😀看到网上爆出 clash-verge 存在提权漏洞，简单复现下。https://github.com/clash-verge-rev/clash-verge-rev/issues/34280x00 定位漏洞已知是提权到system的漏洞，那直接看 service 相关代码就好。在clash-verge-rev/src-tauri/src/core/service.rs可以看到33211端口有 http 服务存在 4 个 api 接口并且没有任何鉴权机制。/start_clash启动Clash核心，接受POST请求，需要在请求体中提供JSON格式的配置信息，包含以下参数：core_type: 核心类型（如"verge-mihomo"）bin_path: 二进制文件路径config_dir: 配置目录路径config_file: 配置文件路径log_file: 日志文件路径一看就很有问题，文件路径是自己指定的，用powershell请求下试试看下任务管理器，system权限的notepad进程已经启动了。启动参数如下：利用cmd的一些特性，可以构造如下参数执行任意命令。0x01 进一步分析和之前 clash 的漏洞一样，尝试使用浏览器js访问，不过不同于 clash 的api，服务的 api 受到 CORS的限制，不允许读取响应以及不允许设置Content-Type为applicat ...继续阅读 (3)

👩‍💻趁着国补搞了个 联想来酷mini pro。刷了 PVE，虚拟出来几个环境用来开发和调试程序。 AMD Ryzen 7 8745H 的核显性能也还凑合，于是决定搞个显卡直通，串流到平板玩些配置不高的游戏。0x01 提取bios也是离谱，这款产品在官网下载不到bios，找客服也要不到bios，实在很难想象是联想的产品，大概率是个贴牌玩意。提取参考文章提取出来的成品rom如下：8745_vbios.rom98.0KB0x02编辑grub、添加设备黑名单修改/etc/default/grub编辑以下内容更新grub：修改/etc/modprobe.d/pve-blacklist.conf添加以下内容更新initramfs：现在PVE重启后应该没有正常的视频输出了，这是正常的。0x03 创建、配置虚拟机将 rom 放到/usr/share/kvm/目录添加显卡、声卡添加 USB 键鼠修改引导顺序编辑虚拟机配置文件/etc/pve/qemu-server/102.conf修改hostpci0: 0000:c5:00.0,pcie=1,x-vga=1这一行为0x04 安装win10正常安装系统，注意需要安装 virtio 驱动来访问硬盘，连接网络。0x05 配置win10安装显卡驱动amd官方下载并安装安装bug修复补丁https://github.com/inga-lovinde/Rad ...继续阅读 (7)

0x00 起因一般我很少折腾系统，买来的火影7840HS笔记本系统用了一年了没怎么管过，但最近自动升级到 win11 2024.2 之后，出现了各种奇怪的bug。浏览器经常有一块页面卡住不动虚拟机离开一会后图像就会卡住电脑锁屏后过段时间再解锁wifi会不可用间歇性极短时间花屏更新了各种驱动也无济于事，于是决定重新安装下系统，听说IoT版本比较稳定，于是尝试切换到Windows 11 IoT Enterprise LTSC。因为从事安全工作，个人一直习惯虚拟机开发，虚拟机调试，实体机只用来开办公软件和浏览器，所以对实体机环境依赖比较少，能够稳定运行即可。如果是要在实体机开发、游戏的话，需要考虑下 IoT 版本是否阉割掉了必要的依赖。0x01制作启动 U 盘镜像下载地址：‣镜像用 rufus 写入 U 盘，全都默认配置就好。https://rufus.ie/zh/0x02 进入 BIOS 修改启动顺序火影的笔记本是开机时按 F2 进入，不同主机可能会有不同。将 USB 设为首选启动项。0x03 安装全程英文操作，与普通系统安装操作逻辑是一样的，选择Windows 11 IoT Enterprise LTSC版本。安装完无法联网，安装从笔记本官网下载的驱动。0x04 配置中文IoT Enterprise LTSC 版本不自带中文，需要额外配置。0x05 安装必要软件scoopltsc不带 ...继续阅读 (4)

