
,
运
行
之
后
首
先
把
遍
历
是
存
在
m
s
i
e
x
e
c
.
e
x
e
%
a
p
p
d
a
t
a
%
/
T
e
n
c
e
n
t
/
q
q
.
e
x
e
进
程
,
如
果
存
在
则
不
运
行
。
3
.
2
.
2
.
查
看
注
册
表
,
查
找
注
册
表
键
值
H
K
C
U
S
O
F
T
W
A
R
E
M
i
c
r
o
s
o
f
t
m
s
p
a
i
n
t
H
K
L
M
S
O
F
T
W
A
R
E
M
i
c
r
o
s
o
f
t
m
s
p
a
i
n
t
其
中
这
两
个
键
的
键
值
为
d
r
o
p
p
e
r
创
建
的
,
并
且
其
值
分
别
为
B
u
n
d
l
e
.
r
d
b
的
路
径
与
q
q
.
e
x
e
的
路
径
,
如
果
查
找
成
功
则
继
续
执
行
,
不
成
功
则
结
束
进
程
。
3
.
2
.
3
.
遍
历
进
程
查
看
其
用
户
是
否
为
a
d
m
i
n
i
s
t
a
t
o
r
,
如
果
是
则
遍
历
其
模
块
,
如
果
模
块
中
存
在
b
u
n
d
l
e
.
r
d
b
则
结
束
运
行
。
3
.
2
.
4
遍
历
进
程
如
果
存
在
以
下
h
a
s
h
,
则
进
行
相
应
的
操
作
H
a
s
h
算
法
的
C
代
码
如
下
:
其
中
C
R
C
k
e
y
,
存
在
于
%
a
p
p
d
a
t
a
%
/
T
e
n
c
e
n
t
/
q
q
.
e
x
e
本
身
,
位
于
文
件
偏
移
0
x
1
0
1
6
1
3
4
处
3
.
2
.
5
判
断
进
程
参
数
看
其
参
数
是
否
为
“
r
u
n
d
l
l
3
2
.
e
x
e
/
m
”
如
果
是
则
依
次
判
断
是
否
存
在
文
件
s
y
s
w
o
w
6
4
/
m
s
i
e
x
e
c
.
e
x
e
,
s
y
s
t
e
m
3
2
/
m
s
i
e
x
e
c
.
e
x
e
,
P
r
o
g
r
a
m
F
i
l
e
s
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
i
e
x
p
l
o
r
e
.
e
x
e
,
P
r
o
g
r
a
m
F
i
l
e
s
(
x
8
6
)
I
n
t
e
r
n
e
t
E
x
p
l
o
r
e
r
i
e
l
o
w
u
t
i
l
.
e
x
e
如
果
存
在
以
上
四
个
文
件
之
一
,
则
创
建
进
程
,
为
后
面
注
入
做
准
备
。
(
本
报
告
以
m
s
i
e
x
e
c
.
e
x
e
为
例
)
。
其
伪
代
码
如
下
:
3
.
2
.
6
创
建
完
m
s
i
e
x
e
c
.
e
x
e
后
,
遍
历
进
程
列
表
中
的
进
程
的
所
有
线
程
,
找
到
进
程
i
d
为
m
s
i
e
x
e
c
.
e
x
e
的
进
程
,
挂
起
该
进
程
的
所
有
线
程
。
为
载
入
m
s
i
e
x
e
c
.
e
x
e
做
准
备
。
3
.
2
.
7
挂
起
所
有
线
程
之
后
,
随
后
是
注
入
代
码
到
m
s
i
e
x
e
c
.
e
x
e
.
首
先
将
b
u
n
d
l
e
.
r
d
b
路
径
写
入
,
如
图
所
示
然
后
,
获
取
L
o
a
d
L
i
b
r
a
y
W
,
R
t
l
G
e
t
L
a
s
t
e
r
r
o
r
,
S
l
e
e
p
,
E
x
i
t
P
r
o
c
e
s
s
地
址
后
,
注
入
s
h
e
l
l
c
o
d
e
其
实
现
的
功
能
是
,
载
入
b
u
n
d
l
e
.
r
d
b
模
块
,
其
注
入
的
代
码
如
图
:
当
其
注
入
完
毕
以
后
就
恢
复
线
程
运
行
。
这
样
q
q
.
e
x
e
就
完
成
了
自
己
的
任
务
。
总
结
下
q
q
.
e
x
e
的
最
终
目
的
主
要
是
注
入
上
面
的
代
码
到
m
s
i
e
x
e
c
.
e
x
e
。
但
是
该
病
毒
相
对
平
时
见
到
的
简
单
木
马
确
实
很
不
同
寻
常
,
相
对
来
说
过
程
复
杂
,
功
能
全
面
,
而
且
代
码
很
稳
健
,
而
且
这
一
步
骤
起
着
承
前
启
后
的
作
用
。
3
.
