[354] hW5E :名無し :2009/05/02 14:37:10 [レ] [引] [あ] []
>>puyRに追記です
>1の前に「~sptd.sysが存在する場合削除」という処理も入っていました。(パス指定は正常)
>つまり、「リネーム先を削除&リネーム」をまとめて「リネーム処理」として行っていることになります。
>これならまあロジックとして理解できないこともありません。(バグってるのは致命的ですが)
>それからsystem32フォルダ内に出来るファイルについては、
>まず認証をクラックしてスキップした場合、使われるファイルは
>CryDll.dll(実行ファイルの復号)、Dependency.dll(実行ファイルに必要なDLLを抽出、読み込み) の2つのみで、
>これらには特に余計な処理は見当たりません。
>さらに認証時に使われるのは Quotation.dll、PolicyMng.dllの2つで、
>これらは実際に認証しないと細かいことはわかりませんが、とりあえずざっと見て分かる範囲では認証処理以外に、
>PolicyMng.dll/
>TerutenAuthData.datの作成 (隠し属性、system32フォルダ内かC:\Users\Public\Teruten\)
>Quotation.dll/
>HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MaxConnectionsPer1_0Server , MaxConnectionsPerServer を(勝手に)256に変更
>HKCU\Software\Teruten、HKLM\Software\Teruten の作成
>を行っています。
>残りのファイル群はざっと見たところではおそらく使われていません。