0x00 前言OSEP 感觉就像 OSCP 的加强版，主要是增加了防御规避和域渗透的内容，感觉有打靶经验的人可以跳过 OSCP 直接学习 OSEP。0x01 课程内容OSEP 课程使用 C# 来开发工具，但并非一定要具备 C# 代码能力才能通过考试。网上有许多现成的代码可以使用（如：https://github.com/In3x0rabl3/OSEP/tree/main），也可以使用自己熟悉的语言来完成考试和课程。通过开发工具，可以了解一些常用windows黑客工具的底层原理。OSEP的防御规避知识非常初级，基本还是使用静态免杀的各种手段，这对对抗现代的杀软、EDR等产品基本没有效果。因为OSEP的课程是2021年出的，所以不涉及近几年的域攻击手段，如果只是为了学域，那更推荐 hackthebox academy。课程使用的C2 是 Metasploit ，考试中可以使用任意非商业版C2，这也有点偏离实际红队工作，不如使用 Cobalt Strike 的 CRTO 。如果为了学习红队工具的使用，而不关心原理，那选择 CRTO 更合适。0x02 课程 + LAB2.1 网络环境这次使用了白嫖的 3个月 gcp 进行 LAB 及考试，地区选择的台湾，比直连和一般的代理流畅。服务器 dd 成kali系统，rdp 端口用 ssh 转发到本地，其他攻击全部在服务器上操作。飞一般的感觉，再也不 ...继续阅读 (4)

0x00 混淆代码对于 powershell 绕过 AMSI 来说，混淆代码是绕过 AMSI 最基础的步骤，因为大部分绕过方法还是要执行 AMSI 语句，这个用来绕过的语句本身也是要被 AMSI 检测的，所以要对这个绕过语句进行混淆处理。这块严格来说不是绕过 AMSI，而是绕过 AMSI 对接的安全产品的规则，自带的 windows defender 的规则非常容易绕过。攻击姿势经过简单的分割测试，可以确定有如下规则字符串'AmsiUtils'字符串'amsiInitFailed'同时出现[Ref].Assembly.GetTypeGetFieldSetValue($null,$true)powershell 语法极为灵活，下面简单列举几种绕过的方法。使用 like 避免出现完整字符串 + 拆分成多条语句避免同时出现关键字对方法名进行字符串拼接拆分成变量除了手动混淆，也可以使用专门的混淆工具，如：https://github.com/danielbohannon/Invoke-Obfuscation不过要注意，一些混淆手法是对命令进行加密，再利用Invoke-Expression执行解密的命令，这样是无法绕过 AMSI 的，因为Invoke-Expression执行的命令将会被 AMSI 检测，效果如下：检测方法对于分割绕过，可以将同一 po ...继续阅读 (6)

0x00 混淆代码对于 powershell 绕过 AMSI 来说，混淆代码是绕过 AMSI 最基础的步骤，因为大部分绕过方法还是要执行 AMSI 语句，这个用来绕过的语句本身也是要被 AMSI 检测的，所以要对这个绕过语句进行混淆处理。这块严格来说不是绕过 AMSI，而是绕过 AMSI 对接的安全产品的规则，自带的 windows defender 的规则非常容易绕过。攻击姿势经过简单的分割测试，可以确定有如下规则字符串'AmsiUtils'字符串'amsiInitFailed'同时出现[Ref].Assembly.GetTypeGetFieldSetValue($null,$true)powershell 语法极为灵活，下面简单列举几种绕过的方法。使用 like 避免出现完整字符串 + 拆分成多条语句避免同时出现关键字对方法名进行字符串拼接拆分成变量除了手动混淆，也可以使用专门的混淆工具，如：https://github.com/danielbohannon/Invoke-Obfuscation不过要注意，一些混淆手法是对命令进行加密，再利用Invoke-Expression执行解密的命令，这样是无法绕过 AMSI 的，因为Invoke-Expression执行的命令将会被 AMSI 检测，效果如下：检测方法对于分割绕过，可以将同一 po ...继续阅读 (6)