3
B
u
n
d
l
e
.
r
d
b
分
析
分
析
B
u
n
d
l
e
.
r
d
b
是
一
个
动
态
库
,
为
其
核
心
功
能
组
建
,
其
相
当
于
一
个
云
配
置
客
户
端
,
内
部
并
没
有
多
少
恶
意
行
为
痕
迹
,
只
负
责
请
求
,
接
收
,
处
理
服
务
器
端
的
信
息
(
但
是
由
于
我
拿
到
的
样
本
i
p
失
效
,
所
以
看
不
到
与
服
务
端
的
通
信
)
并
且
收
集
被
感
染
系
统
的
信
息
,
相
对
来
说
代
码
也
比
前
两
个
阶
段
的
代
码
复
杂
,
解
密
过
程
极
为
复
杂
,
有
一
些
是
为
了
对
抗
杀
软
特
征
查
杀
的
技
巧
,
但
是
也
相
对
比
较
简
单
。
B
u
n
d
l
e
.
r
d
b
实
现
的
功
能
有
与
C
&
C
通
信
,
获
取
服
务
端
指
令
或
者
下
载
其
他
组
建
,
但
是
由
于
i
p
失
效
,
所
以
看
不
到
下
一
步
的
操
作
。
3
.
3
.
1
随
机
获
取
z
o
n
e
.
m
i
z
o
v
e
.
c
o
m
,
s
i
n
0
4
s
0
1
.
l
i
s
t
p
a
z
.
c
o
m
a
c
t
i
v
e
.
s
o
a
r
i
z
.
c
o
m
其
中
一
个
的
的
i
p
,
然
后
与
之
建
立
连
接
,
进
行
通
信
。
3
.
3
.
2
获
取
以
下
数
据
注
册
表
信
息
:
s
o
f
t
w
a
r
e
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
N
T
C
u
r
r
e
n
t
V
e
r
s
i
o
n
i
m
e
S
O
F
T
W
A
R
E
D
E
S
C
R
I
P
T
I
O
N
S
y
s
t
e
m
C
e
n
t
r
a
l
P
r
o
c
e
s
s
o
r
S
o
f
t
w
a
r
e
A
T
I
T
e
c
h
n
o
l
o
g
i
e
s
I
n
s
t
a
l
l
S
o
u
t
h
B
r
i
d
g
e
A
T
I
_
A
H
C
I
_
R
A
I
D
H
A
R
D
W
A
R
E
D
E
V
I
C
E
M
A
P
S
c
s
i
S
c
s
i
P
o
r
t
2
S
c
s
i
B
u
s
1
T
a
r
g
e
t
I
d
0
L
o
g
i
c
a
l
U
n
i
t
I
d
0
还
有
硬
盘
信
息
,
用
户
名
信
息
等
这
里
就
不
一
一
列
举
了
。
3
.
3
.
3
从
服
务
器
中
下
载
其
他
组
建
到
一
下
路
径
,
,
并
伪
装
成
白
文
件
。
%
a
p
p
d
a
t
a
%
Y
a
h
o
o
!
M
e
s
s
e
n
g
e
r
M
a
r
t
h
a
c
a
c
h
e
i
n
f
o
.
d
b
%
a
p
p
d
a
t
a
%
M
o
z
i
l
l
a
s
t
a
t
i
s
t
i
c
s
.
d
b
后
记
后
记
总
的
来
说
,
病
毒
作
者
是
选
择
了
很
巧
妙
地
方
法
,
由
于
功
能
分
散
在
不
同
文
件
中
,
阶
段
行
的
执
行
,
其
中
%
a
p
p
d
a
t
a
%
t
e
n
c
e
n
t
/
q
q
.
e
x
e
因
为
填
充
垃
圾
数
据
,
对
抗
了
云
查
杀
,
巧
妙
地
利
用
了
正
常
程
序
的
路
径
来
存
放
自
身
,
其
留
在
被
感
染
机
器
上
的
痕
迹
很
小
,
这
样
的
免
杀
效
果
很
好
,
而
不
是
单
单
加
个
壳
,
因
为
加
壳
恰
恰
会
引
起
杀
软
与
分
析
人
员
的
注
意
。
*
作
者
:
比
尔
.
盖
茨
,
转
载
须
注
明
来
自
F
r
e
e
B
u
f
黑
客
与
极
客
(
F
r
e
e
B
u
f
.
C
O
M
)
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT