admin/APT_REPORT
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Create tau_fancybear_downloader_public.yara

Browse Source
This commit is contained in:
blackorbird
2019-04-08 15:07:57 +08:00
parent 54b4a8e5e4
commit 81a71cac01
1 changed files with 285 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

285
APT28/tau_fancybear_downloader_public.yara Normal file
View File

@@ -0,0 +1,285 @@
rule fancybear_seduploader_payload_decode_fns : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2018-Oct-29"
description = "Designed to catch Seduploader"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "c3b2c7bbd2aa1e3100b9382ed78dfa0041af764e0e02013acdf282410b302ead, 1140c624fbfe28b9ef19fef2e9aa251adfbe8c157820d5f0356d88b4d80c2c88, ef027405492bc0719437eb58c3d2774cc87845f30c40040bbebbcc09a4e3dd18"
// the followings are own definitions
sample_md5 = "AA2CD9D9FC5D196CAA6F8FD5979E3F14"
strings:
// fn_decode_string
$0x10002f3f = { 55 8B EC 51 53 8B 5D 0C 56 8D 43 01 50 E8 ?? ?? ?? ?? 8B F0 33 C0 89 45 0C 59 85 DB }
$0x10002f5d = { 57 8B 7D 08 2B FE }
$0x10002f63 = { 8D 0C 30 C7 45 FC ?? ?? ?? ?? 33 D2 F7 75 FC 8A 82 ?? ?? ?? ?? 32 04 0F 88 01 8B 45 0C 40 89 45 0C 3B C3 }
$0x10002f89 = { 8B C6 5E 5B 8B E5 5D C3 }
// fn_rolling_xor
$0x10002b9e = { 55 8B EC 56 8B 75 08 85 F6 }
$0x10002ba9 = { 57 8B 7D 10 85 FF }
$0x10002bb1 = { 83 7D 0C ?? 53 8B DE }
$0x10002bbc = { 33 D2 8B C6 F7 75 14 8A 0C 3A 30 0B 43 46 3B 75 0C }
$0x10002bd4 = { 8B C6 5E 5D C3 }
condition:
all of them
}
rule fancybear_zebrocy_downloader2_cpp_fn_bs_decode : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-11"
description = "Designed to catch Zebrocy Downloader Type 2 C++"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "489a1b13b5ec415f24bc4f1b4ed6c6e0bdc50ae95513645a839655bc75d4d9d6, 6f2589be92c2d0fa6050e52fbedb967c2590a8abbc4a9459fb7f78bc52407195"
// own definitions
sample_md5 = "CC6E8B89C8FD3DA84CFD747FB7BFEA79"
function_address = "0x402410"
function_name = "fn_bs_decode"
strings:
$0x402410 = { 55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 83 EC ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 33 DB 89 7D ?? 89 5D ?? 6A ?? C7 45 ?? ?? ?? ?? ?? 53 8D 45 ?? 50 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 89 5D ?? 88 5D ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 75 ?? 8B C6 83 FA }
$0x402475 = { 8B 4D ?? 03 C8 8B C6 83 FA }
$0x40248d = { 8A 10 8A 19 88 18 40 88 11 3B C1 }
$0x40249c = { C7 45 ?? ?? ?? ?? ?? 89 5D ?? C6 45 ?? ?? C6 45 ?? ?? 89 5D ?? 39 5D }
$0x4024b6 = { 83 7D ?? ?? 8B 45 }
$0x4024e0 = { 33 DB 6A ?? 53 8D 45 ?? BE ?? ?? ?? ?? 50 8D 4D ?? 89 75 ?? 89 5D ?? 88 5D ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 89 77 ?? 89 5F ?? 88 1F 8B 45 ?? 8B 4F ?? 40 ?? ?? C7 45 ?? ?? ?? ?? ?? 3B C1 }
$0x40251f = { 83 CE ?? 3B C8 }
$0x402530 = { 8B D1 2B D0 83 FA }
$0x402539 = { 8B F2 3B F3 }
$0x40253f = { 8B 57 ?? 83 FA }
$0x402558 = { 2B CE 2B C8 51 03 DE 03 D8 03 D0 53 52 E8 ?? ?? ?? ?? 8B 47 ?? 2B C6 83 C4 ?? 83 7F ?? ?? 89 47 }
$0x40257b = { 8B 0F C6 04 01 }
$0x402583 = { 8B CF C6 04 01 }
$0x40258b = { 53 8B D8 2B D9 8B F7 E8 }
$0x402597 = { 33 D2 33 F6 39 57 }
$0x4025a4 = { 8B 5D ?? 8B 45 ?? 8B C8 83 FB }
$0x4025c2 = { 0F BE 04 10 83 C0 }
$0x4025d3 = { 0F BE 04 10 }
$0x4025e3 = { C0 E0 ?? 88 04 31 8B 45 ?? 8B 5D ?? 8B CB 83 F8 }
$0x402600 = { 83 F8 ?? 8B C3 }
$0x40260a = { 0F BE 44 10 ?? 83 C0 }
$0x402614 = { 83 F8 ?? 8B C3 }
$0x40261e = { 0F BE 44 10 }
$0x40262f = { 24 ?? 08 04 31 46 83 C2 ?? 3B 77 }
$0x40264b = { 8B 4D ?? 51 E8 ?? ?? ?? ?? 83 C4 }
$0x40266b = { 8B 55 ?? 52 E8 ?? ?? ?? ?? 83 C4 }
$0x40267c = { 8B 45 ?? 50 E8 ?? ?? ?? ?? 83 C4 }
$0x4026a6 = { 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5E 5B 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3 }
$0x41f770 = { 8B 45 ?? 83 E0 }
$0x41f77c = { 83 65 ?? ?? 8B 4D }
$0x41f789 = { 8B 54 24 ?? 8D 42 ?? 8B 4A ?? 33 C8 E8 ?? ?? ?? ?? 8B 4A ?? 33 C8 E8 ?? ?? ?? ?? B8 }
condition:
all of them
}
rule fancybear_zebrocy_downloader1_delphi_v1 : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-11"
description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 1)"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a, 87f363afc9778efc78dd3e0ced112d8d66a09a8924091f0927ed02a7b64850d2"
strings:
// fn_decode_string
$0x6846c8 = { 55 8B EC 83 C4 ?? 33 C9 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 83 7D }
$0x684709 = { 8B 45 ?? 83 E8 ?? 8B 00 89 45 }
$0x684714 = { 8B 45 ?? 85 C0 }
$0x68471b = { 89 45 ?? C7 45 }
$0x68472f = { 48 83 C8 ?? 40 }
$0x684737 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 [0-1] 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 }
$0x684784 = { 33 C0 5A 59 59 64 89 10 68 }
$0x684791 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 }
$0x6847ae = { 8B E5 5D C3 }
// hex string
$hex_cmd = "636D642E657865202F6320" // cmd.exe /c
$hex_sysinfo = "53595354454D494E464F" // SYSTEMINFO
$hex_tasklst = "5441534B4C495354" // TASKLIST
$hex_winword = "77696E776F72642E657865" // winword.exe
condition:
all of ($0x684*) and any of ($hex*)
}
rule fancybear_zebrocy_downloader1_delphi_v2 : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-11"
description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 2)"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "65de07fc6b821d9fd3497cfa64212df2d39935dd515a86eda80d08086b183a3f, cd925e2464d251f02b4d425e301acf276e13eeccbbf5996ade5a6f355802abb7"
strings:
// fn_decode_string
$0x493840 = { 55 8B EC 33 C9 51 51 51 51 53 56 57 8B FA 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C7 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 }
$0x493875 = { 83 E8 ?? 8B 00 }
$0x49387a = { 8B F0 85 F6 }
$0x49388e = { 48 83 C8 ?? 40 }
$0x493896 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 }
$0x4938d9 = { 33 C0 5A 59 59 64 89 10 68 }
$0x4938e6 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
$0x4938fb = { 5F 5E 5B 8B E5 5D C3 }
// hex string
$hex_word = "4D6963726F736F667420576F7264" // Microsoft Word
$hex_cmd = "636D642E657865202F6320" // cmd.exe /c
$hex_sysinfo = "53595354454D494E464F" // SYSTEMINFO
$hex_tasklst = "5441534B4C495354" // TASKLIST
$hex_total = "2C20546F74616C2073697A653A20" // , Total size:
condition:
all of ($0x4938*) and any of ($hex*)
}
rule fancybear_zebrocy_downloader1_delphi_v3 : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-11"
description = "Designed to catch Zebrocy Downloader Type 1 Delphi (variant 3)"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "03ff895c99555f00792a41e3b014f16ef6b4bb0c74d1fa2237a6a9275e2b2109, 001cf7af29382f4f784fe45df131ca9e14908c6c0717899780f9354b8a5f0090"
strings:
// fn_decode_string
$0x4a1dcc = { 55 8B EC 6A ?? 6A ?? 6A ?? 6A ?? 53 56 57 8B F9 89 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B C7 E8 ?? ?? ?? ?? 8B 45 ?? 85 C0 }
$0x4a1e03 = { 83 E8 ?? 8B 00 }
$0x4a1e08 = { 8B F0 85 F6 }
$0x4a1e1c = { 48 83 C8 ?? 40 }
$0x4a1e24 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B D3 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B C7 E8 }
$0x4a1e67 = { 33 C0 5A 59 59 64 89 10 68 }
$0x4a1e74 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
$0x4a1e89 = { 5F 5E 5B 8B E5 5D C3 }
// hex string
$hex_word = "4D6963726F736F667420576F7264" // Microsoft Word
$hex_repair = "636F756C64206E6F742062652072657061697265642E" // could not be repaired.
$hex_entpass = "456E7465722070617373776F726420746F206F70656E2066696C65" // Enter password to open file
condition:
all of ($0x4a1*) and any of ($hex*)
}
rule fancybear_zebrocy_downloader2_delphi : TAU RU APT
{
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-11"
description = "Designed to catch Zebrocy Downloader Type 2 Delphi"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "56e2221cddc9b12cd1021f4da804e52658e515082c8600b6ae77fe628247e002, 427b9130cca7217692673fb0e9017cbc61dc295fcde381360cc893f6e96e4092"
strings:
// fn_decode_string
$0x6846c8 = { 55 8B EC 83 C4 ?? 33 C9 89 4D ?? 89 4D ?? 89 4D ?? 89 55 ?? 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 89 45 ?? 83 7D }
$0x684709 = { 8B 45 ?? 83 E8 ?? 8B 00 89 45 }
$0x684714 = { 8B 45 ?? 85 C0 }
$0x68471b = { 89 45 ?? C7 45 }
$0x68472f = { 48 83 C8 ?? 40 }
$0x684737 = { 8D 45 ?? 50 B9 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B D0 [0-1] 8D 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 }
$0x684784 = { 33 C0 5A 59 59 64 89 10 68 }
$0x684791 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 45 ?? E8 ?? ?? ?? ?? C3 }
$0x6847ae = { 8B E5 5D C3 }
// fn_send_HTTP_POST
$0x652178 = { 55 8B EC 83 C4 ?? 53 56 57 33 DB 89 5D ?? 8B F9 8B F2 89 45 ?? 8B 5D ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 33 D2 55 68 ?? ?? ?? ?? 64 FF 32 64 89 22 8B 45 ?? 80 78 }
$0x6521b5 = { 8B 45 ?? 50 68 ?? ?? ?? ?? 8B 45 ?? 50 8B 45 ?? 50 8B 45 ?? 50 8D 45 ?? 50 8B 45 ?? 8B 40 ?? 8B CF 8B D6 E8 ?? ?? ?? ?? 8B 55 ?? 8B C3 B9 ?? ?? ?? ?? E8 }
