Mirrors/reversinglabs-reversinglabs-yara-rules
1
0
Fork 0
mirror of https://github.com/reversinglabs/reversinglabs-yara-rules synced 2026-06-11 03:01:18 +00:00
Code Issues Packages Projects Releases Wiki Activity
Files
b41a08d021951f453cc8c93b39515a6db0599330
reversinglabs-reversinglabs…/yara/infostealer/Win64.Infostealer.Skuld.yara
T
Software Developer e3267cfb8a Added new YARA rules.
2025-06-10 11:00:01 +02:00

192 lines
14 KiB
Plaintext
Raw Blame History

rule Win64_Infostealer_Skuld : tc_detection malicious
{
meta:
author = "ReversingLabs"
source = "ReversingLabs"
status = "RELEASED"
sharing = "TLP:WHITE"
category = "MALWARE"
malware = "SKULD"
description = "Yara rule that detects Skuld infostealer."
tc_detection_type = "Infostealer"
tc_detection_name = "Skuld"
tc_detection_factor = 5
strings:
$get_mac_address = {
4C 8D 64 24 ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ?? ?? E8 ??
?? ?? ?? 90 48 85 FF 75 ?? EB ?? 31 C0 31 DB 48 89 F9 48 89 F7 48 81 C4 ?? ?? ?? ??
5D C3 48 83 C0 ?? 48 FF CB 48 85 DB 0F 8E ?? ?? ?? ?? 0F 10 00 0F 11 44 24 ?? 0F 10
40 ?? 0F 11 44 24 ?? 0F 10 40 ?? 0F 11 84 24 ?? ?? ?? ?? 0F 10 40 ?? 0F 11 84 24 ??
?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 0F BA E2 ?? 90 73 ?? 48 83 BC 24 ?? ?? ?? ?? ?? 74
?? 31 C9 EB ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 31 DB
31 C9 E8 ?? ?? ?? ?? 48 8B 5C 24 ?? 89 C1 48 8B 84 24 ?? ?? ?? ?? 83 F1 ?? EB ?? 31
C9 84 C9 0F 84 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 85 D2 74 ?? 48 89 54 24 ?? 48
8D 0C 52 48 8D 49 ?? 48 89 4C 24 ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 B4 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 31 DB E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B 74 24 ?? 48
8B 7C 24 ?? 31 C9 31 DB EB ?? 31 C0 31 C9 EB ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ??
31 C9 31 FF 48 89 FE 0F 1F 44 00 ?? E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 31 C0 31 DB 48
81 C4 ?? ?? ?? ?? 5D C3 48 89 C3 31 FF 48 89 C8 31 C9 48 81 C4 ?? ?? ?? ?? 5D C3 44
88 44 03 ?? 48 FF C1
}
$find_files_p1 = {
4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
?? 48 89 B4 24 ?? ?? ?? ?? 48 89 BC 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C
24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84
24 ?? ?? ?? ?? 48 C7 40 ?? ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 89 5C 24 ?? 31 C9 EB ?? 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48
8B 4C 24 ?? 48 FF C1 48 8B 5C 24 ?? 0F 1F 84 00 ?? ?? ?? ?? 48 39 CB 0F 8E ?? ?? ??
?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 53 ?? 48 89 94 24 ?? ?? ?? ?? 4C 8B
00 4C 89 44 24 ?? 4C 8B 48 ?? 4C 89 8C 24 ?? ?? ?? ?? 48 39 D1 75 ?? 31 C0 48 8B 9C
24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? E8 ?? ??
?? ?? 66 90 EB ?? 31 C0 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ??
?? ?? ?? BE ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8B
4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 8B 8C 24 ?? ?? ?? ?? 48 85 C9
48 8B 94 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 0F 45 D3 48 89 54 24 ?? 48 8B 9C 24 ?? ??
?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 0F 45 DF 48 89 9C 24 ?? ?? ?? ?? 84 C0 0F 84 ?? ??
?? ?? 48 8B 4C 24 ?? 48 8B 51 ?? 48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ??
?? 48 89 9C 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48
8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24
?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ??
E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24
}
$find_files_p2 = {
41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B
94 24 ?? ?? ?? ?? 48 39 D1 0F 85 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24
?? ?? ?? ?? FF D1 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24
?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ??
48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ??
?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ??
?? E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ??
?? ?? 48 8D 3D ?? ?? ?? ?? BE ?? ?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48
8B B4 24 ?? ?? ?? ?? 41 B8 ?? ?? ?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24
?? E8 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 11 90 66 90 48 85 D2 74 ?? 48 39 D1
74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49
89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41 ?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C
89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89
DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ?? ?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49
89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89
}
$find_files_p3 = {
8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8
?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24
?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ?? ?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8
?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49 89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9
?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 44 0F 11 BC 24
?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ??
?? 48 8B 94 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84
24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 89
84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 84 24 ??
?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8D 3D ?? ?? ?? ?? BE ??
