HIKIT Zararlısı analizi - BOA Bilgi Teknolojileri ve Güvenliği
Transkript
HIKIT Zararlısı analizi - BOA Bilgi Teknolojileri ve Güvenliği
HIKIT ZARARLISI ANALİZİ APT İncelemesi Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği [email protected] Analiz İçeriği Özet ........................................................................................................................................................... 2 APT ve Hedef ............................................................................................................................................. 2 Teknik Analiz ............................................................................................................................................. 2 Kod İmzalama Mekanizması...................................................................................................................... 4 Zararlı – Saldırgan Komünikasyonu ........................................................................................................... 7 Sonuç....................................................................................................................................................... 10 EK-1: Sabit Veriler ................................................................................................................................... 11 BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 1 Özet Siber istihbarat konuları her ne kadar Stuxnet vakasından sonra konuşulmaya başlansa da, aslında bu saldırıların daha ileri boyutta olduğu neredeyse kabul edilmiş durumdadır. Zararlı yazılımların daha spesifik bir hal alması ve gelişmiş saldırılarda önemli rol oynaması göze çarpmaktadır. Stuxnet ve Duqu gibi zararlı yazılımların sonrasında daha sık konuşulmaya başlanan siber istihbarat kavramı, günümüzde teorik olarak tartışılmaktan çıkmıştır. Artık bu tip zararlı yazılımların geliştirilmesi sürecinde devlet desteğinin varlığını tartışmak bile yersizdir. APT ve Hedef HIKIT, Mandiant tarafından keşfedilen ve uzaktan sistemin kontrolünü ele geçirmeye yarayan bir tür zararlı yazılımdır. HIKIT, gelişmiş bir zararlı yazılım olan ve işlevselliğini tamamen çekirdek seviyesinde gerçekleştiren istihbarat toplama amaçlı bir yazılımdır. Burada ilginç olan bu zararlı yazılımın “istihbarat” amacının tamamen Amerika Birleşik Devletleri Savunma Bakanlığının anlaşmalı/müteahhit firmalarına ait verilerin toplanmasıdır. Aralarında SBIR/STTR listesinde yer alan bazı firmalarında bulunduğu organizasyonlar hakkında çeşitli verilerin toplanmasına yönelik faaliyetler yürütmektedir. Teknik Analiz HIKIT üzerinde teknik analiz yapmak için elimizde sadece “oci.dll” isimli tek bir obje var. “oci.dll” isimli dosyanın herhangi bir sıkıştırılma sürecinden geçmediğini teyit ettik. Bu obje üzerinden gittiğimizde karşımıza mevcut çalıştırılabilir dosya içerisinde farklı isimlerde dosya olduğunu görüyoruz. Öncesinde zararlı yazılımın bulaşma süreci aşağıdaki gibidir. Zararlı yazılım ilk adım olarak bir “dropper” sayesinde “oci.dll” isimli dosyayı yükler. DLL imzalanmış (driver) modülü sisteme çekirdek (kernel-level) seviyesinde yükler. Çekirdek (kernel-level) seviyesinden yüklenen modül saldırgandan komut bekler. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 2 Yukarıdaki adımların nasıl gerçekleştiği şekilde görüntülenmiştir. Kullanıcılara çeşitli yollarla bulaşan zararlı yazılım “proxy” arkasından bağlanan saldırgan ile haberleşmeyi beklemektedir. Tüm bu süreçlerin ardından elimizde bulunan veriler ile analiz işlemine başlayabiliriz. Herşeyden önce çalıştırılabilir dosya hakkında en temel bilgilere ihtiyacımız var. Tüm bunları gerçekleştirmek için zararlı yazılımı, en temel adımlardan başlayarak analiz etmeye başlayabiliriz. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 3 Yukarıdaki resimde görüldüğü gibi “oci.dll” dosyası “w2fw.sys” isimli bir dosya barındırıyor. Böylece zararlı yazılımın bir rootkit içerdiğini daha net olarak görebiliyoruz. Rootkit yazılımları çekirdek seviyesinde çalışmaktadır analiz süreci diğer (use-mode) zararlı yazılımlara kıyasla daha zordur. Kod İmzalama Mekanizması Aşağıdaki aktivitelerden bahsetmeden önce bilinmesi gereken konu kod imzalama (code signing) mantığıdır. Microsoft, çekirdek (kernel level) seviyesinde çalıştırılacak modüllerin güvenilir olduğunu belirlemek için kod imzalama denen tekniği kullanır. Bunun anlamı çekirdeğe yüklenen modülün güvenilir bir modül olduğunu ve onaylandığını bildirmektir. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 4 Analiz süreincde rastladığımız ilginç olay, *.inf uzantılı dosyaların, GlobalSign sertifikaları sayesinde imzalanmış olmasıdır. GlobalSing 2011 yılında bir “hack” iddiası ile gündeme gelmiştir. Sunucularından sertifikarların çalındığı şüphesi ile hizmetlerini bir süreliğine durdurmuştur. GlobalSign hakkında “hack edildi” iddiaları 2011 Eylül ayı başlarında çıkmıştır. Mevcut dosyanın “timestamp” bilgileri incelendiğinde, dosyanın son derlenme tarihi olarak Ekim ayı işaret ediliyor. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 5 Rootkit sınıfında incelenen bu zararlı yazılımın kernel seviyesinde işlem gördüğünü belirtmiştik. Bilindiği gibi inf uzantılı dosyalar, driver yazılımlarının nasıl kurulacağı bilgisini içermektedir. GlobalSign sertifikalarının zararlıya implement edildiği bilgisi elimizde olduğuna göre, zararlı yazılım kernel-level işlem yürütebilmek için kendisini imzalı olarak sisteme eklediğini görebiliyoruz. Zararlı yazılım Register defteri içerisinde çeşitli kayıtlar veya modifikasyonlar yapabilmek adına yukarıda görüldüğü gibi bir fonksiyon barındırmaktadır. Bu işlev tamamlandığında enfeksiyon süreçlerine ait diğer rutinler işletilmeye başlamaktadır. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 6 Zararlı – Saldırgan Komünikasyonu Zararlıyı incelemek için açtığımızda bu bilginin yanı sıra daha ilginç veriler elde etmiş oluyoruz. Örneğin, zararlı yazılım, enfeksiyon süreçlerini tamamladığında dışarıdan gelecek komutlar aracılığıyla saldırgan ile bir bağlantı kurabiliyor. Yukarıda görülen “disassembly” çıktısı saldırganın hedef sisteme bağlanması için işletilen rutine aittir. Bağlantının tamamlanabilmesi için bir takım süreçlerin işletildiğini görüyoruz. Eğer bağlantı kurulduğunda gelen paketler içerisinde belli bir anahtar kelime varsa saldırganın bağlanması süreci tamamlanıyor. Daha teknik olarak zararlı yazılım gelen packetleri monitör edebilmek için kendisini NDIS-Level yüklemekte ve bir “sanal network adaptor” olarak sisteme eklemektedir. Böylece tüm network’e gelen paketleri dinleyerek gelen paketler arasında belli bir “pattern” arar. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 7 Bu bağlanma süreci esnasında saldırgan 80 ve 443 numaralı portlar üzerinden hedef ile bağlantı kuruyor. Firewall kuralları içerisinde 80 (HTTP) ve 443(HTTPS) portları izin verilmiş portlar arasında yer alır. Bu durum zararlının firewall yazılım veya cihazlarını by-pass ederek hedefe erişim sağlayabilmesi anlamına gelir. Bu aşamada ilginç olan şey zararlı yazılımın herhangi bir (command and control) sunucuya ya da saldırganın makinesine bağlantı kurmuyor olması. Bunun yerine HIKIT bulaştığı makine üzerinde tüm ağı monitor ederek belli bir anahtar kelime gelmesi durumunda saldırgan ile bağlantı kuruyor. Söz konusu rutinlerin hangi değerleri aldığı ve nereye gittiği konusunda görsel bir sonuç elde edebiliriz. Aşağıda görülen şekilde hangi fonksiyonun - hangi sonuca gittiği daha net olarak görülebilmektedir. Buna göre bağlantının kurulması işleminde hangi rutinlerin etkili olduğu bilgisi bu diyagramda mevcuttur. Zararlı yazılım uzaktan erişim için bağlantı kurduğunda bir kaç komutun işletilmesine izin veriyor. Bu tanım sadece zararlının işlettiği komutlar içindir, saldırganın hedef üzerinde işleteceği komutlar işletim sisteminin tanımladığı komutlardır. Makine kodu içerisinde ilerleken bağlantı kurulduktan sonra işletilecek komutlar arasında rastladığımız “shell” komutu uzaktaki makine üzerinden bir komut satırı açmaya olanak sağlıyor. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 8 Bunun anlamı işletim sistemi üzerinde sıradan veya yetkili bir kullanıcının işletebileceği tüm komutları, saldırgan işletebilmesi için sisteme yüklediği arka kapıya direktif verebilir. Kısacası saldırgan için bir “command prompt” açarak sistem üzerinde amacı doğrultusunda komut çalıştırabilir. Aşağıda görülen ”file” komutu çalıştırıldığı anda driver ile iletişim halindedir. Saldırgan bu sayede dosya okuma, dosya izinlerini değiştirme, dizin oluşturma ve dizin listeleme işlemlerini gerçekleştirebilir. Böylece zararlı, enfeksiyon süreçlerini tamamladığında saldırgan sisteme tam yetki ile erişim sağlamayı başarabilir. Yukarıdaki “disassembly” daha önce bahsedilen işlemlerin yapılmasıyla ilişkilidir. Zararlının bir başka özelliklerden biri ise saldırganın SOCKS5 yani bir proxy üzerinden bağlantı kurabilmesi özelliğidir. BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 9 Disassembler ile zararlının incelenmesi aşamasında gözümüze çarpan bu özellik, saldırgan proxy üzerinden bağlantı kurabilmek için zararlının içerisine gömdüğü bir fonksiyondur. Böylece iletişimin daha güvenli ve belirsiz hale gelmesi saldırgan hakkında iz sürmeyi zorlaştırmaktadır. Sonuç Mandiant tarafından yayınlanan ve tespit edilen bu zararlı yazılımın, APT saldırısının bir parçası olduğu neredeyse kesindir. Amacının tamamen istihbarat toplamak olduğu ve ABD Savunma Bakanlığı ile anlaşmalı olan firmalar hakkında bilgi toplamak olduğu belirtilmiştir. HIKIT bulaştığı sistemde tamamen kalıcı olmak ve bu süre zarfında sistemleri saldırganın kölesi haline getirmek üzere programlanmıştır. APT saldırılarının benzeri örnekleri günümüzde gittikçe artmaktadır. Daha önce bahsedildiği üzere NDIS Driver seviyesinde bir zararlının ve hizmet ettiği APT saldırısının tespiti oldukça zordur. Yukarıda bahsedilen ve saldırganın belli bir “pattern” doğrultusunda sisteme bağlantı kurabilmesine yarayan teknik oldukça eski olmak ile birlikte tespiti zordur. Bu tip bir saldırının tespitinin yapılabilmesi bazı durumlarda “network trafik analizi” ile mümkündür. Analiz boyunca görüldüğü gibi Firewall, Antivirüs gibi yazılım veya cihazların bu tip ataklar karşısında yetersiz kamıştır. Bu ataklardan mağdur olan kurumlar ve güvenlik ürünleri geliştiren firmalar durumun farkındadır. Firewall, anti-virüs gibi klasik güvenlik ürünlerinin yanı sıra kurumların APT ataklarının tespitine yönelik daha farklı çözümlere yönelmeye ehemmiyet göstermelidir. Yasin SÜRER Bilgi Güvenliği Uzmanı [email protected] BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI 10 EK-1: Sabit Veriler .rdata:1001E33C .rdata:1001E37C .rdata:1001E3A9 .rdata:1001E3B1 .rdata:1001E3C0 .rdata:1001E3C9 .rdata:1001E3E4 .rdata:1001E418 .rdata:1001E44C .rdata:1001E478 .rdata:1001E488 .rdata:1001E490 .rdata:1001E49C .rdata:1001E4A8 .rdata:1001E4B4 .rdata:1001E4BC .rdata:1001E4C8 .rdata:1001E4D4 .rdata:1001E4E0 .rdata:1001E4EC .rdata:1001E546 0000000F 00000007 00000008 00000007 00000008 0000000A 0000000F 00000012 0000000E 0000000E 00000008 0000000C 0000000C 00000009 00000008 0000000B 0000000C 00000009 0000000B 00000007 00000005 C C C C C C C C C C C C C C C C C C C C C bad allocation (null) ( 8PX\a\b 700WP\a \b`h```` xpxxxx\b\a\b CorExitProcess Unknown exception EncodePointer DecodePointer FlsFree FlsSetValue FlsGetValue FlsAlloc LC_TIME LC_NUMERIC LC_MONETARY LC_CTYPE LC_COLLATE LC_ALL \a\b\t\n\v .rdata:1001E55F 0000005F C !\"#$%&'()*+,./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~ .rdata:1001E5DC .rdata:1001E5F0 .rdata:1001E600 .rdata:1001E610 0000000F 0000000E 0000000D 0000000F C C C C .rdata:1001E620 0000009B C .rdata:1001E6C0 000000F7 C .rdata:1001E7B8 00000033 C R6033\r\n- Attempt to use MSIL code from this assembly during native code initialization\nThis indicates a bug in your application. It is most likely the result of calling an MSIL-compiled (/clr) func from a native constructor or from DllMain.\r\n R6032\r\n- not enough space for locale information\r\n .rdata:1001E7F0 00000063 C R6031\r\n- Attempt to initialize the CRT more than once.\nThis indicates a bug in your application. .rdata:1001E854 .rdata:1001E874 .rdata:1001E89C .rdata:1001E8D4 .rdata:1001E90C .rdata:1001E934 .rdata:1001E96C .rdata:1001E998 .rdata:1001E9BC .rdata:1001E9EC 0000001F 00000025 00000035 00000035 00000026 00000035 00000029 00000021 0000002D 0000002C C C C C C C C C C C .rdata:1001EA18 00000096 C .rdata:1001EAB0 0000002C C R6030\r\n- CRT not initialized\r\n R6028\r\n- unable to initialize heap\r\n R6027\r\n- not enough space for lowio initialization\r\n R6026\r\n- not enough space for stdio initialization\r\n R6025\r\n- pure virtual function call\r\n R6024\r\n- not enough space for _onexit/atexit table\r\n R6019\r\n- unable to open console device\r\n R6018\r\n- unexpected heap error\r\n R6017\r\n- unexpected multithread lock error\r\n R6016\r\n- not enough space for thread data\r\n \r\nThis application has requested the Runtime to terminate it in an unusual way.\nPlease contact application's support team for more information.