$0x6521ee = { 8B 45 ?? 50 8B 45 ?? 50 8B 45 ?? 50 53 8B 45 ?? 8B 40 ?? 8B CF 8B D6 E8 ?? ?? ?? ?? 8B 0B 8B 55 ?? 8B 45 ?? E8 }
$0x652217 = { 33 C0 5A 59 59 64 89 10 }
$0x652245 = { 33 C0 5A 59 59 64 89 10 68 }
$0x652252 = { 8D 45 ?? E8 ?? ?? ?? ?? C3 }
$0x652262 = { 5F 5E 5B 59 59 5D C2 }
// fn_CreateDir
$0x425760 = { 55 8B EC 33 C9 51 51 51 51 53 89 45 ?? 8B 45 ?? E8 ?? ?? ?? ?? 33 C0 55 68 ?? ?? ?? ?? 64 FF 30 64 89 20 B3 ?? 83 7D }
$0x42578b = { 8B 0D ?? ?? ?? ?? B2 ?? A1 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B D0 C7 42 ?? ?? ?? ?? ?? 8B C2 E8 }
$0x4257ad = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 55 ?? 8D 45 ?? E8 ?? ?? ?? ?? B2 ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
$0x4257d1 = { 8B 45 ?? 85 C0 }
$0x4257d8 = { 83 E8 ?? 8B 00 }
$0x4257e6 = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? 8B 55 ?? E8 ?? ?? ?? ?? 0F 94 C0 }
$0x425803 = { 8B 45 ?? E8 ?? ?? ?? ?? 8B D8 }
$0x42580f = { 8D 55 ?? 8B 45 ?? E8 ?? ?? ?? ?? 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
$0x425826 = { 8B 45 ?? E8 ?? ?? ?? ?? 84 C0 }
$0x425838 = { 33 C0 5A 59 59 64 89 10 68 }
$0x425845 = { 8D 45 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? C3 }
$0x42585a = { 8B C3 5B 8B E5 5D C3 }
condition:
all of them
}
rule fancybear_zebrocy_downloader1_go {
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-15"
description = "Designed to catch Zebrocy Downloader Type 1 Go"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "fcf03bf5ef4babce577dd13483391344e957fd2c855624c9f0573880b8cba62e"
strings:
// fn_main_decode_string
$0x5c8670 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 }
$0x5c8682 = { 83 EC ?? 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? C7 04 24 ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 83 C4 ?? C3 }
// hex string
$hex_wmi = "776D6963206C6F676963616C6469736B206765742063617074696F6E2C6465736372697074696F6E2C6472697665747970652C70726F76696465726E616D652C73697A65" // wmic logicaldisk get caption,description,drivetype,providername,size
$hex_sysinfo = "73797374656D696E666F" // systeminfo
$hex_tasklst = "7461736B6C697374" // tasklist
condition:
all of ($0x5c8*) and 2 of ($hex*)
}
rule fancybear_zebrocy_downloader2_go {
meta:
author = "CarbonBlack Threat Research" // tharuyama
date = "2019-Mar-15"
description = "Designed to catch Zebrocy Downloader Type 2 Go"
rule_version = 1
yara_version = "3.8.1"
Confidence = "Prod"
Priority = "High"
TLP = "White"
exemplar_hashes = "50d610226aa646dd643fab350b48219626918305aaa86f9dbd356c78a19204cc"
strings:
// fn_main_save_file
$0x5aeaf0 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 8D 44 24 ?? 3B 41 }
$0x5aeb0a = { 81 EC ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8B 84 24 ?? ?? ?? ?? 89 04 24 8B 84 24 ?? ?? ?? ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 85 C0 }
$0x5aeb62 = { 89 44 24 ?? 89 4C 24 ?? 8B 01 8B 51 ?? 89 04 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 89 14 24 8D 9C 24 ?? ?? ?? ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 8D 84 24 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 83 F8 }
