Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-10 10:47:15 +00:00
Code Issues Packages Projects Releases Wiki Activity

Added new YARA rules.

Browse Source
This commit is contained in:
Software Developer
2025-08-26 09:00:03 +02:00
parent 943f35fde8
commit d85d8e171d
2 changed files with 441 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
yara/rootkit/Linux.Rootkit.Pumakit.yara
+161
View File
@@ -0,0 +1,161 @@
rule Linux_Rootkit_Pumakit : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "PUMAKIT"
description = "Yara rule that detects Pumakit rootkit."
tc_detection_type = "Rootkit"
tc_detection_name = "Pumakit"
tc_detection_factor = 4
strings:
$hooking_syscalls_mechanism_p1 = {
E8 ?? ?? ?? ?? 55 48 C7 C7 ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53 51 E8 ??
?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 48 8B 1D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
?? E8 ?? ?? ?? ?? 31 D2 48 89 05 ?? ?? ?? ?? 48 8B BA ?? ?? ?? ?? 48 85 FF 75 ?? 48
8B 8A ?? ?? ?? ?? 48 85 C9 74 ?? B8 ?? ?? ?? ?? 80 7C 01 ?? ?? 75 ?? 48 63 74 01 ??
48 01 C6 48 01 CE 48 81 FE ?? ?? ?? ?? 75 ?? 48 8D 3C 01 EB ?? 48 FF C0 48 83 F8 ??
75 ?? 48 89 BA ?? ?? ?? ?? 48 81 C2 ?? ?? ?? ?? 48 81 FA ?? ?? ?? ?? 75 ?? 48 C7 C3
?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? 48 83 7B ?? ?? 0F 85 ?? ?? ?? ?? 48 C7 C7 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? 4C 8B 25 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 3B
2E E8 ?? ?? ?? ?? 49 89 C4 48 85 C0 0F 84 ?? ?? ?? ?? 48 89 43 ?? 48 8B 05 ?? ?? ??
?? 4D 8D 74 24 ?? 4D 89 E7 48 8B 40 ?? 48 89 45 ?? 48 8B 75 ?? BA ?? ?? ?? ?? 4C 89
FF E8 ?? ?? ?? ?? 85 C0 74 ?? 49 FF C7 4D 39 FE 75 ?? EB ?? 4D 85 FF 74 ?? 31 C0 4D
39 FC 0F 94 C0 89 43 ?? 74 ?? 31 C0 41 81 3C 24 ?? ?? ?? ?? 0F 94 C0 89 43 ?? 4C 89
7B ?? 83 7B ?? ?? 74 ?? 48 8B 43 ?? 4C 89 20 83 7B ?? ?? 74 ?? 48 8B 43 ?? 48 8B 53
?? 48 83 C0 ?? 48 89 02 83 7B ?? ?? 75 ?? 48 8B 73 ?? 48 85 F6 74 ?? 48 C7 43 ?? ??
?? ?? ?? 4C 8D 63 ?? 31 C9 31 D2 48 C7 43 ?? ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? 85
C0 75 ?? 4C 89 E7 E8 ?? ?? ?? ?? 85 C0 75 ?? C7 43 ?? ?? ?? ?? ?? 48 81 C3 ?? ?? ??
?? 49 39 DD 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 05 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ??
?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80
}
$hooking_syscalls_mechanism_p2 = {
48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15
?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48
C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ??
?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89
15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ??
?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ??
48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ??
?? 48 8B 90 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ??
?? ?? 48 C7 80 ?? ?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 50 ?? 48 C7 80 ??
?? ?? ?? ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 10 48 C7 40 ?? ?? ?? ?? ?? 48 89 15
?? ?? ?? ?? 48 8B 50 ?? 48 C7 00 ?? ?? ?? ?? 48 89 15 ?? ?? ?? ?? 48 8B 90 ?? ?? ??
?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 80
}
$hook_rmdir_1 = {
E8 ?? ?? ?? ?? 55 B9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 E5 41 57 41 56 41 55 41 54 53
48 89 FB 48 81 EC ?? ?? ?? ?? 4C 8B 67 ?? 48 8D BD ?? ?? ?? ?? 65 48 8B 04 25 ?? ??
?? ?? 48 89 45 ?? 31 C0 48 C7 45 ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 4C
89 E6 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? F3 48 AB 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ??
48 85 C0 7F ?? 48 8B 05 ?? ?? ?? ?? 48 89 DF E8 ?? ?? ?? ?? 48 8B 55 ?? 65 48 2B 14
25 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 81 C4 ?? ?? ?? ?? 5B 41 5C 41 5D 41 5E 41 5F 5D
E9 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ??
0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 83 F8 ?? 76 ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ??
?? 31 C0 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85
?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ??
?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 0F B6 B4 05
?? ?? ?? ?? 40 38 B0 ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 83 C0 ?? 48 83 F8 ?? 75 ?? BE
?? ?? ?? ?? 48 8D BD ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ??
0F 84 ?? ?? ?? ?? 8D 50 ?? 83 FA ?? 0F 8E ?? ?? ?? ?? 0F B6 B5 ?? ?? ?? ?? 83 FA ??
7E ?? 40 80 FE ?? 7E ?? 83 E8 ?? BA ?? ?? ?? ?? 85 C0 7F ?? EB ?? 39 C8 7E ?? 0F B6
8C 15 ?? ?? ?? ?? 88 8C 15 ?? ?? ?? ?? 89 D1 48 83 C2 ?? 83 F9 ?? 75 ?? 40 80 FE ??
0F 84 ?? ?? ?? ?? 0F 8F ?? ?? ?? ?? 40 80 FE ?? 0F 84 ?? ?? ?? ?? 0F 8E ?? ?? ?? ??
40 80 FE ?? 0F 85 ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 90 ?? ?? ?? ?? 48 85
D2 0F 8E ?? ?? ?? ?? 48 C7 C0 ?? ?? ?? ?? 49 C7 C5 ?? ?? ?? ?? EB ?? 48 83 C0 ?? 48
3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 3B 10 75 ?? 48 8B 3D ?? ?? ?? ?? BA
}
$hook_rmdir_2 = {
BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 85 ?? ?? ?? ?? 48 85 C0 0F 84 ?? ?? ?? ?? 4C 8B
05 ?? ?? ?? ?? 48 8B BD ?? ?? ?? ?? 48 C7 C1 ?? ?? ?? ?? 48 C7 C2 ?? ?? ?? ?? BE ??
?? ?? ?? 49 C7 C6 ?? ?? ?? ?? E8 ?? ?? ?? ?? 41 89 C7 41 80 7D ?? ?? 4C 89 E9 75 ??
41 8B 06 85 C0 74 ?? 48 C7 C1 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ?? ?? 49 63
FF 4D 89 F0 44 29 FE 48 C7 C2 ?? ?? ?? ?? 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 41 01 C7
49 83 C5 ?? 49 83 C6 ?? 49 81 FD ?? ?? ?? ?? 75 ?? 48 8B 85 ?? ?? ?? ?? BE ?? ?? ??
?? 49 63 FF 48 C7 C2 ?? ?? ?? ?? 44 29 FE 48 63 F6 48 01 C7 E8 ?? ?? ?? ?? 46 8D 2C
38 4D 63 ED 49 81 FD ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 4C 8B BD ?? ?? ?? ?? BA ?? ?? ??
?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 4C 89 EA 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 48 8B
BD
}
$hook_rmdir_3 = {
49 83 C5 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 41 80 7D ?? ?? 75 ?? 48 98 48 8D B5 ??
?? ?? ?? 48 8D BD ?? ?? ?? ?? 48 8D 04 40 48 C1 E0 ?? C6 80 ?? ?? ?? ?? ?? 48 8B 95
?? ?? ?? ?? 4C 8D A0 ?? ?? ?? ?? 48 89 90 ?? ?? ?? ?? 48 8B 85 ?? ?? ?? ?? BA ?? ??
?? ?? 49 89 44 24 ?? E8 ?? ?? ?? ?? 49 89 44 24 ?? E9 ?? ?? ?? ?? 40 80 FE ?? 0F 84
?? ?? ?? ?? 40 80 FE ?? 0F 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 83 3D ?? ?? ?? ?? ?? 0F
8F ?? ?? ?? ?? 65 48 8B 04 25 ?? ?? ?? ?? 48 63 B8 ?? ?? ?? ?? 48 89 3D ?? ?? ?? ??
E8 ?? ?? ?? ?? 31 C0 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ??
?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40
?? ?? ?? ?? ?? E8 ?? ?? ?? ?? E9 ?? ?? ?? ?? 0F BE 85 ?? ?? ?? ?? 48 C7 85 ?? ?? ??
?? ?? ?? ?? ?? 48 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ?? ?? 48 8D 8D ??
?? ?? ?? BE ?? ?? ?? ?? 31 D2 EB ?? 8D 14 92 8D 54 50 ?? 0F BE 41 ?? 48 83 C1 ?? 84
C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 40 80 FF ?? 76 ?? 3C ?? 0F 85 ?? ?? ?? ?? 81 FA ?? ??
?? ?? 0F 8F ?? ?? ?? ?? 83 FE ?? 0F 8F ?? ?? ?? ?? 48 63 C6 83 EE ?? 89 94 85 ?? ??
?? ?? 31 D2 EB ?? 49 C7 C5 ?? ?? ?? ?? 49 8B 45 ?? 48 85 C0 0F 84 ?? ?? ?? ?? 49 83
7D ?? ?? 0F 89 ?? ?? ?? ?? 4D 85 ED 0F 84 ?? ?? ?? ?? 41 8B 45 ?? BA ?? ?? ?? ?? 4C
89 E7 48 8D B5 ?? ?? ?? ?? 4D 8D B5 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49
}
$hook_rmdir_4 = {
8D 75 ?? 49 8D 7C 24 ?? BA ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 4C 89 F7 E8 ??
?? ?? ?? 49 89 C7 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 48 89 C6 BA
?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 49 8D 7C 24 ?? 4C 89 F6 4C 89 FA E8 ?? ?? ?? ??
BE ?? ?? ?? ?? 4C 89 F7 E8 ?? ?? ?? ?? 48 3D ?? ?? ?? ?? 0F 87 ?? ?? ?? ?? 0F 84 ??
?? ?? ?? 49 63 8D ?? ?? ?? ?? 83 C0 ?? 4D 8D 7D ?? 49 01 C4 48 81 F9 ?? ?? ?? ?? 0F
87 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 89 CE 4C 89 FF 48 89 8D ?? ?? ?? ?? E8 ?? ?? ?? ??
48 8B 95 ?? ?? ?? ?? 4C 89 FE 4C 89 E7 E8 ?? ?? ?? ?? 31 C0 B9 ?? ?? ?? ?? 4C 89 F7
BA ?? ?? ?? ?? F3 48 AB 31 F6 4C 89 FF E8 ?? ?? ?? ?? 41 C7 45 ?? ?? ?? ?? ?? 49 C7
45 ?? ?? ?? ?? ?? 41 C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 49 C7 45 ?? ?? ?? ?? ?? E9 ?? ??
?? ?? 49 8D 95 ?? ?? ?? ?? 49 81 FD ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 49 89 D5 E9 ?? ??
?? ?? E8 ?? ?? ?? ?? 48 89 C7 48 85 C0 0F 84 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48
C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? E8 ?? ?? ?? ??
31 C0 E9 ?? ?? ?? ?? BA ?? ?? ?? ?? 48 C7 C6 ?? ?? ?? ?? 4C 89 E7 E8 ?? ?? ?? ?? E9
?? ?? ?? ?? BE ?? ?? ?? ?? 31 D2 48 63 F6 89 94 B5 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B
85 ?? ?? ?? ?? C1 E2 ?? C1 E0 ?? 09 C2 8B 85 ?? ?? ?? ?? 0B 95 ?? ?? ?? ?? C1 E0 ??
09 C2 0F 84
}
$hook_gdents64 = {
E8 ?? ?? ?? ?? 55 48 89 E5 41 57 41 56 41 55 41 54 53 48 83 EC ?? 48 8B 47 ?? 4C 8B
6F ?? 48 89 45 ?? 48 8B 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? BE ?? ?? ?? ?? 48 63 D8 89 45
?? 49 89 C4 48 89 DF E8 ?? ?? ?? ?? 48 89 45 ?? 45 85 E4 7E ?? 48 85 C0 74 ?? 48 89
C7 31 D2 48 89 DE 49 89 C6 E8 ?? ?? ?? ?? 48 8B 75 ?? 48 89 DA 4C 89 F7 E8 ?? ?? ??
?? 49 89 C4 48 85 C0 74 ?? 48 8B 7D ?? E8 ?? ?? ?? ?? 48 83 C4 ?? 48 89 D8 5B 41 5C
41 5D 41 5E 41 5F 5D E9 ?? ?? ?? ?? 44 89 EF 48 C7 C3 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
C7 45 ?? ?? ?? ?? ?? 89 45 ?? EB ?? 8B 45 ?? 85 C0 74 ?? 4C 89 75 ?? 41 0F B7 46 ??
4C 63 6D ?? 49 01 C4 4D 39 EC 0F 83 ?? ?? ?? ?? 48 8B 45 ?? 83 7D ?? ?? 4E 8D 34 20
75 ?? 4D 89 F5 49 83 C5 ?? 0F 84 ?? ?? ?? ?? 49 C7 C7 ?? ?? ?? ?? EB ?? 49 83 C7 ??
4C 39 FB 74 ?? 41 80 3F ?? 74 ?? 4C 89 EE 4C 89 FF E8 ?? ?? ?? ?? 85 C0 75 ?? 48 8B
45 ?? 49 39 C6 74 ?? 48 8B 4D ?? 41 0F B7 46 ?? 66 01 41 ?? EB ?? 49 83 FE ?? 74 ??
41 81 7E ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 48 8B 45 ?? 49 39 C6 75 ?? 0F B7 50 ?? 29
55 ?? 48 89 C7 4C 63 6D ?? 48 8D 34 10 4C 89 EA E8 ?? ?? ?? ?? 4D 39 EC 0F 82 ?? ??
?? ?? 4C 89 EB 49 81 FD ?? ?? ?? ?? 77 ?? 4C 8B 75 ?? 4C 89 EE BA ?? ?? ?? ?? 4C 89
F7 E8 ?? ?? ?? ?? 48 8B 7D ?? 4C 89 EA 4C 89 F6 E8
}
condition:
uint32(0) == 0x464C457F and
(
all of ($hooking_syscalls_mechanism_p*)
) and
(
all of ($hook_rmdir_*)
) and
(
$hook_gdents64
)
}
yara/trojan/Win32.Trojan.PathWiper.yara
+280
View File
@@ -0,0 +1,280 @@
rule Win32_Trojan_PathWiper : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "PATHWIPER"
description = "Yara rule that detects PathWiper trojan."
tc_detection_type = "Trojan"
tc_detection_name = "PathWiper"
tc_detection_factor = 5
strings:
$find_volumes_p1 = {
55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 33 F6 89 BD ?? ?? ?? ??
