吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11894|回复: 173

[PC样本分析] 【原创】Petya勒索病毒详细分析报告(附上样本原文件、idb文件、mbrdump等)

    [复制链接]
发表于 2017-7-7 18:42 | 显示全部楼层
本帖最后由 Ran_Debug 于 2017-7-7 22:00 编辑

0x0 写在前面
新人第一次来吾爱发帖,如有任何错误,请各位多加指点。
Petya勒索病毒在6月底爆发,然后各大安全公司都发出了相关的报告,但是出于对该样本的兴趣,以及想了解更多
关于该样本的技术细节,就尝试进行了一次详细分析,希望这个报告可以帮助到一些想自己动手分析该样本的同学们。


下面就是详细的分析流程:
0x1 概述
样本名:PetYa
MD5:71b6a493388e7d0b40c83ce903bc6b04
分析环境及工具:winXp sp3、IDA6.8、吾爱OD1.1
0x2、相关文件
PetYa.dll:样本主体
X.tmp :样本释放pe文件,用于提取本机账户密码的工具
Dllhost.dat:样本释放的pe文件,用于远程执行命令


0x3、行为预览:
1、进程自身提权、检测杀软
2、拷贝自身代码到堆内存执行,并卸载自身主模块,躲避内存扫描
3、加密MBR引导扇区数据,篡改MBR代码
4、创建重启计划任务
5、释放密码抓取以及远程命令执行工具
6、通过多种方式进行传播自身以及远程执行
7、加密磁盘指定格式的文件数据,只加密固定磁盘,不对可移动存储设备加密,通过生成AES128密钥加密文件数据、然后用样本内置的RSA公钥加密AES密钥
8、系统重启后加密NTFS文件系统的MFT表

0x4、报告正文:

样本介绍:
该样本为一个DLL文件,有一个导出序号为1的函数,该函数为样本整个行为的入口。


分析过程:
1、提升进程权限、检查当前运行的进程、打开自身pe,读取自身pe数据以及保存自身文件信息
1)首先需要写个dllload加载该样本并且调用1号导出函数:
图片1.png

(2)提升进程权限,如果提升成功则保存到一个全局变量作为标记:
图片2.png

(3)遍历当期进程列表,判断是否有预期的3个进程在运行,该样本通过自定义的算法将进程字符串计算后得出一个DWORD数值,
然后与事先计算好的3个进程名对应的DWORD数值进行比较,判断是否有这三个进程在运行:
图片3.png

经过分析这3DWORD数值分别对应杀软:
0x2E214B44:卡巴斯基
0x6403527E/651B3005:诺顿

(4)读取自身数据到堆buffer,并且保存buffer首地址以及文件大小到全局变量:
图片4.png


2、拷贝自身pe数据到堆buffer中,并且修复重定位,然后流程转移到堆中执行代码,接着卸载掉样本自身的主模块,
删除自身pe文件,然后再次调用导出函数1,这么做是为了躲避杀软的内存扫描

(1)申请堆空间,拷贝自身代码,修复重定位,流程转移:
图片5.png

(2)卸载自身主模块,删除自身文件然后调用导出函数1
图片6.png


3、调用WSAStartUp初始化,检查c\\windows目录是否存在自身样本文件,如果存在则退出进程:
(1)初始化全局socket
图片7.png

(2)检查c:\\windows目录下是否有样本自身的文件,如果存在则结束进程,不存在则创建文件:
图片8.png

4、篡改硬盘mbr代码:
(1)如果debug权限提升成功,则进行篡改mbr
图片9.png

(2)打开c盘驱动设备,获取磁盘信息得到扇区大小,然后根据该大小乘以10申请buffer,将buffer写入到第二个扇区中:
图片10.png
图片11.png
图片12.png

