样
本
执
⾏
流
程
1
.
样
本
概
况
1
.
1
样
本
信
息
F
i
l
e
:
菲
律
宾
确
诊
新
型
肺
炎
病
毒
.
e
x
e
S
i
z
e
:
2
1
7
0
8
8
b
y
t
e
s
M
D
5
:
3
0
C
1
3
E
D
8030
D
D
A
8
A
5
7
8
E
822
B
6
0
E
3
B
2
4
F
S
H
A
1
:
A
5
4
F
9
C
32
425
A
D
9
FDBA
489384
18508
B
A
54582
EDE
6
CRC
32:
1
B
8896
E
5
1
.
2
测
试
环
境
及
⼯
具
运
⾏
平
台
:
W
i
n
d
o
w
s
7
X
6
4
系
统
监
控
⼯
具
:
⽕
绒
剑
调
试
⼯
具
:
ID
A P
r
o
、
O
D
2
.
沙
箱
监
控
打
开
N
6
2
.
dll
⽂
件
(
解
密
该
⽂
件
)
释
放
⾃
身
到
系
统
⽬
录
并
启
动
写
⼊
的
注
册
表
键
值
3
.
逆
向
分
析
3
.
1
菲
律
宾
确
诊
新
型
肺
炎
病
毒
.
e
x
e
分
析
P
E
⽂
件
基
本
信
息
3
.
1
.
1
⼊
⼝
函
数
检
查
当
前
系
统
版
本
配
置
分
辨
率
。
判
断
系
统
版
本
设
置
屏
幕
分
辨
率
3
.
1
.
2
p
a
y
l
o
a
d
的
下
载
与
解
密
检
查
p
a
y
l
o
a
d
⽂
件
是
否
存
在
:
⽂
件
不
存
在
,
则
下
载
N
6
2
.
dll
:
⽂
件
存
在
则
读
取
N
6
2
.
dll
,
检
查
标
识
是
否
⼀
致
检
查
p
a
y
l
o
a
d
标
识
动
态
调
试
下
查
看
到
p
a
y
l
o
a
d
打
开
位
置
:
读
取
C
:
\
P
r
o
g
r
a
m
F
ile
s
\
A
p
p
P
a
t
h
\
N
6
2
.
dll
检
查
p
a
y
l
o
a
d
存
在
且
标
识
正
确
后
,
解
密
N
6
2
.
dll
,
并
加
载
它
,
遍
历
导
出
表
寻
找
到
p
a
y
l
o
a
d
的
需
要
的
导
出
函
数
地
址
:
D
l
l
F
u
U
p
g
r
a
d
r
s
动
态
调
试
d
ump
解
密
后
的
N
6
2
.
d
l
l
,
下
图
可
以
看
到
解
密
后
的
P
E
⽂
件
魔
数
”
M
Z
”
。
N
6
2
.
dll
解
密
完
成
3
.
1
.
2
.
1
解
密
算
法
解
密
函
数
观
察
解
密
操
作
特
征
,
得
知
加
密
算
法
为
R
C
4
算
法
,
其
为
对
称
算
法
,
通
过
简
单
的
异
或
实
现
加
解
密
。
R
C
4
算
法
初
始
化
函
数
加
解
密
函
数
3
.
1
.
2
.
2
加
载
p
a
y
l
o
a
d
:
N
6
2
.
dll
通
过
读
取
P
E
⽂
件
关
键
字
段
:
i
m
ag
eba
s
e
加
载
基
址
、
s
i
z
e
o
f
i
m
age
加
载
在
内
存
中
的
⼤
⼩
。
根
据
基
址
和
⼤
⼩
,
在
基
址地址
申
请
相
应
⼤
⼩
的
空
间
,
加
载
dll
并
修
改
内
存
属
性
为
可
执
⾏
。
3
.
1
.
2
.
3
获
取
并
调
⽤
导
出
函
数
D
l
l
F
u
U
p
g
r
a
d
r
s
解
析
导
出
表
实
现
⼿
段
:
根
据
加
载
基
址
获
取
数
据
⽬
录
表
,
获
取
到
数
据
表
的
第
0
项
:
导
出
表
地
址
。
遍
历
导
出
表
得
到
需
要
的
函
数
地
址
。
对
⽐
导
出
函
数
名
称
简
单
验
证
地
址
⾮
零
后
,
样
本
直
接
调
⽤
D
l
l
F
u
U
p
g
r
a
d
r
s
函
数
,
参
数
为
⼀
段
密
⽂
与
密
钥
。
调
⽤
D
l
l
F
u
U
p
g
r
a
d
r
s
(
[
密
⽂
],[
k
e
y
]
)
N
6
2
.
dll
导
出
表
D
l
l
F
u
U
p
g
r
a
d
r
s
地
址
3
.
2
p
a
y
l
o
a
d
-
N
6
2
.
d
l
l
D
u
m
p
得
到
N
6
2
.
dll
,
⽂
件
被
加
壳
(
u
p
x
壳
)
。
N
6
2
.
dll
⽂
件
信
息
N
6
2
.
dll
脱
壳
后
信
息
3
.
2
.