?? ?? ?? 31 C0 E8 ?? ?? ?? ?? 48 89 C1 48 89 DF 48 8B B4 24 ?? ?? ?? ?? 41 B8 ?? ??
?? ?? 4D 89 C1 48 8B 84 24 ?? ?? ?? ?? 48 8B 5C 24 ?? E8 ?? ?? ?? ?? 48 8B 8C 24 ??
?? ?? ?? 48 8B 11 90 48 85 D2 74 ?? 48 39 D1 74 ?? E9 ?? ?? ?? ?? 83 3D ?? ?? ?? ??
?? 74 ?? E8 ?? ?? ?? ?? 49 89 0B 48 8B 11 49 89 53 ?? 48 89 09 48 8B 51 ?? 4C 8B 41
?? 4E 8D 0C 03 4C 8B 51 ?? 4C 39 CA 73 ?? 4C 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? 48
89 84 24 ?? ?? ?? ?? 4C 89 D0 48 89 D1 48 89 DF 48 8D 35 ?? ?? ?? ?? 4C 89 CB E8 ??
?? ?? ?? 4C 8B 84 24 ?? ?? ?? ?? 49 89 C2 49 89 D9 48 89 CA 48 8B 84 24 ?? ?? ?? ??
48 8B 5C 24 ?? 4C 89 94 24 ?? ?? ?? ?? 4C 89 8C 24 ?? ?? ?? ?? 48 89 94 24 ?? ?? ??
?? 4B 8D 34 02 48 89 D9 48 89 C3 48 89 F0 E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 48
}
$find_files_p4 = {
8B B4 24 ?? ?? ?? ?? 48 89 56 ?? 48 8B 94 24 ?? ?? ?? ?? 48 89 56 ?? 83 3D ?? ?? ??
?? ?? 75 ?? 48 8B 94 24 ?? ?? ?? ?? EB ?? E8 ?? ?? ?? ?? 48 8B 94 24 ?? ?? ?? ?? 49
89 13 4C 8B 46 ?? 4D 89 43 ?? 48 89 56 ?? E9 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 51 ??
48 8B 84 24 ?? ?? ?? ?? FF D2 48 89 84 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 8B
4C 24 ?? 48 8B 49 ?? 48 8B 84 24 ?? ?? ?? ?? FF D1 48 89 44 24 ?? 44 0F 11 BC 24 ??
?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 5C 24 ?? 48 8B
84 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89
84 24 ?? ?? ?? ?? 48 8B 84 24 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48
8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 54 24 ?? 0F
57 C0 F2 48 0F 2A C2 F2 0F 10 0D ?? ?? ?? ?? F2 0F 59 C1 66 48 0F 7E C0 0F 1F 40 ??
E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ??
48 8D 05 ?? ?? ?? ?? 48 8B 9C 24 ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D B4 24 ?? ?? ?? ??
41 B8 ?? ?? ?? ?? 4D 89 C1 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B B4 24 ?? ?? ??
?? E9 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 8B 41 ?? 48 89 C2 48 F7 DA 48 8B 59 ??
90 48 39 D3 77 ?? 48 81 FB ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 0F 4F D9 48 8D 0D ?? ?? ??
?? 48 0F 4F C1 48 81 C4 ?? ?? ?? ?? 5D C3
}
$take_screenshot_p1 = {
4C 8D A4 24 ?? ?? ?? ?? 4D 3B 66 ?? 0F 86 ?? ?? ?? ?? 55 48 89 E5 48 81 EC ?? ?? ??
?? 0F 1F 00 E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 89 5C 24 ?? B8 ?? ?? ?? ?? E8
?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48
89 8C 24 ?? ?? ?? ?? 48 8B 8C 24 ?? ?? ?? ?? 48 89 8C 24 ?? ?? ?? ?? 48 89 9C 24 ??
?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8
?? ?? ?? ?? 48 89 44 24 ?? 48 89 5C 24 ?? B9 ?? ?? ?? ?? 90 E8 ?? ?? ?? ?? 48 8D BC
24 ?? ?? ?? ?? 48 8D 7F ?? 66 0F 1F 84 00 ?? ?? 00 00 66 0F 1F 44 00 ?? 48 89 6C 24
?? 48 8D 6C 24 ?? E8 ?? ?? ?? ?? 48 8B 6D ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48
8D 05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D
05 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05
?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ??
?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 C7 84 24 ?? ?? ?? ?? ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? BB ?? ?? ?? ?? 48 8D 8C 24 ?? ??
?? ?? BF ?? ?? ?? ?? 48 89 FE E8 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? E8 ?? ?? ?? ?? C6 00 ?? 48 8B 8C 24 ?? ?? ?? ?? 84 01 83 3D ?? ?? ?? ?? ?? 75
?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 49 89 03 48 8B 91 ?? ?? ?? ?? 49 89 53 ?? 48
}
$take_screenshot_p2 = {
8B 54 24 ?? 49 89 53 ?? 48 8B 59 ?? 49 89 5B ?? 48 89 81 ?? ?? ?? ?? 48 8B 5C 24 ??
