HIKIT Zararlısı analizi - BOA Bilgi Teknolojileri ve Güvenliği

HIKIT ZARARLISI ANALİZİ
APT İncelemesi
Yasin SÜRER
BOA Bilgi Teknolojileri ve Güvenliği
[email protected]
Analiz İçeriği
Özet ........................................................................................................................................................... 2
APT ve Hedef ............................................................................................................................................. 2
Teknik Analiz ............................................................................................................................................. 2
Kod İmzalama Mekanizması...................................................................................................................... 4
Zararlı – Saldırgan Komünikasyonu ........................................................................................................... 7
Sonuç....................................................................................................................................................... 10
EK-1: Sabit Veriler ................................................................................................................................... 11
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
1
Özet
Siber istihbarat konuları her ne kadar Stuxnet vakasından sonra konuşulmaya başlansa da, aslında bu
saldırıların daha ileri boyutta olduğu neredeyse kabul edilmiş durumdadır. Zararlı yazılımların daha
spesifik bir hal alması ve gelişmiş saldırılarda önemli rol oynaması göze çarpmaktadır.
Stuxnet ve Duqu gibi zararlı yazılımların sonrasında daha sık konuşulmaya başlanan siber istihbarat
kavramı, günümüzde teorik olarak tartışılmaktan çıkmıştır. Artık bu tip zararlı yazılımların geliştirilmesi
sürecinde devlet desteğinin varlığını tartışmak bile yersizdir.
APT ve Hedef
HIKIT, Mandiant tarafından keşfedilen ve uzaktan sistemin kontrolünü ele geçirmeye yarayan bir tür
zararlı yazılımdır. HIKIT, gelişmiş bir zararlı yazılım olan ve işlevselliğini tamamen çekirdek seviyesinde
gerçekleştiren istihbarat toplama amaçlı bir yazılımdır.
Burada ilginç olan bu zararlı yazılımın “istihbarat” amacının tamamen Amerika Birleşik Devletleri
Savunma Bakanlığının anlaşmalı/müteahhit firmalarına ait verilerin toplanmasıdır. Aralarında SBIR/STTR
listesinde yer alan bazı firmalarında bulunduğu organizasyonlar hakkında çeşitli verilerin toplanmasına
yönelik faaliyetler yürütmektedir.
Teknik Analiz
HIKIT üzerinde teknik analiz yapmak için elimizde sadece “oci.dll” isimli tek bir obje var. “oci.dll” isimli
dosyanın herhangi bir sıkıştırılma sürecinden geçmediğini teyit ettik. Bu obje üzerinden gittiğimizde
karşımıza mevcut çalıştırılabilir dosya içerisinde farklı isimlerde dosya olduğunu görüyoruz. Öncesinde
zararlı yazılımın bulaşma süreci aşağıdaki gibidir.



Zararlı yazılım ilk adım olarak bir “dropper” sayesinde “oci.dll” isimli dosyayı yükler.
DLL imzalanmış (driver) modülü sisteme çekirdek (kernel-level) seviyesinde yükler.
Çekirdek (kernel-level) seviyesinden yüklenen modül saldırgandan komut bekler.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
2
Yukarıdaki adımların nasıl gerçekleştiği şekilde görüntülenmiştir. Kullanıcılara çeşitli yollarla bulaşan
zararlı yazılım “proxy” arkasından bağlanan saldırgan ile haberleşmeyi beklemektedir.
Tüm bu süreçlerin ardından elimizde bulunan veriler ile analiz işlemine başlayabiliriz. Herşeyden önce
çalıştırılabilir dosya hakkında en temel bilgilere ihtiyacımız var. Tüm bunları gerçekleştirmek için zararlı
yazılımı, en temel adımlardan başlayarak analiz etmeye başlayabiliriz.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
3
Yukarıdaki resimde görüldüğü gibi “oci.dll” dosyası “w2fw.sys” isimli bir dosya barındırıyor. Böylece
zararlı yazılımın bir rootkit içerdiğini daha net olarak görebiliyoruz. Rootkit yazılımları çekirdek
seviyesinde çalışmaktadır analiz süreci diğer (use-mode) zararlı yazılımlara kıyasla daha zordur.
Kod İmzalama Mekanizması
Aşağıdaki aktivitelerden bahsetmeden önce bilinmesi gereken konu kod imzalama (code signing)
mantığıdır. Microsoft, çekirdek (kernel level) seviyesinde çalıştırılacak modüllerin güvenilir olduğunu
belirlemek için kod imzalama denen tekniği kullanır. Bunun anlamı çekirdeğe yüklenen modülün
güvenilir bir modül olduğunu ve onaylandığını bildirmektir.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
4
Analiz süreincde rastladığımız ilginç olay, *.inf uzantılı dosyaların, GlobalSign sertifikaları sayesinde
imzalanmış olmasıdır. GlobalSing 2011 yılında bir “hack” iddiası ile gündeme gelmiştir. Sunucularından
sertifikarların çalındığı şüphesi ile hizmetlerini bir süreliğine durdurmuştur. GlobalSign hakkında “hack
edildi” iddiaları 2011 Eylül ayı başlarında çıkmıştır. Mevcut dosyanın “timestamp” bilgileri
incelendiğinde, dosyanın son derlenme tarihi olarak Ekim ayı işaret ediliyor.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
5
Rootkit sınıfında incelenen bu zararlı yazılımın kernel seviyesinde işlem gördüğünü belirtmiştik. Bilindiği
gibi inf uzantılı dosyalar, driver yazılımlarının nasıl kurulacağı bilgisini içermektedir. GlobalSign
sertifikalarının zararlıya implement edildiği bilgisi elimizde olduğuna göre, zararlı yazılım kernel-level
işlem yürütebilmek için kendisini imzalı olarak sisteme eklediğini görebiliyoruz.
Zararlı yazılım Register defteri içerisinde çeşitli kayıtlar veya modifikasyonlar yapabilmek adına yukarıda
görüldüğü gibi bir fonksiyon barındırmaktadır. Bu işlev tamamlandığında enfeksiyon süreçlerine ait diğer
rutinler işletilmeye başlamaktadır.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
6
Zararlı – Saldırgan Komünikasyonu
Zararlıyı incelemek için açtığımızda bu bilginin yanı sıra daha ilginç veriler elde etmiş oluyoruz. Örneğin,
zararlı yazılım, enfeksiyon süreçlerini tamamladığında dışarıdan gelecek komutlar aracılığıyla saldırgan
ile bir bağlantı kurabiliyor.
Yukarıda görülen “disassembly” çıktısı saldırganın hedef sisteme bağlanması için işletilen rutine aittir.
Bağlantının tamamlanabilmesi için bir takım süreçlerin işletildiğini görüyoruz. Eğer bağlantı
kurulduğunda gelen paketler içerisinde belli bir anahtar kelime varsa saldırganın bağlanması süreci
tamamlanıyor.
Daha teknik olarak zararlı yazılım gelen packetleri monitör edebilmek için kendisini NDIS-Level
yüklemekte ve bir “sanal network adaptor” olarak sisteme eklemektedir. Böylece tüm network’e gelen
paketleri dinleyerek gelen paketler arasında belli bir “pattern” arar.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
7
Bu bağlanma süreci esnasında saldırgan 80 ve 443 numaralı portlar üzerinden hedef ile bağlantı
kuruyor. Firewall kuralları içerisinde 80 (HTTP) ve 443(HTTPS) portları izin verilmiş portlar arasında yer
alır. Bu durum zararlının firewall yazılım veya cihazlarını by-pass ederek hedefe erişim sağlayabilmesi
anlamına gelir.
Bu aşamada ilginç olan şey zararlı yazılımın herhangi bir (command and control) sunucuya ya da
saldırganın makinesine bağlantı kurmuyor olması. Bunun yerine HIKIT bulaştığı makine üzerinde tüm ağı
monitor ederek belli bir anahtar kelime gelmesi durumunda saldırgan ile bağlantı kuruyor.
Söz konusu rutinlerin hangi değerleri aldığı ve nereye gittiği konusunda görsel bir sonuç elde edebiliriz.
Aşağıda görülen şekilde hangi fonksiyonun - hangi sonuca gittiği daha net olarak görülebilmektedir. Buna
göre bağlantının kurulması işleminde hangi rutinlerin etkili olduğu bilgisi bu diyagramda mevcuttur.
Zararlı yazılım uzaktan erişim için bağlantı kurduğunda bir kaç komutun işletilmesine izin veriyor. Bu
tanım sadece zararlının işlettiği komutlar içindir, saldırganın hedef üzerinde işleteceği komutlar işletim
sisteminin tanımladığı komutlardır. Makine kodu içerisinde ilerleken bağlantı kurulduktan sonra
işletilecek komutlar arasında rastladığımız “shell” komutu uzaktaki makine üzerinden bir komut satırı
açmaya olanak sağlıyor.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
8
Bunun anlamı işletim sistemi üzerinde sıradan veya yetkili bir kullanıcının işletebileceği tüm komutları,
saldırgan işletebilmesi için sisteme yüklediği arka kapıya direktif verebilir. Kısacası saldırgan için bir
“command prompt” açarak sistem üzerinde amacı doğrultusunda komut çalıştırabilir.
Aşağıda görülen ”file” komutu çalıştırıldığı anda driver ile iletişim halindedir. Saldırgan bu sayede dosya
okuma, dosya izinlerini değiştirme, dizin oluşturma ve dizin listeleme işlemlerini gerçekleştirebilir.
Böylece zararlı, enfeksiyon süreçlerini tamamladığında saldırgan sisteme tam yetki ile erişim sağlamayı
başarabilir.
Yukarıdaki “disassembly” daha önce bahsedilen işlemlerin yapılmasıyla ilişkilidir. Zararlının bir başka
özelliklerden biri ise saldırganın SOCKS5 yani bir proxy üzerinden bağlantı kurabilmesi özelliğidir.
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
9
Disassembler ile zararlının incelenmesi aşamasında gözümüze çarpan bu özellik, saldırgan proxy
üzerinden bağlantı kurabilmek için zararlının içerisine gömdüğü bir fonksiyondur. Böylece iletişimin
daha güvenli ve belirsiz hale gelmesi saldırgan hakkında iz sürmeyi zorlaştırmaktadır.
Sonuç
Mandiant tarafından yayınlanan ve tespit edilen bu zararlı yazılımın, APT saldırısının bir parçası olduğu
neredeyse kesindir. Amacının tamamen istihbarat toplamak olduğu ve ABD Savunma Bakanlığı ile
anlaşmalı olan firmalar hakkında bilgi toplamak olduğu belirtilmiştir. HIKIT bulaştığı sistemde tamamen
kalıcı olmak ve bu süre zarfında sistemleri saldırganın kölesi haline getirmek üzere programlanmıştır. APT
saldırılarının benzeri örnekleri günümüzde gittikçe artmaktadır. Daha önce bahsedildiği üzere NDIS
Driver seviyesinde bir zararlının ve hizmet ettiği APT saldırısının tespiti oldukça zordur.
Yukarıda bahsedilen ve saldırganın belli bir “pattern” doğrultusunda sisteme bağlantı kurabilmesine
yarayan teknik oldukça eski olmak ile birlikte tespiti zordur. Bu tip bir saldırının tespitinin yapılabilmesi
bazı durumlarda “network trafik analizi” ile mümkündür. Analiz boyunca görüldüğü gibi Firewall, Antivirüs gibi yazılım veya cihazların bu tip ataklar karşısında yetersiz kamıştır.
Bu ataklardan mağdur olan kurumlar ve güvenlik ürünleri geliştiren firmalar durumun farkındadır.
Firewall, anti-virüs gibi klasik güvenlik ürünlerinin yanı sıra kurumların APT ataklarının tespitine yönelik
daha farklı çözümlere yönelmeye ehemmiyet göstermelidir.