\r\n R6009\r\n- not enough space for environment\r\n BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI runtime error TLOSS error\r\n SING error\r\n DOMAIN error\r\n R6034\r\nAn application has made an attempt to load the C runtime library incorrectly.\nPlease contact the application's support team for more information.\r\n 11 .rdata:1001EADC .rdata:1001EB08 .rdata:1001EB38 .rdata:1001EB68 .rdata:1001EB80 .rdata:1001EC19 .rdata:1001EC3D .rdata:1001EC46 .rdata:1001EC58 .rdata:1001F207 0000002A 0000002D 00000025 00000017 0000001A 00000007 00000005 00000005 00000012 00000005 C C C C C C C C C C .rdata:1001F220 0000005F C .rdata:1001F387 00000005 C .rdata:1001F3A0 0000005F C !\"#$%&'()*+,./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXY .rdata:1001F480 .rdata:1001F48C .rdata:1001F4A0 .rdata:1001F4B4 .rdata:1001F4C0 .rdata:1001F4CC .rdata:1001F4D4 .rdata:1001F4E0 .rdata:1001F4E8 .rdata:1001F4F0 .rdata:1001F4F8 .rdata:1001F500 .rdata:1001F508 .rdata:1001F514 .rdata:1001F54C .rdata:1001F558 .rdata:1001F560 .rdata:1001F56C .rdata:1001F578 .rdata:1001F580 .rdata:1001F588 .rdata:1001F5AC .rdata:1001F5BC .rdata:1001F5CC .rdata:1001F5E0 .rdata:1001F5EC .rdata:1001F5FC .rdata:1001F608 .rdata:1001F618 .rdata:1001F620 .rdata:1001F62C .rdata:1001F638 .rdata:1001F648 .rdata:1001F654 .rdata:1001F660 .rdata:1001F668 .rdata:1001F678 00000009 00000014 00000009 00000009 00000009 00000008 0000000A 00000007 00000005 00000005 00000006 00000006 00000009 00000008 00000009 00000007 00000009 0000000A 00000008 00000007 00000007 0000000E 0000000F 00000012 0000000C 0000000D 0000000C 0000000D 00000007 0000000C 00000009 00000009 0000000C 0000000A 00000008 0000000E 00000008 C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C HH:mm:ss dddd, MMMM dd, yyyy MM/dd/yy December November October September August July June April March February January Saturday Friday Thursday Wednesday Tuesday Monday Sunday united-states united-kingdom trinidad & tobago south-korea south-africa south korea south africa slovak puerto-rico pr-china pr china new-zealand hong-kong holland great britain england BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI R6008\r\n- not enough space for arguments\r\n R6002\r\n- floating point support not loaded\r\n Microsoft Visual C++ Runtime Library <program name unknown> Runtime Error!\n\nProgram: €€†€•€ ('8PW 700PP `h`hhh\b\b\axppwpp\b\b \a\b\t\n\v !\"#$%&'()*+,./0123456789:;<=>?@abcdefghijklmnopqrstuvwxyz[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~ \a\b\t\n\v 12 .rdata:1001F680 .rdata:1001F688 .rdata:1001F690 .rdata:1001F698 .rdata:1001F6AC .rdata:1001F6B4 .rdata:1001F6C4 .rdata:1001F6D8 .rdata:1001F6E8 .rdata:1001F6FC .rdata:1001F70C .rdata:1001F720 .rdata:1001F730 .rdata:1001F744 .rdata:1001F754 .rdata:1001F764 .rdata:1001F778 .rdata:1001F78C .rdata:1001F7A0 .rdata:1001F7B0 .rdata:1001F7CC .rdata:1001F7E0 .rdata:1001F7F4 .rdata:1001F804 .rdata:1001F814 .rdata:1001F828 .rdata:1001F840 .rdata:1001F854 .rdata:1001F868 .rdata:1001F874 .rdata:1001F884 .rdata:1001F894 .rdata:1001F8A4 .rdata:1001F8B8 .rdata:1001F8CC .rdata:1001F8DC .rdata:1001F8EC .rdata:1001F900 .rdata:1001F910 .rdata:1001F920 .rdata:1001F92C .rdata:1001F938 .rdata:1001F944 .rdata:1001F960 .rdata:1001F978 .rdata:1001F984 .rdata:1001F994 .rdata:1001F9A0 .rdata:1001F9B4 .rdata:1001F9C0 .rdata:1001F9D0 .rdata:1001F9DC .rdata:1001F9F0 00000006 