来源:蜘蛛抓取(WebSpider)
时间:2015-10-03 07:53
标签:
pcas.exe是什么进程
原文链接()
在Chrome中有一个很有意思的工具courgette,翻译成中文是小胡瓜的意思。我很难把这个单词和这个小工具联系在一起,也许作者比较偏爱这个蔬菜吧!&
我们用C++编写程序时,经常会出现修改了一行代码,重新编译一下之后,再去对比一下新的二进制文件,就可以发现千差万别了。往往出现我们要发布一个修改了一行代码的补丁,需要替换整个DLL或者EXE。这对于Chrome中类似于Chrome.dll(10M左右)文件来说,升级一次的代价还是挺高的。本人在去年下半年负责的一个升级服务器项目中,就曾动过念头,是否有一种方法可以寻找出两个二进制文件的差异,将这个差异打成一个补丁,用户下载后,可以通过这个补丁,可以自动生成新的DLL。可惜功力不够,最后放弃了。最近读Chrome的代码时,发现Chrome已经实现了该功能。这个就是Courgette的功劳了。&
Courgette做什么的?
Courgette主要用于Chrome的升级过程,他的主要作用是,针对两个版本不同的二进制文件(Binary File),寻找其中区别,生成补丁文件;另外就是根据这个补丁文件加上旧版本的二进制文件生成新版本的二进制文件的还原过程了。类似于加解密流程。&
Courgette的实现原理?
Courgette构建在一个开源代码&基础上的。并在bsdiff的基础上做了一些优化。&
本人是半路出家的人,对编译原理和汇编了解不深,按照我对&理解,一个二进制文件里面,包含了代码部分(函数,数据),指向这些函数的指针列表(编译链接产生,包含了如何定位函数等信息),由于这些地址是内部的相对地址,即使更改了一小行代码,重新编译后,函数的地址将发生变化了,指向这些函数的指针值也全部变化了。因此,即使更改了一个小小的变量,也会导致很多部分的修改。bsdiff的原理就是对二进制文件进行反汇编,将上面所说的两部分进行分别处理,对于代码部分,其实就和普通的文本文件类似了,改变不会太大,这部分体积基本上占去了整个二进制文件的80%左右。然后对动态指针部分进行一些更新处理,就基本上达到了打补丁的目标了。&
&& &server:
&& &&& &diff = bsdiff(original, update)
&& &&& &transmit diff
&& &client:
&& &&& &receive diff
&& &&& &update = bspatch(original, diff)&
大致流程如上,制作补丁时调用bsdiff函数,根据两个不同版本的二进制文件,生成补丁文件。客户端下载补丁后,调用bspatch函数,根据旧版本二进制文件和补丁生成新的二进制文件。
Chrome在bsdiff的基础上做了一些优化,主要体现在动态指针列表部分,chrome对代码部分的每一个模块地址分配了一个标签(Label),这些标签都是整数,并把这些标签保存到一个数组中,然后指针列表中映射的地址改为指向数组的索引,由于一些函数地址被调用多次,通过这种方法确实可以减少一些体积。做了一些优化后,在bsdiff的基础上又减少了30%左右吧(这是google的说法,我没验证过)。&
&&&&server:
&& &&& &asm_old = disassemble(original)
&& &&& &asm_new = disassemble(update)
&& &&& &asm_new_adjusted = adjust(asm_new, asm_old)
&& &&& &asm_diff = bsdiff(asm_old, asm_new_adjusted)
&& &&& &transmit asm_diff
&& &client:
&& &&& &receive asm_diff
&& &&& &asm_old = disassemble(original)
&& & & &asm_new_adjusted = bspatch(asm_old, asm_diff)
&& & & &update = assemble(asm_new_adjusted)
Chrome的大致处理流程如上,和bsdiff流程类似,多了&asm_new_adjusted = adjust(asm_new, asm_old)这一个步骤,这个步骤主要就是上面说的对地址标签化的过程。&
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:48057次
排名:千里之外
原创:10篇
转载:74篇
(1)(1)(1)(1)(1)(2)(7)(2)(3)(2)(2)(4)(11)(30)(6)(9)(1)查看: 1116|回复: 9
File name: paiyaidbfiaaa.exe Detection ratio: 1 / 53
2016年第一批流氓出炉
SHA256:& & & & f459f695acd04dd7b614e4a54337bb
File name:& & & & paiyaidbfiaaa.exe
Detection ratio:& & & & 1 / 53
Analysis date:& & & &
10:33:23 UTC ( 0 minutes ago )
McAfee-GW-Edition& & & & BehavesLike.Win32.Tool.dc& & & &
本帖子中包含更多资源
才可以下载或查看,没有帐号?