1
导
出
函
数
D
l
l
F
u
U
p
g
r
a
d
r
s
动
态
调
试
查
看
函
数
调
⽤
时
的
寄
存
器
、
堆
栈
与
内
存
信
息
:
D
l
l
F
u
U
p
g
r
a
d
r
s
调
⽤
函
数
D
l
l
F
u
U
p
g
r
a
d
r
s
⾏
为
基
本
描
述
:
(
1
)
传
⼊
参
数
分
别
为
密
⽂
和
密
钥
(
2
)
解
密
密
⽂
,
将
得
到
的
明
⽂
赋
值
给
各
个
全
局
变
量
(
3
)
明
⽂
内
容
包
括
服
务
器
信
息
,
各
类
设
置
的
参
数
(
4
)
复
制
⾃
身
到
系
统
⽬
录
运
⾏
,
并
设
置
开
机
⾃
启
(
5
)
创
建
多
个
注
册
表
键
值
(
6
)
连
接
服
务
端
,
并
创
建
线
程
接
收
处
理
服
务
端
指
令
(
7
)
主
要
远
控
功
能
包
括
:
⽂
件
管
理
、
屏
幕
监
视
、
摄
像
头
记
录
、
⾳
频
记
录
、
键
盘
记
录
、
远
程
s
hell
、
系
统
管
理
。
解
密
并
根
据
明
⽂
赋
值
解
密
密
⽂
操
作
:
异
或
根
据
明
⽂
给
各
变
量
赋
值
获
取
本
进
程
路
径
检
查
运
⾏
在
系
统
⽬
录
创
建
服
务
开
机
⾃
启
D
l
l
F
u
U
p
g
r
a
d
r
s
查
询
注
册
表
检
查
⾃
身
服
务
是
否
开
启
:
检
查
服
务
查
询
注
册
表
D
l
l
F
u
U
p
g
r
a
d
r
s
检
查
服
务
完
成
,
开
始
连
接
服
务
端
,
并
获
取
功
能
分
发
函
数
O
n
R
e
c
v
i
v
e
:
连
接
服
务
端
3
.
2
.
2
连
接
服
务
端
样
本
与
服
务
端
通
讯
使
⽤
T
C
P
s
o
c
k
e
t
,
h
o
s
t
与
p
o
r
t
均
为
前
⽂
解
密
的
明
⽂数据
。
H
o
s
t
:
9
1
.
1
9
3
.
1
0
2
.
1
4
9
P
o
r
t
:
0
x
5
1
S
o
c
k
e
t
通
信
连
接
完
成
,
创
建
线
程
接
收
服
务
端
数
据
,
并
处
理
对
应
指
令
:
创
建
线
程
:
r
e
c
v
&
O
n
R
ecei
v
e
3
.
2
.
3
接
收
&
处
理
指
令
线
程
上
节
中
,
连
接
服
务
端
完
成
后
,
则
创
建
线
程
接
收
并
处
理
服
务
端
指
令
。
新
线
程
基
本
操
作
:
(
1
)
接
收
服
务
端
数
据
;
(
2
)
解
密
数
据
(
r
c
4
算
法
)
;
(
3
)
解
析
数
据
包
获
取
指
令
;
(
4
)
分
发
功
能
执
⾏
O
n
R
ecei
v
e
函
数
。
具
体
⻅
下
图
。
接
收
数
据
,
并
解
密
解
析
获
取
指
令
,
并
执
⾏
功
能
分
发
函
数
3
.
2
.
4
功
能
分
发
功
能
分
发
函
数
O
n
R
e
c
v
i
v
e
地
址
如
下
:
O
n
R
e
c
v
i
v
e
地
址
O
n
R
e
c
v
i
v
e
地址在
函
数
D
l
l
F
u
U
p
g
r
a
d
r
s
中
,
随
服
务
端
地
址
、
服
务
端
端
⼝
、
创
建
的
本
地
服
务
名
称
⼀
同
保
存
到
结
构
体
对
象
(
类
对
象
)
,
作
为
参
数
提
供
给
各
种
成
员
函
数
引
⽤
。
获
取
功
能
分
发
函
数
地
址
O
n
R
e
c
v
i
v
e
分
发
执
⾏
主
要
功
能
如
下
,
包
括
:
⽂
件
管
理
、
屏
幕
监
视
、
摄
像
头
、
键
盘
记
录
、
录
⾳
、
系
统
管
理
、
远
程
s
h
e
l
l
等
等
。
O
n
R
e
c
v
i
v
e
3
.
2
.
4
.
1
⽂
件
管
理
⽂
件
管
理
3
.
2
.
4
.
2
屏
幕
监
控
基
本
流
程
为
:
扫
描
光
标
资
源
保
存
,
扫
描
屏
幕
并
转
化
为
位
图
,
将
数
据
发
送
。
屏
幕
监
视
线
程
屏
幕
监
视
初
始
化
函
数
发
送
图
⽚
数
据
3
.
2
.
4
.
3
摄
像
头
压
缩
视
频
数
据
,
并
发
送
X
V
i
D
视
频
编
码
3
.
2
.
4
.
4
键
盘
记
录
拦
截
键
盘
消
息
记
录
键
位
虚
拟
码
读
取
记
录
⽂
件
发
送
3
.
2
.
4
.
5
录
⾳
录
⾳
3
.
2
.
4
.
6
S
h
e
l
l
管
理
远
程
运
⾏
c
m
d
,
并
获
取
回
显
3
.
2
.
4
.
7
系
统
管
理
操
作
各
项
系
统
设
置
4
.
⽹
络
⾏
为
4
.
1
服
务
端
主
机
信
息
I
P
地
址
为
9
1
.
1
9
3
.
1
0
2
.
1
4
9
;
P
o
r
t
端
⼝
为
81(0
x
51)
、
9090(0
x
23
82)
。
4
.
2
上
线
⽅
式
除
C
&
C
服
务
器
接
收
消
息
,
还
额
外
有
三
种
上
线
⽅
式
:
其
他
3
种
上
线
⽅
式
其
它
学
习
教
程
。
点击关注,共同学习!安全狗的自我修养
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