Yasin SÜRER
Bilgi Güvenliği Uzmanı
[email protected]
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
10
EK-1: Sabit Veriler
.rdata:1001E33C
.rdata:1001E37C
.rdata:1001E3A9
.rdata:1001E3B1
.rdata:1001E3C0
.rdata:1001E3C9
.rdata:1001E3E4
.rdata:1001E418
.rdata:1001E44C
.rdata:1001E478
.rdata:1001E488
.rdata:1001E490
.rdata:1001E49C
.rdata:1001E4A8
.rdata:1001E4B4
.rdata:1001E4BC
.rdata:1001E4C8
.rdata:1001E4D4
.rdata:1001E4E0
.rdata:1001E4EC
.rdata:1001E546
0000000F
00000007
00000008
00000007
00000008
0000000A
0000000F
00000012
0000000E
0000000E
00000008
0000000C
0000000C
00000009
00000008
0000000B
0000000C
00000009
0000000B
00000007
00000005
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
bad allocation
(null)
( 8PX\a\b
700WP\a
\b`h````
xpxxxx\b\a\b
CorExitProcess
Unknown exception
EncodePointer
DecodePointer
FlsFree
FlsSetValue
FlsGetValue
FlsAlloc
LC_TIME
LC_NUMERIC
LC_MONETARY
LC_CTYPE
LC_COLLATE
LC_ALL
\a\b\t\n\v
.rdata:1001E55F
0000005F
C
!\"#$%&'()*+,./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~
.rdata:1001E5DC
.rdata:1001E5F0
.rdata:1001E600
.rdata:1001E610
0000000F
0000000E
0000000D
0000000F
C
C
C
C
.rdata:1001E620
0000009B
C
.rdata:1001E6C0
000000F7
C
.rdata:1001E7B8
00000033
C
R6033\r\n- Attempt to use MSIL code from this assembly during native code initialization\nThis
indicates a bug in your application. It is most likely the result of calling an MSIL-compiled (/clr) func
from a native constructor or from DllMain.\r\n
R6032\r\n- not enough space for locale information\r\n
.rdata:1001E7F0
00000063
C
R6031\r\n- Attempt to initialize the CRT more than once.\nThis indicates a bug in your application.
.rdata:1001E854
.rdata:1001E874
.rdata:1001E89C
.rdata:1001E8D4
.rdata:1001E90C
.rdata:1001E934
.rdata:1001E96C
.rdata:1001E998
.rdata:1001E9BC
.rdata:1001E9EC
0000001F
00000025
00000035
00000035
00000026
00000035
00000029
00000021
0000002D
0000002C
C
C
C
C
C
C
C
C
C
C
.rdata:1001EA18
00000096
C
.rdata:1001EAB0
0000002C
C
R6030\r\n- CRT not initialized\r\n
R6028\r\n- unable to initialize heap\r\n
R6027\r\n- not enough space for lowio initialization\r\n
R6026\r\n- not enough space for stdio initialization\r\n
R6025\r\n- pure virtual function call\r\n
R6024\r\n- not enough space for _onexit/atexit table\r\n
R6019\r\n- unable to open console device\r\n
R6018\r\n- unexpected heap error\r\n
R6017\r\n- unexpected multithread lock error\r\n
R6016\r\n- not enough space for thread data\r\n
\r\nThis application has requested the Runtime to terminate it in an unusual way.\nPlease contact
application's support team for more information.\r\n
R6009\r\n- not enough space for environment\r\n
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
runtime error
TLOSS error\r\n
SING error\r\n
DOMAIN error\r\n
R6034\r\nAn application has made an attempt to load the C runtime library incorrectly.\nPlease
contact the application's support team for more information.\r\n
11
.rdata:1001EADC
.rdata:1001EB08
.rdata:1001EB38
.rdata:1001EB68
.rdata:1001EB80
.rdata:1001EC19
.rdata:1001EC3D
.rdata:1001EC46
.rdata:1001EC58
.rdata:1001F207
0000002A
0000002D
00000025
00000017
0000001A
00000007