0x00 基础参考项目：https://github.com/microsoft/Windows-classic-samples/tree/main/Samples/AmsiProvider分析源代码发现SampleAmsiProvider类实现了IAntimalwareProvider接口。Scan方法实现了扫描逻辑。CloseSession方法用于关闭会话。DisplayName方法返回提供者的显示名称。Scan接收IAmsiStream作为参数，其有两个方法：GetAttribute() 和 Read()。GetAttribute() 方法获取有关待扫描内容的元数据。开发人员通过传递一个 AMSI_ATTRIBUTE 值来请求这些属性，该值指示他们希望检索的信息。APP_NAME提交要扫描的内容的应用程序的名称CONTENT_NAME如果内容源自磁盘上的文件，则该contentname为文件的完整路径。如果内容源自内存，则此字段将为空。AMSI_ATTRIBUTE_CONTENT_SIZE、AMSI_ATTRIBUTE_CONTENT_ADDRESS待扫描内容的地址和大小，可以通过这两个值取出待扫描内容。一般需要检测的只有DotNet和VSS事件是二进制数据。coreclr也是二进制数据，但我感觉 EDR 没有检测的必要。只有当内容已经完全加载到内存中时才会返回 AMSI_A ...继续阅读 (6)

0x00 基础参考项目：https://github.com/microsoft/Windows-classic-samples/tree/main/Samples/AmsiProvider分析源代码发现SampleAmsiProvider类实现了IAntimalwareProvider接口。Scan方法实现了扫描逻辑。CloseSession方法用于关闭会话。DisplayName方法返回提供者的显示名称。Scan接收IAmsiStream作为参数，其有两个方法：GetAttribute() 和 Read()。GetAttribute() 方法获取有关待扫描内容的元数据。开发人员通过传递一个 AMSI_ATTRIBUTE 值来请求这些属性，该值指示他们希望检索的信息。APP_NAME提交要扫描的内容的应用程序的名称CONTENT_NAME如果内容源自磁盘上的文件，则该contentname为文件的完整路径。如果内容源自内存，则此字段将为空。AMSI_ATTRIBUTE_CONTENT_SIZE、AMSI_ATTRIBUTE_CONTENT_ADDRESS待扫描内容的地址和大小，可以通过这两个值取出待扫描内容。一般需要检测的只有DotNet和VSS事件是二进制数据。coreclr也是二进制数据，但我感觉 EDR 没有检测的必要。只有当内容已经完全加载到内存中时才会返回 AMSI_A ...继续阅读 (4)

0x00 什么是AMSIAMSI 全称Antimalware Scan Interface，反恶意软件扫描接口，是微软为了对抗无文件攻击而开发的安全组件。历史上，杀毒引擎和 EDR 产品在对抗基于文件的恶意软件方面较为有效，但内存中的恶意代码一直是一个具有挑战性的盲点。在没有 AMSI 之前，安全 厂商要想检测在内存中执行的代码，需要将检测代码注入到待检测的程序中，这显然并不容易实现，并且随着系统更新需要不断对实现方式进行维护。微软认识到需要改进内存中的检测能力，同时提供一个稳定的接口供自己和第三方供应商使用。由此产生的就是反恶意软件扫描接口（AMSI）。AMSI 实质上是一个管道，把 powershell 或者其他程序执行的代码传送给防病毒程序进行检测，微软设计的初衷是希望各种程序都可以接入 AMSI ，现在一般情况下只有微软开发的程序接入了 AMSI。本体是c:\\windows\\system32\\amsi.dll它提供了通用的标准接口（COM接口、Win32 API），API是为接入 AMSI 的程序提供的，COM 接口是为防病毒厂商提供的。可以使用以下命令获取接入了 AMSI 的 exe 及 dll 文件。接入了 AMSI 接口的程序如下：PowerShell（>2.0）：由System.Management.Automation.dll实现VBScript：由vbsc ...继续阅读 (6)