C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D
85 ?? ?? ?? ?? 89 75 ?? 50 FF 15 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? 83 F8 ?? 75 ?? 89 37
89 77 ?? 89 77 ?? E9 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B
CA 49 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 0F 1F 44 00 ?? 80 BD ?? ?? ?? ?? ?? 0F
85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 80 BD ?? ?? ?? ?? ?? 0F 85 ??
?? ?? ?? 80 BC 0D ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 81 F9 ?? ?? ?? ?? 0F 83 ?? ?? ??
?? C6 84 0D ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 8D 51 ??
C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B
CA 8D 85 ?? ?? ?? ?? 51 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? C6 45 ?? ?? 39 B5 ?? ??
?? ?? 74 ?? 0F 10 85 ?? ?? ?? ?? C7 46 ?? ?? ?? ?? ?? B8 ?? ?? ?? ?? C7 46 ?? ?? ??
?? ?? 0F 11 06 C6 85 ?? ?? ?? ?? ?? F3 0F 7E 85 ?? ?? ?? ?? 66 0F D6 46 ?? 83 C6
}
$find_volumes_p2 = {
89 B5 ?? ?? ?? ?? EB ?? 8D 85 ?? ?? ?? ?? 50 56 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
B5 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? C6 45 ?? ?? 83 F8 ?? 72 ?? 8B 8D ?? ?? ?? ?? 8D 50
?? 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ??
?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 FF B5 ??
?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8D 51 ?? 8A 01
41 84 C0 75 ?? 2B CA 49 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF
15 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 89 07 8B 85 ?? ?? ?? ?? 89 77 ?? 89 47 ?? 8D 8D ??
?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C7 8B 4D ?? 64 89 0D ?? ?? ?? ?? 59 5F 5E 8B 4D ??
33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
}
$find_files_p1 = {
55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 45 ?? 33 F6 89 B5 ?? ?? ?? ??
50 8D 8D ?? ?? ?? ?? 89 75 ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 8B
BD ?? ?? ?? ?? 83 FA ?? 8B 8D ?? ?? ?? ?? 0F 43 C7 C6 45 ?? ?? 80 7C 01 ?? ?? 75 ??
49 8D 85 ?? ?? ?? ?? 83 FA ?? 89 8D ?? ?? ?? ?? 0F 43 C7 C6 04 08 ?? 6A ?? C7 85 ??
?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7
85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ??
?? ?? 8D 8D ?? ?? ?? ?? 83 C4 ?? C7 00 ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? 8B 85 ?? ??
?? ?? 89 08 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 85 C9
0F 84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 33 C0 03 D1 8B 8D ?? ?? ?? ?? 85 C9 74 ?? 8B 09
85 C9 74 ?? 8B 01 4A 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 85 C0 74 ?? 8B 00 EB ?? 33
C0 8B 48 ?? 8B 40 ?? 49 23 CA C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8B 04 88 89
85 ?? ?? ?? ?? 83 78 ?? ?? 8B 78 ?? 89 BD ?? ?? ?? ?? 72 ?? 8B 00 89 85 ?? ?? ?? ??
83 FF ?? 73 ?? 0F 10 00 89 7D ?? C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? 8B 7D ?? C7 85 ??
?? ?? ?? ?? ?? ?? ?? E9 ?? ?? ?? ?? 8B C7 B9 ?? ?? ?? ?? 83 C8 ?? 3D ?? ?? ?? ?? 0F
47 C1 89 85 ?? ?? ?? ?? 8D 48 ?? 81 F9 ?? ?? ?? ?? 72 ?? 8D 41 ?? 3B C1 B9 ?? ?? ??
?? 0F 46 C1 50 E8 ?? ?? ?? ?? 83 C4 ?? 85 C0 0F 84 ?? ?? ?? ?? 8D 78 ?? 83 E7 ?? 89
}
$find_files_p2 = {
47 ?? EB ?? 85 C9 74 ?? 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B F8 EB ?? 33 FF 8B 85 ?? ?? ??
?? 40 89 7D ?? 50 FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? 89
45 ?? 8B 85 ?? ?? ?? ?? 89 45 ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ??
8D 4D ?? 83 C0 ?? C6 45 ?? ?? 83 CE ?? C7 45 ?? ?? ?? ?? ?? 50 C7 45 ?? ?? ?? ?? ??
C6 45 ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 BD ?? ?? ?? ?? ?? 8D 45 ?? 8B 8D ??
?? ?? ?? 51 0F 43 C7 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 68 ?? ?? ?? ?? 8D 4D ?? E8 ??
?? ?? ?? 83 7D ?? ?? 8D 8D ?? ?? ?? ?? 8D 45 ?? 0F 43 45 ?? 51 50 FF 15 ?? ?? ?? ??
8B 55 ?? 83 E6 ?? 89 85 ?? ?? ?? ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81
FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52
51 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ??