(3)判断卡巴斯基进程是否存在 如果存在则不执行mbr篡改:
图片13.png

(4)获取系统所在的盘符,然后查询该盘符对应的物理磁盘驱动器编号:
图片14.png

4.1获取系统路径:
图片15.png

4.2覆盖后得到系统所在盘符的符号链接:
图片16.png

4.3)打开系统盘符号链接,获取该盘所在的物理磁盘编号,然后将该编号数值转为字符串:
图片17.png
图片18.png

4.4)拼接出完整的物理磁盘符号链接。拷贝到参数指向的buffer内,作为传出数据:
图片19.png

(5)检查\\.\PhysicalDrive0磁盘设备的分区类型是否为MBR,如果不是则不执行篡改代码:
图片20.png
磁盘分区类型:
图片21.png
图片22.png

(6)生成60个字节的随机数,然后按字节取余0x3A,得出的值作为一个全局数组的下标,用该下标访问,拼接出一个疑似序列号的字符串:
图片23.png
图片24.png
最终生成的序列号:
图片25.png

(7)读取PhysicalDrive起始扇区的mbr引导代码进行异或加密:
图片26.png
图片27.png


加密前的起始扇区数据:
图片28.png
异或加密后的数据:
图片29.png

接着将一个大小为0x200栈buffer全部初始化为0x7
图片30.png

然后分别生成了两个32个字节和8字节的随机数,这两个随机数分别是salsa20算法的key以及iv,在MBR代码里面会运用到Keyiv来进行MFT加密:
图片31.png

接着拷贝了一串字符串到栈buffer里,这段字符串为比特币钱包地址:
图片32.png

(8)申请分别申请两块内存,大小分别是0x2000x22B1,然后分别拷贝样本自身的mbr代码到这两个buffer内:
图片33.png

(9)循环写入样本的mbr代码,长度为19个扇区:
图片34.png
图片35.png

篡改前的代码:
图片36.png

篡改后的代码:
图片37.png

(10)然后将之前通过60字节随机数当做下标生成的序列号字符串、以及用来加密MFT32字节的key8字节的iv还有样本内置的字符串数据(经后面的分析得知该串为比特币钱包)写入第32个扇区:
图片38.png
图片39.png

(11)将之前初始化全是0x7buffer写入第33个扇区:
图片40.png
图片41.png

(12)将加密后的起始扇区mbr引导代码写入第34个扇区:
图片42.png
图片43.png

5、创建重启的任务计划:
图片44.png

该任务计划是在样本运行之后一个小时进行重启:
图片45.png



6、样本自身的传播与远程执行 首先该样本通过三种途径传播自身:
(1) 通过局域网勘测,检测一些可以访问的内网ip并且保存起来,然后对这些ip进行传播自身并且远程执行自身
(2) 通过windows远程桌面的登录凭据记录,获取这些凭据来进行传播自身以及远程执行
(3) 通过(1)步骤获取到的ip地址,利用永恒之蓝漏洞进程传播
远程执行的方式:
样本通过WNetAddConnection2函数连接远程主机,然后将自身pe写入到远程主机的c:\windows目录接下来通过两种方式执行:
通过资源中释放出来的psexec的远程命令执行工具去运行rundll32.exe 通过该系统exe加载自身dll并且执行导出函数1
通过wimc运行rundll32.exe ,通过该系统exe加载自身dll并且执行导出函数1


(1)创建线程,进行可攻击ip的勘测,首先样本首先会调用同一个函数初始化两个0x34大小的结构,接下来会对该结构进行分析说明:
图片46.png

结构初始化函数:
图片47.png


经过分析还原出如下结构体:
图片48.png


调用该函数初始化的结构体,作用是用来保存一些信息,这些信息用来后续的自身传播以及远程执行,接下来经过实例来说明该结构的作用:

1.1) 首先样本拿到了之前初始化好的结构,然后调用函数,参数分别是一个ip地址、然后是一个常量值、接下来就是结构的首地址,
该函数的目的是要将参数1的字符串数据添加到参数3的结构中:
图片49.png