0x00 什么是AMSIAMSI 全称Antimalware Scan Interface，反恶意软件扫描接口，是微软为了对抗无文件攻击而开发的安全组件。历史上，杀毒引擎和 EDR 产品在对抗基于文件的恶意软件方面较为有效，但内存中的恶意代码一直是一个具有挑战性的盲点。在没有 AMSI 之前，安全 厂商要想检测在内存中执行的代码，需要将检测代码注入到待检测的程序中，这显然并不容易实现，并且随着系统更新需要不断对实现方式进行维护。微软认识到需要改进内存中的检测能力，同时提供一个稳定的接口供自己和第三方供应商使用。由此产生的就是反恶意软件扫描接口（AMSI）。AMSI 实质上是一个管道，把 powershell 或者其他程序执行的代码传送给防病毒程序进行检测，微软设计的初衷是希望各种程序都可以接入 AMSI ，现在一般情况下只有微软开发的程序接入了 AMSI。本体是c:\\windows\\system32\\amsi.dll它提供了通用的标准接口（COM接口、Win32 API），API是为接入 AMSI 的程序提供的，COM 接口是为防病毒厂商提供的。可以使用以下命令获取接入了 AMSI 的 exe 及 dll 文件。接入了 AMSI 接口的程序如下：PowerShell（>2.0）：由System.Management.Automation.dll实现VBScript：由vbsc ...继续阅读 (4)

0x00 前言淘汰了用了5年的 macbook pro，换上了 7840 笔记本，所以需要重新部署下开发环境。我习惯使用虚拟化环境作为开发环境，这样更便于备份还原、迁移等操作，在 macos 上使用虚拟机作为开发环境，来到 windows 想尝试下所谓最好的 Linux 发行版 wsl2。关于 wsl2 和 wsl1的选择 wsl2 优点是拥有完整的 Linux 内核，缺点是跨 OS 文件系统的性能非常拉跨，即从linux访问windows系统文件速度比wsl1慢不少。其次，wsl2会导致系统变为虚拟化环境，使 vmvare 的 vT-x 功能不可用，对安全人员最直接的影响就是虚拟机开启不了核晶了。 我使用 vT-x 比较少，所以需要使用 vT-x 的时候关闭 wsl 即可，如果用的多还是选择 wsl1 吧。0x01 安装 WSL2配置好系统代理，使用管理员权限打开 powershell，运行以上命令默认安装 Ubuntu ，可以使用wsl --list --online以查看可用发行版列表并运行wsl --install -d指定发行版。Ubuntu 是目前适配最好的子系统，仅作为开发用途用这个就挺好。虽然有提供 kali 的子系统，但我已经有配置好的 kali 虚拟机了，并且我认为攻击环境还是选择隔离效果更强的虚拟机好些。重启系统后会弹出设置用户名及密码的页面。考虑到现在 vs ...继续阅读 (2)