版区有你更精彩: )
还是被安装百度影音
文件名: paiyaidbfiaaa.exe
威胁名称: SONAR.Heuristic.138完整路径: c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe
____________________________
____________________________
在电脑上的创建时间 
/星期一 ( 18:42:12 )
上次使用时间 
/星期一 ( 18:42:12 )
启动项目 
已启动 
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
paiyaidbfiaaa.exe 威胁名称: SONAR.Heuristic.138
极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。
极新的文件
该文件已在 不到 1 周 前发行。
此文件具有高风险。
____________________________
来源: 外部介质
创建的文件:
paiyaidbfiaaa.exe
____________________________
事件: 网络活动 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: 网络通信上检测到 Symantec IDS 特征 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:2180) 未尝试修复
事件: 进程启动: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\7zo8edc3468\ paiyaidbfiaaa.exe, PID:2180 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:2180) 未尝试修复
事件: 进程启动 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\ nst4603.tmp (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: PE 文件创建: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\nst4603.tmp\ System.dll (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\ 2.jpg (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: PE 文件创建: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\nst4603.tmp\ Inetc.dll (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache:C:\Sandbox\songm\DefaultBox\user\current\AppData\Local\Temp\7zO8EDC3468\paiyaidbfiaaa.exe.FriendlyAppName (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: PE 文件创建: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\nst4603.tmp\ ZipDLL.dll (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings:ProxyEnable (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections:SavedLegacySettings (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap:ProxyBypass (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap:IntranetName (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap:UNCAsIntranet (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap:AutoDetect (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content:CachePrefix (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies:CachePrefix (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
\REGISTRY\USER\SANDBOX_SONGM_DEFAULTBOX\user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History:CachePrefix (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\Sandbox\songm\defaultbox\user\current\AppData\Local\microsoft\Windows\inetcache\IE\ FZA1ROK6 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\sandbox\songm\defaultbox\user\current\appdata\local\microsoft\windows\inetcache\ie\fza1rok6\ 7185bdf1gw1ezaqdv6z1eg20s60i07ww[1].gif (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\ 41.tmp (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\ file open error (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: PE 文件创建: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\ baiduplayer5setupsilent_363.exe (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
事件: 进程启动: c:\Sandbox\songm\defaultbox\user\current\AppData\Local\Temp\ baiduplayer5setupsilent_363.exe, PID:8940 (执行者 c:\sandbox\songm\defaultbox\user\current\appdata\local\temp\7zo8edc3468\paiyaidbfiaaa.exe, PID:3852) 未尝试修复
____________________________
文件指纹 - SHA:
f459f695acd04dd7b614e4a54337bb
文件指纹 - MD5:
版区有你更精彩: )
还是被安装百度影音
文件名: paiyaidbfiaaa.exe
这就算防御失败了
这就算防御失败了
沙盘是好东西
skyboybone
金山真是奇葩玩意,只能拦截正规的不正规流氓软件,不能拦截不正规的正规流氓软件
TAV挂的好惨~~~~~~
右键miss,右键入沙,防御失败……
不想等了……
只能表示,这个流氓,够狠!!
本帖子中包含更多资源
才可以下载或查看,没有帐号?
金山真是奇葩玩意,只能拦截正规的不正规流氓软件,不能拦截不正规的正规流氓软件
这些软件金山都是人工录入的,当然会这样,很正常
挥泪斩情思
本帖子中包含更多资源
才可以下载或查看,没有帐号?
本帖最后由
11:27 编辑
360 HEUR/QVM42.0.Malware.Gen
AVA 25.5092
GD 25.6143
*** 进程 ***
进程: 5876
文件名: paiyaidbfiaaa.exe
路径: c:\users\沙勇军\desktop\paiyaidbfiaaa.exe
发行商:: 未知发行商
创建日期: 01/05/16 07:02:05
修改日期: 01/04/16 10:32:47
启动进程:: start.exe
发行商:: Invincea, Inc.
*** 操作 ***
已加壳的程序文件,可能隐藏有恶意代码。
程序正试图建立自启动项,以在系统启动时自动运行。
程序正经过网络建立连接。
一个未知进程访问了。
程序已创建或已操作可执行文件。
程序进行了自我复制。
*** 隔离区 ***
下列文件被转入隔离区:
C:\Users\沙勇军\Desktop\paiyaidbfiaaa.exe
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\baidu\bdplayer\5.1.1.9\bduninstall.exe
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.z.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\acauth.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\atl100.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\chrome.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\chrome_child.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\chrome_elf.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\chrome_watcher.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\config_updater.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\courgette.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.dcompiler_47.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\icsdhcp.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\7z.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\achievelib.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\adbutil.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\adbwinapi.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\adbwinusbapi.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\5.5.9235.9\pphelper\devicehelper.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\downloader\download\atl71.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\downloader\download\dl_peer_id.dll
c:\sandbox\沙勇军\defaultbox\drive\c\program files (x86)\ucbrowser\temp\source\chrome-bin\downloader\download\download_engine.dll
下列注册表项被删除:
\registry\user\sandbox_沙勇军_defaultbox\machine\software\wow6432node\microsoft\active setup\installed components\65122cb0-ea0f-47df-a953-f9 || stubpath
\registry\user\sandbox_沙勇军_defaultbox\machine\software\wow6432node\microsoft\windows\currentversion\run || bdplayer_autorun
YGLRu3JmCiwnKiYmJwotJ3cnJygnZw8uJ6otJyknqgqnQicndHJiYnArJycnJyYGx3JycnJiYoAuJykmJicJuWLRu6IL2XKSkC4nuCcmJie4B8pycrtiYnJyu6AtJysnKCcJrHKCYmJygsAvJ3cnJygnZw+NcnK7YmJycrvwLCcoJiYnCP9ycrtiYnJyu3BncnJycmJicIdycnJyYmJwp3KScLhycnJyYmJw2HJyYmJycnC6ktFaY6ZyLBhdY7ZyktFaY6ZyC8cuJ7ctJiYntw3HLye3KyYmJ7cL5ygnCWgpJ7gHAA
规则版本: 5.0.77
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本: 55982
&C:\Users\沙勇军\Desktop\paiyaidbfiaaa.exe&
MD5: 37CBF5BC5EF0295974DFE
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,问题补充&&
本页链接:
chrome浏览器的小工具。 检查下是不是启动了这浏览器的其它工具
是:chrome浏览器的小工具。
猜你感兴趣
服务声明: 信息来源于互联网,不保证内容的可靠性、真实性及准确性,仅供参考,版权归原作者所有!Copyright &
Powered bydumphelp_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
评价文档:
上传于||暂无简介
大小:51.32KB
登录百度文库,专享文档复制特权,财富值每天免费拿!
你可能喜欢
