“52好压”这款压缩工具,很多新手使用的时候经常百度随手就能下载得到,但是这款软件为什么不推荐,本次做一个分析呈现
0x00:监控安装行为
我们直接上干货,看看“52好压”安装的时候做了些什么
0x000:“52好压”文件释放阶段
创建文件 C:\Users\Fantasy\AppData\Local\Temp\access
创建文件夹 C:\Users\Fantasy\AppData\Local\Temp\~268fc3
创建文件夹 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\22.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\3.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\4.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\40.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\41.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\42.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\43.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\44.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\50.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\54.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\55.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\56.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\57.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\58.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\59.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\60.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\61.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\62.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\8.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\9.png
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\10000.xml
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\10001.xml
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\10002.xml
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\11001.xml
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\res\11004.xml
创建文件 C:\Users\Fantasy\AppData\Local\Temp\~268fc3\installconfig.xml
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{4839CB99-22A3-4F95-9972-8E35BB52DF38}
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{4839CB99-22A3-4F95-9972-8E35BB52DF38}\Implemented Categories
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{4839CB99-22A3-4F95-9972-8E35BB52DF38}\Implemented Categories\{2211057D-0906-49DF-ABF4-37652C71E0F2}
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{4839CB99-22A3-4F95-9972-8E35BB52DF38}\Implemented Categories\{2211057D-0906-49DF-ABF4-37652C71E0F2}\[@]idex很常见的随机目录释放文件,我们继续看
0x001:“52好压”文件安装部署阶段
创建文件夹 C:\Program Files (x86)\k52zip
创建文件 C:\Program Files (x86)\k52zip\microsoft.vc80.crt.manifest
创建文件 C:\Program Files (x86)\k52zip\microsoft.vc80.mfc.manifest
创建文件 C:\Program Files (x86)\k52zip\installconfig.xml
创建文件 C:\Program Files (x86)\k52zip\fpinfo.dat
创建文件 C:\Program Files (x86)\k52zip\kdumpcfg.dat
创建文件夹 C:\Program Files (x86)\k52zip\data
创建文件 C:\Program Files (x86)\k52zip\data\local_config.dat
创建文件 C:\Program Files (x86)\k52zip\kdumprep.exe
创建文件 C:\Program Files (x86)\k52zip\kdumprepn.exe
创建文件 C:\Program Files (x86)\k52zip\kzip_casual.exe
创建文件 C:\Program Files (x86)\k52zip\kzip_casual64.exe
创建文件 C:\Program Files (x86)\k52zip\kzip_main.exe
创建文件 C:\Program Files (x86)\k52zip\uninstall.exe
创建文件 C:\Program Files (x86)\k52zip\update.exe
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-console-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-datetime-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-debug-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-errorhandling-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-file-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-file-l1-2-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-file-l2-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-handle-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-heap-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-interlocked-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-libraryloader-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-localization-l1-2-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-memory-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-namedpipe-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-processenvironment-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-processthreads-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-processthreads-l1-1-1.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-profile-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-rtlsupport-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-string-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-synch-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-synch-l1-2-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-sysinfo-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-timezone-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-core-util-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-conio-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-convert-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-environment-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-filesystem-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-heap-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-locale-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-math-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-multibyte-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-private-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-process-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-runtime-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-stdio-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-string-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-time-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\api-ms-win-crt-utility-l1-1-0.dll
创建文件 C:\Program Files (x86)\k52zip\concrt140.dll
创建文件 C:\Program Files (x86)\k52zip\kdump.dll
创建文件 C:\Program Files (x86)\k52zip\kisarchive.dll
创建文件 C:\Program Files (x86)\k52zip\kzip_ext.dll
创建文件 C:\Program Files (x86)\k52zip\kzip_ext64.dll
创建文件 C:\Program Files (x86)\k52zip\kzip_util.dll
创建文件 C:\Program Files (x86)\k52zip\msvcp140.dll
创建文件 C:\Program Files (x86)\k52zip\msvcp80.dll
创建文件 C:\Program Files (x86)\k52zip\msvcr80.dll