1.210006FC7函数分析:该函数将参数1的字符串拷贝到栈内,然后调用函数10007298,参数分别是结构首地址、拷贝到栈内的字符串、以及外面参数2的常量值:
图片50.png


1.310007298函数分析,由于该结构内有临界区对象,造成idaF5错乱,所以下面贴出反汇编代码
首先使用结构中的临界区对象进行同步,然后判断要添加的字符串是否已经存在于结构中,如果不存在则添加:
图片51.png

接下来判断m_pppPointerArray数组的当前下标是否已经超出最大值(m_IndexRange 如果超出则不添加:
图片52.png

然后申请8字节大小的堆内存,如果申请成功,则将该内存首地址根据m_CurrentIndex下标保存在m_pppPointerArray数组中,并且这个堆内存是算是个二级指针:
图片53.png

然后再次申请堆内存,大小为结构中的m_remote_buffer_size成员,这次申请的堆内存是用来保存参数2的字符串,
如果申请成功,则将该段内存的首地址保存在上一步骤中申请的8字节堆内存的首地址处:
图片54.png

然后将参数3的常量值,这里暂时看作为flag,将这个常量值保存在第一次申请的8个字节堆内存首地址+4处:
图片55.png


接着拷贝参数2的字符串到第二次申请的堆buffer中:
图片56.png



到此一个新的信息就添加完毕了,接下来用od调试一下上述的过程,
此处调用10007298函数进行将参数字符串的信息添加到结构中:
图片57.png
参数:
图片58.png

接下来在内存中查看该结构的分布情况:
图片59.png
图片60.png

根据上述分析的添加远程传播执行信息的过程,首先m_pppPointerArray中保存了一个8字节大小的堆buffer地址:
图片61.png

然后继续查看这个8字节大小的buffer
图片62.png

继续查看第二次申请的buffer
图片63.png
可以看出该buffer保存了参数中传进来的ip地址信息。


tag_remote_penetration_info结构分析总结:该样本中大量运用了这个结构,该结构用来保存各种样本后续传播感染所需要的信息,
经过后面的分析已知的信息有:后续代码勘测到可以攻击的内网ip以及远程桌面登录的凭据的TagetName以及账户名和密码。


(2)获取本机NetBios名称,以及回环地址、loaclhost等字符串信息拷贝到tag_remote_penetration_info结构中:
图片64.png

(3)获取本机网络适配器信息链表,遍历该链表将所有适配器对应的ip地址以及dhcp服务器地址保存在tag_remote_penetration_info结构中:
图片65.png

(4)检查当前系统是否是域控制器或者是Server,如果是则枚举dhcp内网池中的ip地址,保存在tag_remote_penetration_info结构中:
图片66.png

(5)计算出本机ipip段范围,例如本机ip192.168.1.111,则计算的范围就是192.168.1.0 - 192.168.1.255:,计算出这个范围后创建线程,
该线程尝试使用socket连接本机ip范围的所有ip地址,连接端口为445139,如果可以连通,则将这些ip地址全部保存在tag_remote_penetration_info中,
该步骤是在为后面利用永恒之蓝漏洞攻击进行环境勘测:
图片67.png
图片68.png
图片69.png
图片70.png


(6)接着死循环分别调用函数来进一步获取可攻击的目标:
图片71.png
上述的各步骤勘测出的一些ip全部都加到tag_remote_penetration_info结构中,该结构也就充当了一个可感染的ip列表,之后的远程传播以及执行代码则会用到这个ip列表。

(7)加载1号资源,解密资源数据为一个pe文件,接着释放并执行该pe文件,这个程序是类似mimikatz的系统密码抓取工具,并且该工具的输出进行了管道重定向,
它会向命令行参数内带的管道进行输出系统的账号密码。接下来通过guid构造出一个管道名,然后创建该mimikatz进程,命令行参数为构造的管道名,并且同时创建线程,
等待mimikatz线程连接该管道进行与mimikatz进程的通信:
图片72.png