?? C6 45 ?? ?? 83 F8 ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ??
80 BD ?? ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? 75 ?? 8A 85 ?? ?? ?? ?? 84 C0 0F 84 ?? ?? ??
?? 3C ?? 75 ?? 80 BD ?? ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? F7 85 ?? ?? ?? ?? ?? ?? ?? ??
74 ?? 80 7D ?? ?? 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ??
?? ?? ?? ?? 8D 50 ?? C6 85 ?? ?? ?? ?? ?? 8A 08 40 84 C9 75 ?? 2B C2 8D 8D ?? ?? ??
?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 CE ?? C6 45 ?? ?? 89 B5 ?? ?? ?? ?? 8D
}
$find_files_p3 = {
4D ?? 8B 75 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 46 ?? 50 E8
?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? 56 0F 43 45 ?? 8D 4D ?? 50 E8 ?? ?? ?? ?? 6A ?? 8D
4D ?? E8 ?? ?? ?? ?? 8B 7D ?? 8B C7 8B 4D ?? 2B C1 8B 55 ?? 8B 75 ?? 3B D0 76 ?? 8B
C6 2B C2 3B C1 72 ?? 83 FF ?? 8D 45 ?? 51 0F 43 45 ?? 8D 8D ?? ?? ?? ?? 50 6A ?? E8
?? ?? ?? ?? EB ?? 83 FE ?? 8D 85 ?? ?? ?? ?? 52 0F 43 85 ?? ?? ?? ?? 8D 4D ?? 50 E8
?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E
40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? 8B B5 ?? ??
?? ?? 83 E6 ?? 83 CE ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA
?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51
E8 ?? ?? ?? ?? 83 C4 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8B 55
?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
?? F6 85 ?? ?? ?? ?? ?? 8B 4D ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 85 ??
?? ?? ?? ?? 0F 84 ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85 C9 0F 84 ?? ?? ?? ?? 8B 01 8D
95 ?? ?? ?? ?? 52 8D 55 ?? 52 8B 40 ?? FF D0 84 C0 0F 84 ?? ?? ?? ?? 80 7D ?? ?? 0F
84 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8D 42 ?? 3B C8 77 ?? 6A ?? 8D 8D
?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 95 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 49
}
$find_files_p4 = {
23 C1 89 85 ?? ?? ?? ?? 03 C2 23 C1 8B 8D ?? ?? ?? ?? 8D 3C 85 ?? ?? ?? ?? 83 3C 0F
?? 75 ?? 6A ?? E8 ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 83 C4 ?? 89 04 0F 8B 8D ?? ?? ?? ??
8B 0C 0F 8D 45 ?? 50 E8 ?? ?? ?? ?? FF 85 ?? ?? ?? ?? EB ?? C6 85 ?? ?? ?? ?? ?? 85
C9 0F 84 ?? ?? ?? ?? 8B 01 8D 95 ?? ?? ?? ?? 52 8D 55 ?? 52 FF 50 ?? 8B 55 ?? C6 45
?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B
C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B BD ?? ?? ??
?? 8D 85 ?? ?? ?? ?? 50 57 FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 57 FF 15 ?? ??
?? ?? 8B 55 ?? C6 45 ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ??
8B 49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83
C4 ?? 8B 8D ?? ?? ?? ?? 85 C9 0F 85 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B
95 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 8D ?? ?? ?? ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 4D ??
C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? 85
C9 74 ?? 8B 11 8D 45 ?? 3B C8 0F 95 C0 0F B6 C0 50 FF 52 ?? 8B 4D ?? 64 89 0D ?? ??
?? ?? 59 5F 5E 8B 4D ?? 33 CD E8 ?? ?? ?? ?? 8B E5 5D C3
}
$find_shared_network_drives_p1 = {
55 8B EC 6A ?? 68 ?? ?? ?? ?? 64 A1 ?? ?? ?? ?? 50 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ??
33 C5 89 45 ?? 56 57 50 8D 45 ?? 64 A3 ?? ?? ?? ?? 8B 7D ?? 89 BD ?? ?? ?? ?? C7 85
?? ?? ?? ?? ?? ?? ?? ?? 89 BD ?? ?? ?? ?? C7 07 ?? ?? ?? ?? C7 47 ?? ?? ?? ?? ?? C7
47 ?? ?? ?? ?? ?? 6A ?? 6A ?? 8D 8D ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ??
?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 89 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C7 85 ??
?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 6A
?? 8D 8D ?? ?? ?? ?? C6 45 ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 33 C0
C7 45 ?? ?? ?? ?? ?? 66 89 45 ?? B1 ?? 88 45 ?? 0F 57 C0 8A 45 ?? BE ?? ?? ?? ?? 32
C1 C7 45 ?? ?? ?? ?? ?? 0F 11 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? B8 ?? ?? ?? ?? F7 E6
6A ?? 68 ?? ?? ?? ?? 52 50 C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ?? ?? ?? C6 85 ?? ?? ??
?? ?? C6 85 ?? ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B C8 32 85
?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ??
8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8
?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ??