0x00 前言先说一下报名考试前个人的情况。非科班出身，专业与计算机无关。工作从事蓝队相关，从业时间一年半，有少量渗透及红队经历，熟悉红队攻击理论知识，但是操作起来就原形毕露了，工具都不咋熟，只能面向谷歌渗透。刷过一个月 HTB OSCP like 靶机，打了13台，不过由于和报考OSCP隔了5个月，基本已经忘干净了。本来有报名OSCP前刷下PG和HTB的打算，但是想了想，如果想考OSCP，还是直接上手OSCP的练习比较好，如果学完觉得不够再考虑刷别的靶场。0x01 额外准备1.1 证件考试需要英文有效证件，最便宜的应该是办护照，最快的应该是淘宝身份证公证。报名时是不需要证件的，考试时才需要出示，加上现在培训时间最短三个月，所以没特殊情况无脑选护照就行了。1.2 网络OSCP的靶场和考试环境是可以直连的，但是在我所在的地区直连的体验只能说非常一般。延时注入慢的吐血，端口扫描速度快了丢端口，速度慢了扫半天，非常难受。所以，一个好的网络环境对于考这些国外认证是非常有帮助的。我使用了两种方案进行学习，在家使用软路由方案，在外使用clash方案。使用软路由方案时，注意UDP代理一定要配上，因为OSCP提供的VPN走的就是UDP。使用clash方案时，在ovpn文件里加上如下格式的内容就可以让他走本机的clash了。机场选择上，选择稳定低延迟和支持 UDP就好，带宽倒不是特别重要。（可以参考 ...继续阅读 (17)

🌴南宁市，素有“绿城”之美誉，简称“邕”，古称邕州。虽然是首府，但这座城市的存在感相对较弱，很少有游客专程前来游览，大多数时候只作为前往桂林、北海等旅游胜地的中转站。然而，缘于工作机缘，我踏上了这片充满绿意的土地。丰富的夜生活人们喜欢夜间生活，这是南方城市的特色。南宁夜生活最具特色的便是热闹的夜市。除了琅东、琅西、建政路等著名夜市外，城市中还散布着许多不为地图标注的小型夜市。当夜幕降临，约在晚上 9 点左右，三轮车和私家车纷纷驶入小巷，摇身一变成为琳琅满目的小摊。根据我的观察，这些小摊吸引了众多客流，许多下班的打工人都会在此品尝美食，共享夜宵时光。小巷夜市走出便是高楼大厦，给人一种错乱感。小巷夜市中最常见的便是炒粉、螺蛳粉、卤味、糖水。尽管小巷夜市的美食可能并不算顶级美味，但这里的独特氛围却给人一种地道的当地生活体验。周围的居民聚集在简陋的小摊旁，品尝着热腾腾的小吃，谈笑风生。西瓜糖水（6 元）肉炒粉（8 元）卤鸭腿（8 元）继续漫步在南宁的夜市中，你会发现这里不仅仅是品尝美食的绝佳之地。在繁华的商业街道上，琳琅满目的小商品、各种风格的饰品和精巧的小摆设吸引着行人的目光，让人流连忘返。随着夜色的加深，这些小摊子逐渐汇聚成一个充满活力的购物天堂。尽管我对这些小玩意儿并无太大兴趣，但周围熙熙攘攘的人群却昭示着当地居民对这些琐碎物品的喜爱。在这个夜市里，你可以深入感受南宁市民的日常生活， ...继续阅读 (20)

Chrome > EdgeChrome 无疑是个非常好用的浏览器，以至于相当长一段时间微软的内置浏览器都被称为谷歌浏览器下载器。2019 年，微软推出了基于Chromium内核的浏览器，一时间少数派、知乎不少人推荐，说是内存占用更低、同步更方便等等。主要考虑到 Chrome 在国内同步需要科学上网而 Edge 不需要，我也跟风换用了 Edge。Edge > Other时间一晃到了 2022，Edge 越来越难用了，无关功能越来越多。点进 B 站、油管会有关注提醒，关注到所谓的集锦功能里。购买东西时如果有输入优惠码的地方还会自动弹出优惠的弹窗游戏功能、购物功能各种奇奇怪怪的功能。新标签页的奇怪小广告用了 3 年已经有惯性了，于是便从少数派找到一篇文章打算抢救下 Edge你与清爽 Mac 版 Edge 浏览器还差一个配置文件的距离 - 少数派作为微软当下不遗余力暴力推广的产品，Edge浏览器的一些功能巧思是有目共睹的，但在某些方面也把家族的劣根性发挥到了极致，包括「应加尽加」的推广植入，以及掘地三尺的数据收集等。对此，在前几个月的一篇文章 ...https://sspai.com/post/77397使用了这个方法奇怪的弹窗减少了许多，但是集锦、购物、游戏还是难以消除，同时这个方法会锁定不少设置，更改时还要导入文件才行。就这样糊弄了一段时间，压垮我的最后一根稻草是 Edge 莫名其妙的 ...继续阅读 (10)