创建文件 C:\Program Files (x86)\k52zip\ucrtbase.dll
创建文件 C:\Program Files (x86)\k52zip\vccorlib140.dll
创建文件 C:\Program Files (x86)\k52zip\vcruntime140.dll
创建注册表项 HKEY_CURRENT_USER\Software\k52zip
创建注册表项 HKEY_CURRENT_USER\Software\k52zip\setup
设置值 HKEY_CURRENT_USER\Software\k52zip\setup\[@]tid1
设置值 HKEY_CURRENT_USER\Software\k52zip\setup\[@]tid2
设置值 HKEY_CURRENT_USER\Software\k52zip\setup\[@]id
设置值 HKEY_CURRENT_USER\Software\k52zip\setup\[@]installpath
设置值 HKEY_CURRENT_USER\Software\k52zip\setup\[@]installtime
创建注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]DisplayIcon
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]DisplayVersion
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]DisplayName
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]UninstallString
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]Publisher
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\k52zip\[@]URLInfoAbout
创建文件 C:\Users\Fantasy\Desktop\52好压.lnk
创建文件夹 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\52好压
创建文件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\52好压\52好压.lnk
创建文件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\52好压\卸载52好压.lnk可以看出都是很普通的文件释放,手动清理可以依据上方完整列表进行手动删除
0x010:创建了三个进程
已创建进程 C:\Program Files (x86)\k52zip\kzip_casual64.exe
已创建进程 C:\Program Files (x86)\k52zip\kzip_main.exe
已创建进程 C:\Windows\System32\conhost.exe 其中分别为两个52zip守护进程,一个命令行执行进程
0x011:写入注册表
设置值 HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\[@]C:\Program Files (x86)\k52zip\kzip_main.exe
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications\[@]k52zip这部分是为了在打开方式里面增加52zip而进行的操作
0x100:执行注册表添加
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].7z
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].xz
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].bzip2
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].gzip
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].tar
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].zip
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].wim
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].arj
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].cab
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].cpio
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].dmg
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].fat
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].hfs
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].iso
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].lzh
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].lzma
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].ntfs
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].rar
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].rpm
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].squashfs
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].xar
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\k52zip\Capabilities\FileAssociations\[@].z
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.7z
设置值 HKEY_CURRENT_USER\Software\Classes\.7z\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.7z\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.7z\OpenWithProgids\[@]k52zip.7z
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.7z
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.7z\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.xz
设置值 HKEY_CURRENT_USER\Software\Classes\.xz\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.xz\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.xz\OpenWithProgids\[@]k52zip.xz
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xz
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.xz\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.bzip2
创建文件夹 C:\Program Files (x86)\k52zip\phoenix
创建文件夹 C:\Program Files (x86)\k52zip\phoenix\11
设置值 HKEY_CURRENT_USER\Software\Classes\.bzip2\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.bzip2\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.bzip2\OpenWithProgids\[@]k52zip.bzip2
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.bzip2\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.gzip
设置值 HKEY_CURRENT_USER\Software\Classes\.gzip\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.gzip\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.gzip\OpenWithProgids\[@]k52zip.gzip
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.gzip\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.tar
设置值 HKEY_CURRENT_USER\Software\Classes\.tar\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.tar\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.tar\OpenWithProgids\[@]k52zip.tar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.tar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.tar\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.zip
设置值 HKEY_CURRENT_USER\Software\Classes\.zip\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.zip\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.zip\OpenWithProgids\[@]k52zip.zip
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.zip
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.zip\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.wim
设置值 HKEY_CURRENT_USER\Software\Classes\.wim\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.wim\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.wim\OpenWithProgids\[@]k52zip.wim
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.wim
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.wim\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.arj
设置值 HKEY_CURRENT_USER\Software\Classes\.arj\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.arj\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.arj\OpenWithProgids\[@]k52zip.arj
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.arj
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.arj\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.cab
设置值 HKEY_CURRENT_USER\Software\Classes\.cab\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.cab\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.cab\OpenWithProgids\[@]k52zip.cab