?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A
}
$find_shared_network_drives_p2 = {
68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ?? ?? ?? 8B C1
F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ?? 88 85 ?? ??
?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 8B C8 32 85 ?? ?? ?? ??
88 85 ?? ?? ?? ?? 8B C1 F7 E6 6A ?? 68 ?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 32 85 ?? ??
?? ?? 8D 4D ?? 88 85 ?? ?? ?? ?? 8D 51 ?? 0F 10 85 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ??
C7 45 ?? ?? ?? ?? ?? 0F 11 45 ?? C6 45 ?? ?? 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51
50 8D 4D ?? E8 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? B9 ?? ?? ?? ?? C6 45 ?? ??
0F 57 C0 89 8D ?? ?? ?? ?? 0F 11 45 ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 33 F6 C7 85 ??
?? ?? ?? ?? ?? ?? ?? BF ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 89 4D ?? 66 66 66
0F 1F 84 00 ?? ?? ?? ?? 8A 84 35 ?? ?? ?? ?? 32 C1 88 44 35 ?? 8B C1 F7 E7 6A ?? 68
?? ?? ?? ?? 52 50 E8 ?? ?? ?? ?? 46 8B C8 83 FE ?? 72 ?? 0F 10 45 ?? 8B BD ?? ?? ??
?? 8D 4D ?? C7 45 ?? ?? ?? ?? ?? 8D 51 ?? 0F 11 45 ?? C7 45 ?? ?? ?? ?? ?? C6 45 ??
?? 0F 1F 00 8A 01 41 84 C0 75 ?? 2B CA 8D 45 ?? 51 50 8D 4D ?? E8 ?? ?? ?? ?? BE ??
?? ?? ?? 89 B5 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? C6 45 ?? ?? 50 68 ?? ?? ?? ?? 6A ?? 6A
?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0 0F 85 ?? ?? ?? ?? 33 C9 89 8D ?? ?? ?? ??
8D 85 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? 50 51 FF B5 ?? ?? ?? ?? E8 ?? ?? ??
?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 84 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 85 FF 0F 84 ?? ?? ??
?? 8B CF C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84
}
$find_shared_network_drives_p3 = {
C0 75 ?? 2B CA 51 57 8D 4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 45 ?? FF 75 ?? 0F 43 45
?? 8D 4D ?? 50 C6 45 ?? ?? E8 ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7
45 ?? ?? ?? ?? ?? 83 CE ?? 51 0F 10 00 68 ?? ?? ?? ?? 6A ?? 0F 11 45 ?? 89 B5 ?? ??
?? ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40 ?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00
?? 8D 45 ?? 83 7D ?? ?? 0F 43 45 ?? 50 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B 55 ?? 85
C0 0F 94 85 ?? ?? ?? ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B
49 ?? 83 C2 ?? 2B C1 83 C0 ?? 83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4
?? 8B 55 ?? C7 45 ?? ?? ?? ?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? C6 45 ?? ?? 83 FA
?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ?? 2B C1 83 C0 ??
83 F8 ?? 0F 87 ?? ?? ?? ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 80 BD ?? ?? ?? ?? ?? 0F 84
?? ?? ?? ?? 33 C0 89 85 ?? ?? ?? ?? 0F 1F 84 00 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? C7 85
?? ?? ?? ?? ?? ?? ?? ?? 51 50 FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ??
?? 0F 84 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 8B CE C7 45 ?? ?? ??
?? ?? C7 45 ?? ?? ?? ?? ?? C6 45 ?? ?? 8D 51 ?? 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D
4D ?? E8 ?? ?? ?? ?? 83 7D ?? ?? 8D 75 ?? 8B 7D ?? BA ?? ?? ?? ?? 0F 43 75 ?? 33 C9
85 FF 74 ?? 0F 1F 40 ?? 0F B6 04 31 41 33 C2 69 D0 ?? ?? ?? ?? 3B CF 72 ?? 23 95 ??
?? ?? ?? 8B BD ?? ?? ?? ?? 8B 8D ?? ?? ?? ?? 89 95 ?? ?? ?? ?? 89 8D ?? ?? ?? ?? 8B
04 D7 8B F0 89 85 ?? ?? ?? ?? 66 0F 1F 44 00 ?? 3B C1 75 ?? 8B C1 EB ?? 8B 44 D7
}
$find_shared_network_drives_p4 = {
8B 00 3B F0 0F 84 ?? ?? ?? ?? 83 7D ?? ?? 8D 4E ?? 8B 79 ?? 8D 55 ?? 0F 43 55 ?? 83
79 ?? ?? 72 ?? 8B 09 3B 7D ?? 75 ?? 83 EF ?? 72 ?? 0F 1F 80 ?? ?? ?? ?? 8B 01 3B 02
75 ?? 83 C1 ?? 83 C2 ?? 83 EF ?? 73 ?? 83 FF ?? 74 ?? 8A 01 3A 02 75 ?? 83 FF ?? 74
?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A 41 ?? 3A 42 ?? 75 ?? 83 FF ?? 74 ?? 8A
41 ?? 3A 42 ?? 74 ?? 1B C0 83 C8 ?? EB ?? 33 C0 85 C0 74 ?? 8B 36 8B 95 ?? ?? ?? ??
