32位程序，无壳，编译器为mingw

1. 通过分析恶意程序，找出运行该软件必要的参数是？（答案格式：–xxx-xxx） (2.0分)

--access-token

2. 该程序为了控制控制最大并发数，在注册表中设置了MaxMpxCt参数，请给出设置参数的具体值。（答案格式：纯数字） (2.0分)

65533

3. 该程序运行过程中会创建新的分区磁盘，请写出该分区磁盘一级目录中的文件名。（答案格式：如有字母请大写） (2.0分)

Boot

新增分区 Z:\，下面有隐藏文件

4. 该程序获取计算机名时使用的kernel32库函数是什么？（答案格式：kernel32.xxx） (2.0分)

kernel32.GetComputerNameExW

对导入函数过滤

5. 根据该程序的加密过程逻辑，已知加密文件后缀为cvz8n37，且系统中存在core_code.c文件，请写出程序在加密该文件前生成的文件名。（答案格式：xxx.cvz8n37） (3.0分)

checkpoints-core_code.c.cvz8n37

6. 该程序在提权过程中会申请多项Windows权限，请写出尝试申请的第三项权限名。（答案格式：答案格式需与实际一致） (4.0分)

SeIncreaseQuotaPrivilege

断在 AdjustTokenPrivileges()

7. 该程序运行过程中获取UUID时的完整命令为？(答案格式：”D:\xxx...\xxx.exe” xx “xxx xxx xxx xxx” (4.0分)

"C:\Windows\system32\cmd.exe" /c "wmic csproduct get UUID"

监控进程，有调用cmd.exe来执行命令

8. 该程序存在着默认配置文件，在该配置文件中默认不加密且文件后缀为sys的文件名是？（答案格式：包含后缀名，如xxxx.sys） (4.0分)

GASS_SYS.sys

默认不加密的话

config_id

*9. 请写出该程序加密文件过程中，生成私钥函数返回值内”chipher”键对应的值。 (6.0分)

55C3-5171-4C53-0439

可以在 .tls 段找到，目前还没搞明白加密原理