00000005
00000005
00000012
00000005
C
C
C
C
C
C
C
C
C
C
.rdata:1001F220
0000005F
C
.rdata:1001F387
00000005
C
.rdata:1001F3A0
0000005F
C
!\"#$%&'()*+,./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXY
.rdata:1001F480
.rdata:1001F48C
.rdata:1001F4A0
.rdata:1001F4B4
.rdata:1001F4C0
.rdata:1001F4CC
.rdata:1001F4D4
.rdata:1001F4E0
.rdata:1001F4E8
.rdata:1001F4F0
.rdata:1001F4F8
.rdata:1001F500
.rdata:1001F508
.rdata:1001F514
.rdata:1001F54C
.rdata:1001F558
.rdata:1001F560
.rdata:1001F56C
.rdata:1001F578
.rdata:1001F580
.rdata:1001F588
.rdata:1001F5AC
.rdata:1001F5BC
.rdata:1001F5CC
.rdata:1001F5E0
.rdata:1001F5EC
.rdata:1001F5FC
.rdata:1001F608
.rdata:1001F618
.rdata:1001F620
.rdata:1001F62C
.rdata:1001F638
.rdata:1001F648
.rdata:1001F654
.rdata:1001F660
.rdata:1001F668
.rdata:1001F678
00000009
00000014
00000009
00000009
00000009
00000008
0000000A
00000007
00000005
00000005
00000006
00000006
00000009
00000008
00000009
00000007
00000009
0000000A
00000008
00000007
00000007
0000000E
0000000F
00000012
0000000C
0000000D
0000000C
0000000D
00000007
0000000C
00000009
00000009
0000000C
0000000A
00000008
0000000E
00000008
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
HH:mm:ss
dddd, MMMM dd, yyyy
MM/dd/yy
December
November
October
September
August
July
June
April
March
February
January
Saturday
Friday
Thursday
Wednesday
Tuesday
Monday
Sunday
united-states
united-kingdom
trinidad & tobago
south-korea
south-africa
south korea
south africa
slovak
puerto-rico
pr-china
pr china
new-zealand
hong-kong
holland
great britain
england
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
R6008\r\n- not enough space for arguments\r\n
R6002\r\n- floating point support not loaded\r\n
Microsoft Visual C++ Runtime Library
<program name unknown>
Runtime Error!\n\nProgram:
€€†€•€
('8PW
700PP
`h`hhh\b\b\axppwpp\b\b
\a\b\t\n\v
!\"#$%&'()*+,./0123456789:;<=>?@abcdefghijklmnopqrstuvwxyz[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~
\a\b\t\n\v
12
.rdata:1001F680
.rdata:1001F688
.rdata:1001F690
.rdata:1001F698
.rdata:1001F6AC
.rdata:1001F6B4
.rdata:1001F6C4
.rdata:1001F6D8
.rdata:1001F6E8
.rdata:1001F6FC
.rdata:1001F70C
.rdata:1001F720
.rdata:1001F730
.rdata:1001F744
.rdata:1001F754
.rdata:1001F764
.rdata:1001F778
.rdata:1001F78C
.rdata:1001F7A0
.rdata:1001F7B0
.rdata:1001F7CC
.rdata:1001F7E0
.rdata:1001F7F4
.rdata:1001F804
.rdata:1001F814
.rdata:1001F828
.rdata:1001F840
.rdata:1001F854
.rdata:1001F868
.rdata:1001F874
.rdata:1001F884
.rdata:1001F894
.rdata:1001F8A4
.rdata:1001F8B8
.rdata:1001F8CC
.rdata:1001F8DC
.rdata:1001F8EC
.rdata:1001F900
.rdata:1001F910
.rdata:1001F920
.rdata:1001F92C
.rdata:1001F938
.rdata:1001F944
.rdata:1001F960
.rdata:1001F978
.rdata:1001F984
.rdata:1001F994
.rdata:1001F9A0
.rdata:1001F9B4
.rdata:1001F9C0
.rdata:1001F9D0
.rdata:1001F9DC
.rdata:1001F9F0
00000006
00000006
00000008
00000008
00000006
00000010
00000012
00000010
00000014
0000000D
00000011
0000000F
00000012
0000000F
00000010
00000011
00000012
00000014
00000010
0000001B
00000013
00000011
0000000E
00000010
00000012
00000015
00000012
00000011
0000000A
0000000E
0000000E
0000000D
00000012
00000014
00000010
0000000D
00000012