8B 8D ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? E9 ?? ?? ?? ?? 8D 46 ?? 50 8D
45 ?? 50 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B BD ?? ?? ?? ?? 84 C0 0F 45 F7 EB ?? 8B
BD ?? ?? ?? ?? 8B F1 8D 4D ?? E8 ?? ?? ?? ?? 3B F7 0F 85 ?? ?? ?? ?? 8B B5 ?? ?? ??
?? 8D 7D ?? 83 7D ?? ?? 8B CE C7 45 ?? ?? ?? ?? ?? 0F 43 7D ?? C7 45 ?? ?? ?? ?? ??
C6 45 ?? ?? 8D 51 ?? 90 8A 01 41 84 C0 75 ?? 2B CA 51 56 8D 4D ?? E8 ?? ?? ?? ?? 8D
45 ?? C6 45 ?? ?? 50 8D 45 ?? 50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 6A ??
68 ?? ?? ?? ?? 8B C8 C6 45 ?? ?? E8 ?? ?? ?? ?? 83 8D ?? ?? ?? ?? ?? C7 45 ?? ?? ??
?? ?? C7 45 ?? ?? ?? ?? ?? 0F 10 00 0F 11 45 ?? F3 0F 7E 40 ?? 66 0F D6 45 ?? C7 40
?? ?? ?? ?? ?? C7 40 ?? ?? ?? ?? ?? C6 00 ?? FF B5 ?? ?? ?? ?? 8D 45 ?? C6 45 ?? ??
50 8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 83 78 ?? ?? 72 ??
8B 00 89 85 ?? ?? ?? ?? 68 ?? ?? ?? ?? C7 85 ?? ?? ?? ?? ?? ?? ?? ?? C7 85 ?? ?? ??
?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 0F 84 ?? ?? ?? ?? 8D 85 ?? ?? ??
?? 50 68 ?? ?? ?? ?? 6A ?? FF B5 ?? ?? ?? ?? 68 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
}
$find_shared_network_drives_p5 = {
75 ?? 66 66 0F 1F 84 00 ?? ?? ?? ?? 81 BD ?? ?? ?? ?? ?? ?? ?? ?? 73 ?? 8D 85 ?? ??
?? ?? 50 56 8D 85 ?? ?? ?? ?? 50 6A ?? 57 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 85 C0
74 ?? 56 3D ?? ?? ?? ?? 75 ?? 81 85 ?? ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? FF B5 ??
?? ?? ?? E8 ?? ?? ?? ?? 8B F0 83 C4 ?? 85 F6 75 ?? EB ?? E8 ?? ?? ?? ?? 83 C4 ?? 33
F6 FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 B5 ?? ?? ?? ?? E8 ?? ??
?? ?? 8D 4D ?? E8 ?? ?? ?? ?? 8D 8D ?? ?? ?? ?? E8 ?? ?? ?? ?? 8D 4D ?? C6 45 ?? ??
E8 ?? ?? ?? ?? 85 F6 74 ?? 8B BD ?? ?? ?? ?? 8B 4F ?? 39 4F ?? 74 ?? 8B D6 C7 41 ??
?? ?? ?? ?? C7 41 ?? ?? ?? ?? ?? C6 01 ?? 8D 7A ?? 0F 1F 80 ?? ?? ?? ?? 8A 02 42 84
C0 75 ?? 2B D7 52 56 E8 ?? ?? ?? ?? 8B 85 ?? ?? ?? ?? 83 40 ?? ?? EB ?? 8D 85 ?? ??
?? ?? 50 51 8B CF E8 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 8B 30 8D 85 ?? ?? ?? ?? 50 8B 7E ?? 57 56 E8 ?? ?? ??
?? 8B 8D ?? ?? ?? ?? 8B D0 B8 ?? ?? ?? ?? 2B C1 83 F8 ?? 0F 82 ?? ?? ?? ?? 41 89 8D
?? ?? ?? ?? 8D 8D ?? ?? ?? ?? 89 56 ?? 89 17 8B 85 ?? ?? ?? ?? 8B 00 50 83 C0 ?? 50
8D 85 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 8B 85
?? ?? ?? ?? 40 89 85 ?? ?? ?? ?? 83 F8 ?? 0F 82 ?? ?? ?? ?? 8B B5 ?? ?? ?? ?? 8B BD
?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 8B 8D ?? ?? ?? ?? 41 89 8D ?? ?? ?? ?? 81 F9
?? ?? ?? ?? 0F 82 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? FF 15 ?? ?? ?? ?? 8B BD ?? ?? ?? ??
8B 55 ?? 83 FA ?? 72 ?? 8B 4D ?? 42 8B C1 81 FA ?? ?? ?? ?? 72 ?? 8B 49 ?? 83 C2 ??