48 89 59 ?? 48 89 51 ?? 48 89 C8 E8 ?? ?? ?? ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? E8 ??
?? ?? ?? 0F 1F 44 00 ?? 48 85 FF 75 ?? 31 C9 31 D2 31 F6 EB ?? 31 C0 31 DB 48 89 D9
48 81 C4 ?? ?? ?? ?? 5D C3 48 89 04 3E 48 8B 84 24 ?? ?? ?? ?? 48 83 C0 ?? 48 8B 5C
24 ?? 48 FF CB 48 89 D7 48 89 F2 48 89 FE 66 90 48 85 DB 0F 8E ?? ?? ?? ?? 48 89 5C
24 ?? 48 89 94 24 ?? ?? ?? ?? 48 89 4C 24 ?? 48 89 84 24 ?? ?? ?? ?? 48 8B 08 48 8B
50 ?? 48 8D 5E ?? 48 89 5C 24 ?? 48 8B 49 ?? 48 89 D0 FF D1 44 0F 11 BC 24 ?? ?? ??
?? 44 0F 11 BC 24 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 89 8C 24 ?? ?? ?? ?? 48 8B 54 24 ??
48 89 94 24 ?? ?? ?? ?? 48 89 9C 24 ?? ?? ?? ?? 48 89 84 24 ?? ?? ?? ?? 48 8D 84 24
?? ?? ?? ?? BB ?? ?? ?? ?? 48 89 D9 E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 48 8B 54 24 ?? 48
39 D1 72 ?? 48 8B B4 24 ?? ?? ?? ?? EB ?? 48 89 44 24 ?? 48 89 5C 24 ?? 48 8B 84 24
?? ?? ?? ?? 48 89 D3 BF ?? ?? ?? ?? 48 8D 35 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 C6 48
89 DA 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8D 7A ?? 48 C1 E7 ?? 48 89 5C 3E ?? 83 3D ??
?? ?? ?? ?? 0F 84 ?? ?? ?? ?? E8 ?? ?? ?? ?? 49 89 03 4C 8B 04 3E 4D 89 43 ?? E9 ??
?? ?? ?? 48 89 D0 48 89 F3 48 81 C4 ?? ?? ?? ?? 5D C3
}
$get_discord_backup_codes = {
48 89 44 24 ?? 48 8D 1D ?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B BC 24 ?? ?? ?? ?? 48 8B B4
24 ?? ?? ?? ?? 49 89 D8 49 89 C9 31 C0 E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ??
48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ??
?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 66 90 75 ?? 48 8B 54 24 ?? EB
?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 8B 58 ?? 49 89 5B ?? 48 89 50 ?? E8 ??
?? ?? ?? 48 89 44 24 ?? 48 89 C3 48 8D 0D ?? ?? ?? ?? BF ?? ?? ?? ?? 48 8D 05 ?? ??
?? ?? E8 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? 48 89 08 83 3D ?? ?? ?? ?? ?? 74 ?? 48 8B
50 ?? 66 90 E8 ?? ?? ?? ?? 49 89 13 48 8D 15 ?? ?? ?? ?? 48 89 50 ?? 31 C0 48 8D 1D
?? ?? ?? ?? B9 ?? ?? ?? ?? 48 8B 7C 24 ?? 48 8B 74 24 ?? 49 89 D8 49 89 C9 E8 ?? ??
?? ?? E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ?? ?? ??
?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ?? ?? ??
?? ?? 75 ?? 48 8B 4C 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 4C 24 ?? 49 89 0B 48 8B 50 ??
49 89 53 ?? 48 89 48 ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 3D ?? ?? ?? ?? ?? 75
?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 48 89 10 BB ?? ?? ??
?? 48 89 D9 E8 ?? ?? ?? ?? 48 89 44 24 ?? 48 8B 5C 24 ?? 48 8D 0D ?? ?? ?? ?? BF ??
?? ?? ?? 48 8D 05 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8D 15 ?? ?? ?? ?? 48 89 10 83 3D ??
?? ?? ?? ?? 75 ?? 48 8B 54 24 ?? EB ?? E8 ?? ?? ?? ?? 48 8B 54 24 ?? 49 89 13 4C 8B
48 ?? 4D 89 4B ?? 48 89 50 ?? 48 8B 44 24 ?? 48 8B 5C 24 ?? 48 8B 4C 24 ?? 31 FF 31
F6 49 89 F0 E8 ?? ?? ?? ?? 31 C0 31 DB 48 83 C4 ?? 5D C3
}
condition:
uint16(0) == 0x5A4D and
(
$get_mac_address
) and
(
all of ($find_files_p*)
) and
(
all of ($take_screenshot_p*)
) and
(
$get_discord_backup_codes
)
}
Reference in New Issue View Git Blame Copy Permalink