00000006 00000008 00000008 00000006 00000010 00000012 00000010 00000014 0000000D 00000011 0000000F 00000012 0000000F 00000010 00000011 00000012 00000014 00000010 0000001B 00000013 00000011 0000000E 00000010 00000012 00000015 00000012 00000011 0000000A 0000000E 0000000E 0000000D 00000012 00000014 00000010 0000000D 00000012 00000010 0000000F 0000000C 0000000B 0000000B 0000001A 00000015 0000000B 00000010 0000000C 00000012 0000000C 0000000F 0000000C 00000011 0000000E BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C czech china britain america swiss swedish-finland spanish-venezuela spanish-uruguay spanish-puerto rico spanish-peru spanish-paraguay spanish-panama spanish-nicaragua spanish-modern spanish-mexican spanish-honduras spanish-guatemala spanish-el salvador spanish-ecuador spanish-dominican republic spanish-costa rica spanish-colombia spanish-chile spanish-bolivia spanish-argentina portuguese-brazilian norwegian-nynorsk norwegian-bokmal norwegian italian-swiss irish-english german-swiss german-luxembourg german-lichtenstein german-austrian french-swiss french-luxembourg french-canadian french-belgian english-usa english-us english-uk english-trinidad y tobago english-south africa english-nz english-jamaica english-ire english-caribbean english-can english-belize english-aus english-american dutch-belgian 13 .rdata:1001FA00 .rdata:1001FA14 .rdata:1001FA28 .rdata:1001FA3C .rdata:1001FA50 .rdata:1001FA60 .rdata:1001FA6C .rdata:1001FA74 .rdata:1001FA80 .rdata:1001FA94 .rdata:1001FAA8 .rdata:1001FD98 .rdata:1001FDB0 .rdata:1001FDCC .rdata:1001FDEC .rdata:1001FE00 .rdata:1001FE1C .rdata:1001FE30 .rdata:1001FE4C .rdata:1001FE78 .rdata:1001FEA4 .rdata:1001FEC8 .rdata:1001FEEC .rdata:1001FF08 .rdata:1001FF34 .rdata:1001FF5C .rdata:1001FF84 .rdata:1001FFAC .rdata:1001FFCC .rdata:1001FFE8 .rdata:1001FFF8 .rdata:10020004 .rdata:1002000C .rdata:10020030 .rdata:10020040 .rdata:1002004C .rdata:1002005C .rdata:10020078 .rdata:100200A0 .rdata:100200C0 .rdata:100200E4 .rdata:10020100 .rdata:10020124 .rdata:10020144 .rdata:10020164 .rdata:10020184 .rdata:100201A4 .rdata:100201C4 .rdata:100201D8 .rdata:100201E4 .rdata:100201FC .rdata:10020208 .rdata:10020210 00000014 00000012 00000013 00000011 00000008 00000009 00000008 0000000B 00000011 00000011 00000009 00000012 0000001A 0000001D 00000013 0000001C 00000012 0000001C 0000002B 00000029 00000023 00000021 0000001B 0000002C 00000026 00000025 00000026 0000001D 0000001B 0000000F 0000000A 00000007 00000024 00000010 00000006 00000010 0000001B 00000027 00000020 00000021 0000001B 00000024 0000001D 0000001E 0000001D 0000001E 0000001D 00000013 00000009 00000015 00000009 00000008 0000000A BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C chinese-traditional chinese-singapore chinese-simplified chinese-hongkong chinese canadian belgian australian american-english american english american Norwegian-Nynorsk Complete Object Locator' Class Hierarchy Descriptor' Base Class Array' Base Class Descriptor at ( Type Descriptor' `local static thread guard' `managed vector copy constructor iterator' `vector vbase copy constructor iterator' `vector copy constructor iterator' `dynamic atexit destructor for ' `dynamic initializer for ' `eh vector vbase copy constructor iterator' `eh vector copy constructor iterator' `managed