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cab
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.cab\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.cpio
设置值 HKEY_CURRENT_USER\Software\Classes\.cpio\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.cpio\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.cpio\OpenWithProgids\[@]k52zip.cpio
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.cpio\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.dmg
设置值 HKEY_CURRENT_USER\Software\Classes\.dmg\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.dmg\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.dmg\OpenWithProgids\[@]k52zip.dmg
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.dmg\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.fat
设置值 HKEY_CURRENT_USER\Software\Classes\.fat\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.fat\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.fat\OpenWithProgids\[@]k52zip.fat
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.fat
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.fat\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.hfs
设置值 HKEY_CURRENT_USER\Software\Classes\.hfs\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.hfs\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.hfs\OpenWithProgids\[@]k52zip.hfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.hfs\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.iso
设置值 HKEY_CURRENT_USER\Software\Classes\.iso\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.iso\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.iso\OpenWithProgids\[@]k52zip.iso
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.iso
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.iso\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.lzh
设置值 HKEY_CURRENT_USER\Software\Classes\.lzh\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.lzh\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.lzh\OpenWithProgids\[@]k52zip.lzh
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.lzh\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.lzma
设置值 HKEY_CURRENT_USER\Software\Classes\.lzma\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.lzma\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.lzma\OpenWithProgids\[@]k52zip.lzma
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.lzma\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.ntfs
设置值 HKEY_CURRENT_USER\Software\Classes\.ntfs\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.ntfs\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.ntfs\OpenWithProgids\[@]k52zip.ntfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.ntfs\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.rar
设置值 HKEY_CURRENT_USER\Software\Classes\.rar\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.rar\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.rar\OpenWithProgids\[@]k52zip.rar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.rar\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.rpm
设置值 HKEY_CURRENT_USER\Software\Classes\.rpm\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.rpm\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.rpm\OpenWithProgids\[@]k52zip.rpm
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.rpm\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.squashfs
设置值 HKEY_CURRENT_USER\Software\Classes\.squashfs\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.squashfs\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.squashfs\OpenWithProgids\[@]k52zip.squashfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.squashfs\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.xar
设置值 HKEY_CURRENT_USER\Software\Classes\.xar\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.xar\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.xar\OpenWithProgids\[@]k52zip.xar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xar
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.xar\shell\open\command\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.z
设置值 HKEY_CURRENT_USER\Software\Classes\.z\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\.z\OpenWithProgids
设置值 HKEY_CURRENT_USER\Software\Classes\.z\OpenWithProgids\[@]k52zip.z
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.z
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.z\DefaultIcon
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.z\DefaultIcon\[@]
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.z\shell
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.z\shell\open
创建注册表项 HKEY_CURRENT_USER\Software\Classes\k52zip.z\shell\open\command
设置值 HKEY_CURRENT_USER\Software\Classes\k52zip.z\shell\open\command\[@]
已结束进程 C:\Program Files (x86)\k52zip\kzip_main.exe
设置值 HKEY_CURRENT_USER\Software\k52zip\[@]inject
已创建进程 C:\Program Files (x86)\k52zip\kzip_main.exe
已结束进程 C:\Program Files (x86)\k52zip\kzip_casual64.exe
已结束进程 C:\Windows\System32\conhost.exe
已结束进程 C:\Program Files (x86)\k52zip\kzip_main.exe手动斜眼笑~~通过注册表可见,深入骨髓的写入。。关联了整个电脑几乎所有和压缩解压相关的文件格式,新手常见的误区就是,下载了光盘镜像,因为电脑内安装有此类软件,然后坚持认为镜像不是用来写入,而是用来解压缩的,不得不说,52zip为了捆绑用户的习惯,十分心机婊
0x101:修改文件关联
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.png\UserChoice\[@]ProgId
设置值 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FileAssociations\ProgIds\[@]_.png
设置值 HKEY_CURRENT_USER\Software\Classes\Local Settings\MrtCache\C:%5CProgram Files%5CWindowsApps%5CMicrosoft.Windows.Photos_2019.18114.19418.0_x64__8wekyb3d8bbwe%5Cmicrosoft.system.package.metadata%5CS-1-5-21-585953990-1978014136-2520352286-1001-MergedResources-0.pri\1d5a8b7f3a8eb2a\5964e1bf\[@]@{Microsoft.Windows.Photos_2019.18114.19418.0_x64__8wekyb3d8bbwe?ms-resource://Microsoft.Windows.Photos/Resources/AppFriendlyName}这一步 52zip把手伸向了自带的Photos,不管是出于什么目的,这种行为,在卸载52压缩的时候,并不会自动还原,这种破坏是不可逆的
到这里,安装过程就执行完成,除了注册了极多的文件关联,其他的看起来也并没什么问题
0x01:重点分析
其实整个过程也不是很复杂,就是标准的释放→安装→关联文件
喜欢动手的小伙伴,可以依照上方分析记录,来针对性的清除52zip释放的文件,同时也可以手动定位,清理注册表文件
0x10:LVS快速通道
如过你是LVS服务计划会员,或您是付费用户,则可以使用下方提供工具来一键解决“52好压”对您的困扰
本区域内容支付后可见
标题:[E-Labs]分析”52好压”
价格:1 枚LegnaCoin