创建进程:
图片73.png

创建线程:
图片74.png

(8)加载3号资源,解密资源数据,3号资源保存的pe数据为psexec远程命令执行工具:
图片75.png

(9)新申请一个局部tag_remote_penetration_info结构:
图片76.png

(10)枚举系统凭据,并且将TERMSRV类型,也就是远程桌面登录的凭据过滤出来,保存其TargetName以及远程登录的系统账户密码,
TargetName保存在局部tag_remote_penetration_info结构中,然后账户密码保存在另一个全局tag_remote_penetration_info结构中:
图片77.png

(11)接下来程序将利用远程桌面的登录凭据尝试远程连接主机,进行传播自身,并且通过wmicpsecex进行远程执行,
而且之前获取的可攻击ip的列表,也是通过相同的方式去尝试连接并传播自身,远程执行:
图片78.png
图片79.png

可以看出,将自身文件传播到远程主机以后,构造两种远程执行的命令,同样利用rundll32去加载自身样本。

远程执行:
图片80.png



Psexec命令:Dllhost.dat \\TargetName -accepteula -s -d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\petya.dll\",#1

Wmic命令:C:\Windows\Wbem\wmic.exe /node:<TargetName> /user:<UserName> /password:<Password>process call create
\”C:\Windows\System32\rundll32.exe “C:\\windows\\petya.dll” #1”


(12)利用之前获取到的攻击ip列表(可以连接上445139端口的ip)进行永恒之蓝漏洞传播:
图片81.png

7、文件加密
(1)首先样本会获取系统所有的盘符,然后进行循环遍历盘符,判断盘符类型是否是非移动存储设备时,则开启线程进行加密:
图片82.png

(2)文件加密过程
2.1)获取csp密钥容器句柄:
图片83.png

2.2)通过密钥容器句柄获取AES128密钥,保存在回调参数的buffer+0x14偏移处:
图片84.png

2.3)开始递归遍历文件,递归层数为0xF,如果文件夹深度大于0xF则退出递归,然后判断文件是否是要加密的文件格式,如果是则进行加密:
图片85.png
图片86.png
图片87.png



(3)加密流程:样本针对每个盘符申请一个AES128密钥 ---> 用该密钥加密文件 ---> 接着用样本内置的RSA公钥去加密AES128密钥 --->将加密后的AES128密钥保存在文件中
3.1) 导入内置RSA公钥:
图片88.png

3.2)利用RSA公钥加密AES密钥:
图片89.png


8、保存说明信息到加密盘符的根目录
图片90.png
9、样本篡改的MBR代码分析:
(1)调用int 13中断,将扇区1-32从磁盘加载到内存0x8000开始的地址,然后流程转移到0x8000开始执行指令:
图片91.png
图片92.png


(2)调用int 10中断,设置一些屏幕显示模式等信息:
图片93.png

(3)调用int 13中断 42h功能号,读取0x20扇区:
图片94.png
图片95.png

经过之前的分析,该扇区存放着salsa算法的keyiv,以及比特币钱包,随机生成的用户序列号等:
图片96.png

(4)通过检查0x20扇区首字节,判断加密标记,如果为1,则代表已经完成加密,直接显示勒索信息,如果为0,则执行加密流程:
图片97.png

(5)调用int 10中断,显示病毒伪装的磁盘检查界面:
图片98.png
图片99.png
图片100.png
图片101.png

(6)将加密标记设置为1,然后拷贝0x20扇区buffersalsa key到栈buffer内,然后抹掉原buffer内的salsa key,防止用户使用该key解密MFT
图片102.png
图片103.png

(7)将已经设置加密标记以及抹掉了salsa_key的扇区buffer数据,在写回0x20扇区:
图片104.png
图片105.png
图片106.png

(8)读取0x21扇区数据,然后调用salsa加密该扇区数据,加密完成后写回磁盘:
图片107.png
图片108.png

数据buffer
图片109.png

加密函数调用:
图片110.png
参数:
图片111.png
加密后的Buffer:
图片112.png
然后写回0x21扇区:
图片113.png


(9)读取0x22扇区的数据,该扇区保存了mbr引导扇区加密后的数据,然后在循环单字节异或0x7解密mbr引导扇区代码:
图片114.png
图片115.png
解密mbr引导扇区:
图片116.png
图片117.png