00000010
0000000F
0000000C
0000000B
0000000B
0000001A
00000015
0000000B
00000010
0000000C
00000012
0000000C
0000000F
0000000C
00000011
0000000E
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
czech
china
britain
america
swiss
swedish-finland
spanish-venezuela
spanish-uruguay
spanish-puerto rico
spanish-peru
spanish-paraguay
spanish-panama
spanish-nicaragua
spanish-modern
spanish-mexican
spanish-honduras
spanish-guatemala
spanish-el salvador
spanish-ecuador
spanish-dominican republic
spanish-costa rica
spanish-colombia
spanish-chile
spanish-bolivia
spanish-argentina
portuguese-brazilian
norwegian-nynorsk
norwegian-bokmal
norwegian
italian-swiss
irish-english
german-swiss
german-luxembourg
german-lichtenstein
german-austrian
french-swiss
french-luxembourg
french-canadian
french-belgian
english-usa
english-us
english-uk
english-trinidad y tobago
english-south africa
english-nz
english-jamaica
english-ire
english-caribbean
english-can
english-belize
english-aus
english-american
dutch-belgian
13
.rdata:1001FA00
.rdata:1001FA14
.rdata:1001FA28
.rdata:1001FA3C
.rdata:1001FA50
.rdata:1001FA60
.rdata:1001FA6C
.rdata:1001FA74
.rdata:1001FA80
.rdata:1001FA94
.rdata:1001FAA8
.rdata:1001FD98
.rdata:1001FDB0
.rdata:1001FDCC
.rdata:1001FDEC
.rdata:1001FE00
.rdata:1001FE1C
.rdata:1001FE30
.rdata:1001FE4C
.rdata:1001FE78
.rdata:1001FEA4
.rdata:1001FEC8
.rdata:1001FEEC
.rdata:1001FF08
.rdata:1001FF34
.rdata:1001FF5C
.rdata:1001FF84
.rdata:1001FFAC
.rdata:1001FFCC
.rdata:1001FFE8
.rdata:1001FFF8
.rdata:10020004
.rdata:1002000C
.rdata:10020030
.rdata:10020040
.rdata:1002004C
.rdata:1002005C
.rdata:10020078
.rdata:100200A0
.rdata:100200C0
.rdata:100200E4
.rdata:10020100
.rdata:10020124
.rdata:10020144
.rdata:10020164
.rdata:10020184
.rdata:100201A4
.rdata:100201C4
.rdata:100201D8
.rdata:100201E4
.rdata:100201FC
.rdata:10020208
.rdata:10020210
00000014
00000012
00000013
00000011
00000008
00000009
00000008
0000000B
00000011
00000011
00000009
00000012
0000001A
0000001D
00000013
0000001C
00000012
0000001C
0000002B
00000029
00000023
00000021
0000001B
0000002C
00000026
00000025
00000026
0000001D
0000001B
0000000F
0000000A
00000007
00000024
00000010
00000006
00000010
0000001B
00000027
00000020
00000021
0000001B
00000024
0000001D
0000001E
0000001D
0000001E
0000001D
00000013
00000009
00000015
00000009
00000008
0000000A
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
chinese-traditional
chinese-singapore
chinese-simplified
chinese-hongkong
chinese
canadian
belgian
australian
american-english
american english
american
Norwegian-Nynorsk
Complete Object Locator'
Class Hierarchy Descriptor'
Base Class Array'
Base Class Descriptor at (
Type Descriptor'
`local static thread guard'
`managed vector copy constructor iterator'
`vector vbase copy constructor iterator'
`vector copy constructor iterator'
`dynamic atexit destructor for '
`dynamic initializer for '
`eh vector vbase copy constructor iterator'
`eh vector copy constructor iterator'
`managed vector destructor iterator'
`managed vector constructor iterator'
`placement delete[] closure'
`placement delete closure'
`omni callsig'
delete[]
new[]