2B C1 83 C0 ?? 83 F8 ?? 77 ?? 52 51 E8 ?? ?? ?? ?? 83 C4 ?? 8B 55 ?? C7 45
}
$overwrite_files_1 = {
55 8B EC 83 EC ?? 53 8B 5D ?? 56 8B 75 ?? 53 56 FF 75 ?? 89 5D ?? E8 ?? ?? ?? ?? 83
C4 ?? 3B C6 0F 85 ?? ?? ?? ?? 3B D3 0F 85 ?? ?? ?? ?? 57 8B 7D ?? 33 C0 89 45 ?? 85
FF 0F 84 ?? ?? ?? ?? 8B DE 6A ?? FF 75 ?? FF 77 ?? FF 77 ?? E8 ?? ?? ?? ?? 8B FA 8B
F0 8B 45 ?? 57 56 FF 75 ?? 89 45 ?? E8 ?? ?? ?? ?? 8B 4D ?? 83 C4 ?? 03 DE 89 45 ??
8B C2 13 CF 89 45 ?? 39 5D ?? 75 ?? 3B C1 75 ?? 8B 7D ?? 33 F6 8B 1F 0F AF 5D ?? 85
DB 74 ?? 8B 45 ?? 8B FB 2B FE 3B C7 0F 42 F8 57 FF 75 ?? FF 75 ?? E8 ?? ?? ?? ?? 8B
45 ?? 83 C4 ?? 03 F7 80 7D ?? ?? 75 ?? 3B F0 74 ?? 3B F3 72 ?? 8B 7D ?? 8B 45 ?? 8B
5D ?? 01 75 ?? 50 53 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C3 75 ?? 3B 55 ?? 75 ?? 8B
7F ?? 89 7D ?? 85 FF 0F 85 ?? ?? ?? ?? 8B 45 ?? 5F 5E 5B 8B E5 5D C3
}
$overwrite_files_2 = {
55 8B EC 81 EC ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C5 89 45 ?? 53 56 8B 75 ?? 8D 85 ?? ??
?? ?? 57 68 ?? ?? ?? ?? 6A ?? 32 DB 50 89 9D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? C7
85 ?? ?? ?? ?? ?? ?? ?? ?? 83 7E ?? ?? 72 ?? 8B 36 56 E8 ?? ?? ?? ?? 8B F8 83 C4 ??
83 FF ?? 0F 84 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 89 85 ?? ?? ?? ?? 85 C0 0F 84
?? ?? ?? ?? 80 B8 ?? ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B F0 83 C4 ??
89 B5 ?? ?? ?? ?? 85 F6 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 33 DB E8 ?? ?? ?? ?? 83 C4
?? 89 85 ?? ?? ?? ?? 85 C0 0F 84 ?? ?? ?? ?? 68 ?? ?? ?? ?? 53 50 E8 ?? ?? ?? ?? 53
68 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 85 D2 75 ?? 68 ?? ??
?? ?? FF B5 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 75 ?? 50 E8 ?? ??
?? ?? 8B D8 83 C4 ?? 85 DB 74 ?? 68 ?? ?? ?? ?? 6A ?? 53 E8 ?? ?? ?? ?? 56 E8 ?? ??
?? ?? 8B F0 8B C2 50 56 57 89 85 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 ?? 3B C6 75 ?? 3B
95 ?? ?? ?? ?? 75 ?? 68 ?? ?? ?? ?? 53 57 E8 ?? ?? ?? ?? 83 C4 ?? FF B5 ?? ?? ?? ??
E8 ?? ?? ?? ?? 83 C4 ?? 85 DB 74 ?? 53 E8 ?? ?? ?? ?? 83 C4 ?? 8B 9D ?? ?? ?? ?? 6A
?? 6A ?? 57 E8 ?? ?? ?? ?? 83 C4 ?? 0B C2 75 ?? 68 ?? ?? ?? ?? 50 8D 85 ?? ?? ?? ??
50 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4 ?? 0F
B6 DB 3D ?? ?? ?? ?? B9 ?? ?? ?? ?? 0F 44 D9 8B B5 ?? ?? ?? ?? FF B5 ?? ?? ?? ?? E8
?? ?? ?? ?? 83 C4 ?? 85 F6 74 ?? 56 E8 ?? ?? ?? ?? 83 C4 ?? 57 E8 ?? ?? ?? ?? 83 C4
?? 8B 4D ?? 8A C3 5F 5E 33 CD 5B E8 ?? ?? ?? ?? 8B E5 5D C3 6A ?? 68 ?? ?? ?? ?? 57
E8 ?? ?? ?? ?? 83 C4 ?? 3D ?? ?? ?? ?? 0F 85 ?? ?? ?? ?? 85 D2 0F 85 ?? ?? ?? ?? 50
8D 85 ?? ?? ?? ?? 50 57 E8 ?? ?? ?? ?? 83 C4
}
condition:
uint16(0) == 0x5A4D and
(
all of ($find_volumes_p*)
) and
(
all of ($find_files_p*)
) and
(
all of ($find_shared_network_drives_p*)
) and
(
all of ($overwrite_files_*)
)
}