$0x5aec0a = { 8B 4C 24 ?? 0F B7 11 66 81 FA }
$0x5aec18 = { 0F B6 51 ?? 80 FA }
$0x5aec25 = { 8B 54 24 ?? 83 FA }
$0x5aec32 = { 8B 44 24 ?? 8B 48 ?? 8B 50 ?? 89 0C 24 89 54 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 89 4C 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 8D 15 ?? ?? ?? ?? 89 14 24 8D 5C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 8C 24 ?? ?? ?? ?? 8D 44 24 ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? BA ?? ?? ?? ?? 31 DB 31 ED }
$0x5aeccb = { 89 54 24 ?? 8D 04 D1 8B 70 ?? 8B 00 89 44 24 ?? 89 74 24 ?? C7 04 24 ?? ?? ?? ?? 89 6C 24 ?? 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 50 ?? 8B 6C 24 ?? 8B 5C 24 ?? 8B 44 24 ?? 8B 4C 24 }
$0x5aed15 = { 89 2C 24 89 5C 24 ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8B 54 24 ?? 89 54 24 ?? 8B 5C 24 ?? 85 DB }
$0x5aed45 = { 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 31 D2 31 DB 31 ED }
$0x5aed86 = { 89 5C 24 ?? 89 6C 24 ?? 89 54 24 ?? 8D 0C D0 89 4C 24 ?? 89 4C 24 ?? 8D 1D ?? ?? ?? ?? 89 1C 24 E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 8D 44 24 ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 08 8B 40 ?? 89 4C 24 ?? 89 44 24 ?? C7 04 24 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8D 50 ?? 8B 5C 24 ?? 8B 6C 24 ?? 8B 44 24 ?? 8B 4C 24 }
$0x5aee2d = { 8D 71 ?? 39 F2 }
$0x5aee34 = { C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 39 CA }
$0x5aee51 = { 89 1C 24 89 6C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 04 24 8B 4C 24 ?? 89 4C 24 ?? E8 ?? ?? ?? ?? C7 04 24 ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? E8 ?? ?? ?? ?? 85 C0 }
$0x5aee93 = { 8B 44 24 ?? 89 04 24 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? 8B 44 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 8B 44 24 ?? 89 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
$0x5aeeea = { 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
$0x5aeef7 = { C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? 8D 05 ?? ?? ?? ?? 89 44 24 ?? 8D 0D ?? ?? ?? ?? 89 4C 24 ?? 8D 4C 24 ?? 89 0C 24 C7 44 24 ?? ?? ?? ?? ?? C7 44 24 ?? ?? ?? ?? ?? E8 }
$0x5aef3c = { 89 8C 24 ?? ?? ?? ?? 89 84 24 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 81 C4 ?? ?? ?? ?? C3 }
// fn_main_os_Getenv
$0x5ae8d0 = { 64 8B 0D ?? ?? ?? ?? 8B 89 ?? ?? ?? ?? 3B 61 }
$0x5ae8e6 = { 83 EC ?? 8D 05 ?? ?? ?? ?? 89 04 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 4C 24 ?? 89 44 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 89 44 24 ?? 8B 4C 24 ?? 89 4C 24 ?? 8D 15 ?? ?? ?? ?? 89 14 24 C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 8B 54 24 ?? 89 14 24 8B 54 24 ?? 89 54 24 ?? 8D 15 ?? ?? ?? ?? 89 54 24 ?? C7 44 24 ?? ?? ?? ?? ?? 89 44 24 ?? 89 4C 24 ?? C7 44 24 ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 ?? 8B 4C 24 ?? 89 44 24 ?? 89 4C 24 ?? 83 C4 ?? C3 }
condition:
all of them
}