vector destructor iterator' `managed vector constructor iterator' `placement delete[] closure' `placement delete closure' `omni callsig' delete[] new[] `local vftable constructor closure' `local vftable' `RTTI `udt returning' `copy constructor closure' `eh vector vbase constructor iterator' `eh vector destructor iterator' `eh vector constructor iterator' `virtual displacement map' `vector vbase constructor iterator' `vector destructor iterator' `vector constructor iterator' `scalar deleting destructor' `default constructor closure' `vector deleting destructor' `vbase destructor' `string' `local static guard' `typeof' `vcall' `vbtable' 14 .rdata:1002021C .rdata:100202A4 .rdata:100202C8 .rdata:100202D0 .rdata:100202D8 .rdata:100202E4 .rdata:100202F0 .rdata:100202F8 .rdata:10020304 .rdata:10020310 .rdata:1002031C .rdata:10020328 .rdata:10020334 .rdata:1002033C .rdata:100204C8 .rdata:100204E0 .rdata:100204FC .rdata:10020510 .rdata:10020520 .rdata:1002052C .rdata:10020538 .rdata:10020540 .rdata:10020558 .rdata:10020580 .rdata:10020664 .rdata:10020670 .rdata:1002067C .rdata:10020704 .rdata:10020C40 .rdata:10020C50 .rdata:10020C58 .rdata:10020C7C .rdata:10020C84 .rdata:10020CAC .rdata:10020CDC .rdata:10020CF8 .rdata:10020D50 .rdata:10020D68 .rdata:10021DEE .rdata:10021E08 .rdata:10021F0C .rdata:10021F60 .rdata:10021F6A .rdata:10021F86 .rdata:10021FA6 .rdata:100223F2 .rdata:100223FE .data:1002328C .data:100232A8 .data:100232C8 .data:1002366E .data:1002374E .data:1002376E 0000000A 00000009 00000008 00000005 0000000C 0000000B 00000008 0000000A 0000000B 0000000B 0000000A 00000009 00000008 00000009 00000018 0000001A 00000013 00000010 0000000C 0000000B 00000008 00000016 00000025 00000014 0000000A 00000009 00000015 0000000A 0000000F 00000005 00000022 00000007 00000026 00000030 0000000C 0000000E 00000005 00000027 0000000D 0000000B 0000000D 0000000A 0000000B 0000000C 0000000D 0000000C 00000012 00000014 00000014 00000010 0000001B 0000001B 0000001B BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C C `vftable' operator delete new __unaligned __restrict __ptr64 __clrcall __fastcall __thiscall __stdcall __pascal __cdecl __based( GetProcessWindowStation GetUserObjectInformationA GetLastActivePopup GetActiveWindow MessageBoxA USER32.DLL CONOUT$ SunMonTueWedThuFriSat JanFebMarAprMayJunJulAugSepOctNovDec GetNativeSystemInfo %*s%s%d%s password GET /%s HTTP/1.1\r\n\r\n .welcome. SYSTEM\\WPA\\PnP seed SOFTWARE\\Microsoft\\Driver Signing Policy SOFTWARE\\Microsoft\\Non-Driver Signing SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Setup PrivateHash bad exception RSDSL h:\\JmVodServer\\hikit\\bin32\\RServer.pdb KERNEL32.dll USER32.dll ADVAPI32.dll ole32.dll WS2_32.dll SHLWAPI.dll SETUPAPI.dll RServer.dll DllRegisterServer .?AVbad_alloc@std@@ .?AVexception@std@@ .?AVtype_info@@ abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 15 .data:10023872 .data:10023959 .data:10023979 .data:10023A24 .data:10024068 .data:10024084 .data:100240A0 .data:100240BC .data:100240FC 0000001B 0000001B 0000001B 00000006 00000011 00000013 00000013 0000000E 00000018 BOA BILGI TEKNOLOJILERI VE GÜVENLIĞI C C C C C C C C C abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ `‚y‚! .?AVCSetLocale@@ .?AVRConnectItem@@ .?AVCPluginClass@@ .?AVCRShell@@ .?AVbad_exception@std@@ 16