(10)遍历MBR引导扇区内的分区表结构,进行判断分区类型、以及保存引导扇区起始到磁盘扇区起始的相对偏移量、以及每个分区的扇区总数:
图片118.png

(11)通过扇区起始的相对偏移量0x3F,也就是c盘分区的起始扇区号,读取该扇区号的数据,该扇区保存了c盘分区的NTFS结构:
图片119.png

Buffer数据:
图片120.png

(12)通过(11)步骤得到的NTFS结构,取出DBR结构中的MTF起始簇号*每个簇单位的扇区数 得到一个扇区号,然后用该扇区号+0x3F定位到MFT表所在的扇区位置:
图片121.png
(13)读取MFT扇区表:
图片122.png
图片123.png

(14)调用int10中断显示磁盘检查进度:
图片124.png
图片125.png

(15)循环遍历读取MFT表,通过检查MFTFILE标记判断该表是否有效:
图片126.png

(16)如果15步骤的检查通过,则开始遍历MFT表中的属性结构,遍历每个属性结构的属性类型,如果具有属性类型为0x30
并且属性文件名开头有$符号,则加密该MFT表,如果没有30属性,则检查0x80(数据流)属性类型 有该属性类型的MFT表也进行加密:
图片127.png
图片128.png
图片129.png
图片130.png
图片131.png
(17)一个MFT结构加密完成后,则读取下一个MFT表,在重复执行(13--16)步骤:
图片132.png

(附件 解压密码52pojie).rar (606.74 KB, 下载次数: 232)