`local vftable constructor closure'
`local vftable'
`RTTI
`udt returning'
`copy constructor closure'
`eh vector vbase constructor iterator'
`eh vector destructor iterator'
`eh vector constructor iterator'
`virtual displacement map'
`vector vbase constructor iterator'
`vector destructor iterator'
`vector constructor iterator'
`scalar deleting destructor'
`default constructor closure'
`vector deleting destructor'
`vbase destructor'
`string'
`local static guard'
`typeof'
`vcall'
`vbtable'
14
.rdata:1002021C
.rdata:100202A4
.rdata:100202C8
.rdata:100202D0
.rdata:100202D8
.rdata:100202E4
.rdata:100202F0
.rdata:100202F8
.rdata:10020304
.rdata:10020310
.rdata:1002031C
.rdata:10020328
.rdata:10020334
.rdata:1002033C
.rdata:100204C8
.rdata:100204E0
.rdata:100204FC
.rdata:10020510
.rdata:10020520
.rdata:1002052C
.rdata:10020538
.rdata:10020540
.rdata:10020558
.rdata:10020580
.rdata:10020664
.rdata:10020670
.rdata:1002067C
.rdata:10020704
.rdata:10020C40
.rdata:10020C50
.rdata:10020C58
.rdata:10020C7C
.rdata:10020C84
.rdata:10020CAC
.rdata:10020CDC
.rdata:10020CF8
.rdata:10020D50
.rdata:10020D68
.rdata:10021DEE
.rdata:10021E08
.rdata:10021F0C
.rdata:10021F60
.rdata:10021F6A
.rdata:10021F86
.rdata:10021FA6
.rdata:100223F2
.rdata:100223FE
.data:1002328C
.data:100232A8
.data:100232C8
.data:1002366E
.data:1002374E
.data:1002376E
0000000A
00000009
00000008
00000005
0000000C
0000000B
00000008
0000000A
0000000B
0000000B
0000000A
00000009
00000008
00000009
00000018
0000001A
00000013
00000010
0000000C
0000000B
00000008
00000016
00000025
00000014
0000000A
00000009
00000015
0000000A
0000000F
00000005
00000022
00000007
00000026
00000030
0000000C
0000000E
00000005
00000027
0000000D
0000000B
0000000D
0000000A
0000000B
0000000C
0000000D
0000000C
00000012
00000014
00000014
00000010
0000001B
0000001B
0000001B
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
C
`vftable'
operator
delete
new
__unaligned
__restrict
__ptr64
__clrcall
__fastcall
__thiscall
__stdcall
__pascal
__cdecl
__based(
GetProcessWindowStation
GetUserObjectInformationA
GetLastActivePopup
GetActiveWindow
MessageBoxA
USER32.DLL
CONOUT$
SunMonTueWedThuFriSat
JanFebMarAprMayJunJulAugSepOctNovDec
GetNativeSystemInfo
%*s%s%d%s
password
GET /%s HTTP/1.1\r\n\r\n
.welcome.
SYSTEM\\WPA\\PnP
seed
SOFTWARE\\Microsoft\\Driver Signing
Policy
SOFTWARE\\Microsoft\\Non-Driver Signing
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Setup
PrivateHash
bad exception
RSDSL
h:\\JmVodServer\\hikit\\bin32\\RServer.pdb
KERNEL32.dll
USER32.dll
ADVAPI32.dll
ole32.dll
WS2_32.dll
SHLWAPI.dll
SETUPAPI.dll
RServer.dll
DllRegisterServer
.?AVbad_alloc@std@@
.?AVexception@std@@
.?AVtype_info@@
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
15
.data:10023872
.data:10023959
.data:10023979
.data:10023A24
.data:10024068
.data:10024084
.data:100240A0
.data:100240BC
.data:100240FC
0000001B
0000001B
0000001B
00000006
00000011
00000013
00000013
0000000E
00000018
BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI
C
C
C
C
C
C
C
C
C
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
`‚y‚!
.?AVCSetLocale@@
.?AVRConnectItem@@
.?AVCPluginClass@@
.?AVCRShell@@
.?AVbad_exception@std@@
16