免费评分

参与人数 86吾爱币 +90 热心值 +85 收起 理由
无敌小小强 + 1 + 1 用心讨论,共获提升!
xuan1xuan + 1 + 1 用心讨论,共获提升!
Anders + 1 + 1 用心讨论,共获提升!
helloword121 + 1 + 1 谢谢@Thanks!
SomnusXZY + 1 + 1 谢谢@Thanks!
有毒的土豆 + 1 + 1 谢谢@Thanks!
sunnylds7 + 1 + 1 这么用心不管看不看得懂先赞一个
落寞的回忆 + 1 + 1 谢谢@Thanks!
screaming0523 + 1 + 1 用心讨论,共获提升!
huxiaoyisheng + 1 用心讨论,共获提升!
NASA + 1 + 1 用心讨论,共获提升!
chiahong + 1 + 1 我很赞同!
蚂蚁牙黑 + 1 + 1 用心讨论,共获提升!
Azure_atk + 1 + 1 谢谢@Thanks!
81192 + 1 + 1 热心回复!
15248636672 + 1 大神棒棒哒
龙魂猪猪 + 1 + 1 我很赞同!
52破解☆ + 1 + 1 已答复!
韩小曦 + 1 + 1 我很赞同!
半瓶神仙醋 + 1 + 1 我很赞同!
lies2014 + 1 + 1 谢谢@Thanks!
01234 + 1 + 1 用心讨论,共获提升!
私香 + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 用心讨论,共获提升!
zy1234 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wty1212 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dangducluan + 1 + 1 谢谢@Thanks!
2864095098 + 1 + 1 热心回复!
Alog + 1 + 1 热心回复!
Ravey + 1 + 1 谢谢@Thanks!
qwe159 + 1 + 1 用心讨论,共获提升!
众人心欢i + 1 + 1 谢谢@Thanks!
MaxMadcc + 1 + 1 谢谢@Thanks!
丶Panda + 1 + 1 我很赞同!
lf1988103 + 1 + 1 厉害了啊
zhangjianfei + 1 + 1 我很赞同!
莫忘的笨笨 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
KaiSama + 1 + 1 令人窒息的操作
左左右 + 1 谢谢@Thanks!
statue + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
EvillenG + 1 + 1 我很赞同!
rometw + 1 + 1 谢谢@Thanks!
老虎爱吃素 + 2 + 1 热心回复!
MagicnoBob + 1 + 1 谢谢@Thanks!
170059475 + 1 + 1 我很赞同!
旋木过流年 + 1 + 1 谢谢@Thanks!
Miyuko + 1 + 1 我很赞同!
jyjjf + 1 + 1 谢谢@Thanks!
youngseaz + 1 + 1 厉害!
沙皮 + 1 + 1 用心讨论,共获提升!
a-小丸子丶 + 1 + 1 --------
alsk + 1 + 1 我很赞同!
space21 + 1 + 1 我很赞同!
超级小航 + 1 + 1 分析的很有道理,嗯,就是这样
tdh0602 + 1 + 1 用心讨论,共获提升!
丶小天 + 1 + 1 令人窒息的操作!!
shenbinbl + 1 + 1 我很赞同!
施偶 + 1 + 1 用心讨论,共获提升!
fruit + 1 + 1 用心讨论,共获提升!
yufan1123 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lanlan123 + 1 + 1 用心讨论,共获提升!
爷单身1却潇洒 + 1 + 1 用心讨论,共获提升!
smile1110 + 3 + 1 这篇文章跟特喵看小说似的,贼长贼棒
lovetanjie + 1 + 1 厉害了,高手在民间啊
lyz276000 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
守恒 + 1 + 1 楼主辛苦
铅笔刀 + 2 + 1 厉害
lm531142331 + 1 + 1 谢谢@Thanks!
等待记忆中 + 1 + 1 谢谢@Thanks!
hundred + 1 + 1 热心回复!
669 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
灰太狼大王 + 1 + 1 用心讨论,共获提升!
魂殇 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
chenjingyes + 1 + 1 谢谢@Thanks!
吾爱及我爱 + 1 + 1 牛B
kinful + 1 + 1 热心回复!
xiaofengzi + 1 + 1 热心回复!
gutian + 2 + 1 我很赞同!
hongri + 1 + 1 大神,我就想问下内网机器应如何防范?一定要封端口吗
ZiPP + 1 + 1 大神~缺徒弟吗~~
黑的思想 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
逍遥枷锁 + 1 + 1 谢谢@Thanks!
BYD-唐 + 1 + 1 用心讨论,共获提升!
123321.tk + 1 + 1 学习了!!!
抹茶丶 + 1 + 1 谢谢@Thanks!
ubuntu + 1 + 1 新人都是怪物

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-10 09:47 | 显示全部楼层
勒索软件Petya作者公布密钥试图与欧洲攻击划清界限
Petya系列勒索软件解密主密钥:38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

目前卡巴斯基安全实验室的研究人员已经证实了密钥的有效性,晚些时候卡巴斯基应该会发布专用解密工具。

注意:该密钥以及相关工具仅可解密 Petya 系列勒索软件,不支持解密 NotPeya 这个新的假冒的勒索软件。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-8 08:00 | 显示全部楼层
太强了,厉害极了。!                     

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 18:56 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:22 | 显示全部楼层
刚注册就这麽厉害?

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2017-7-7 19:27 | 显示全部楼层
不好意思大家,第一次发帖,排版一直有问题。。。

点评

然而没有看见病毒样本的下载  发表于 2017-7-7 19:34

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:35 | 显示全部楼层
前排学习!!!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:36 | 显示全部楼层
膜拜大牛~

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:41 | 显示全部楼层
利害利害

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:51 | 显示全部楼层
膜拜下大神!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2017-7-7 19:52 来自手机 | 显示全部楼层
学习了,厉害

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2017-7-7 20:04 | 显示全部楼层
附件问题大家别急 我还在重新排下版,直接从word拷过来的格式一直有问题,附件我先重新上传一下

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2017-9-20 09:55

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表