🥬记录下减肥期间吃的食物，包含外卖和自己做的。 减肥 ≠ 受罪，如果在吃方面太折磨自己往往是难以坚持的。不要去想自己不能吃什么，而是思考可以吃哪些东西。（这可以很大程度上改变低脂饮食的心态）。找出替代品不必切换到过于夸张的减肥餐，找出自己喜好的替代品是更不消耗意志力的方法。如喜欢吃甜食，用 0 卡糖代替蔗糖。喜欢吃辣，用 0 脂辣椒酱、0 脂火鸡面酱汁代替辣椒油。用 0 卡饮料代替高糖饮料。用饱腹感强的食物代替饱腹感差的食物，全麦面包、荞麦面啥的。🥒食物的要求1.低脂肪 2.低热量 3.钠含量不会太高 4.营养全面 5.饱腹感强正餐油醋汁麻辣拌 + 0卡气泡水🥬不麻也不辣也没啥油的麻辣拌。其实辣到还好，0脂辣椒酱就能解决这个问题。但是麻酱真就没办法加了，麻酱能量太高了（我太喜欢麻酱了，要是有人能研究出来低卡麻酱、零脂麻酱之类的东西就好了）。 食材选择蔬菜、豆制品、虾仁、荞麦面等健康的食材。 味道很清淡，但是也不算难吃。番茄虾滑🍅番茄虾滑，配菜豆皮金针菇，有一点点油，不喝汤的话也吃不了多少油。味道不错。无面包无酱汉堡 + 0卡可乐🍔去掉面包和酱的汉堡，外部用生菜包裹，内部是番茄+无油煎蛋+无油烤牛肉饼，是不是真无油不知道，但是牛肉饼吃起来确实比一般汉堡肉饼油少很多。 无糖可乐凉的感觉还不错，常温的不喜欢。魔芋绿豆饼🍘晚餐代餐，魔芋粉代替淀粉，吃起来和正常的差不多。饱腹感尚可，强于 1 ...继续阅读 (11)

0x00 需求提高 HTB 速度，实现多人单账号同时刷靶机。0x01 方案方案一：国内 vps + ss高速线路 + wireguard方案二：国外 vps + wireguard + udp2raw国外甲骨文服务器寄了，故选择方案一0x02 安装 openvpn 客户端0x03 安装 clash初始化成功后就可以导入配置文件了，HTB 国内肯定是用新加坡路线了，买几个稳定的新加坡 ss 代理，使用下面的网站生成配置文件，下载下来重命名为config.yaml 放在 ~/.config/clash/目录。https://b.sub.tsutsu.one/别的配置无所谓，重点是配置代理选择方式和关闭局域网访问allow-lan: false在 config.json 中这样配置修改 ovpn 配置文件，加上clash的 socks 代理⭐如果要加速 udp 的话，需要 ss 节点支持 udp，很多机场都不支持 但最好还是选择 udp，不知道为啥 HTB 的 tcp 老是断开0x04 安装wireguard服务端使用一键安装脚本安装，系统版本务必要新，源最好用官方的，也要更新到最新。(执行命令可能需要科学上网，不过前面都安装 clash 了，直接设置终端代理即可）务必要在开启 openvpn 后执行下面这条命令，选择 openvpn 的网卡，输入正确的公网 ip 即可。修改wireg ...继续阅读 (8)

简介本次挖矿事件使用的域名为*.zzhreceive.top。该挖矿木马会卸载杀死各种安全产品及其他挖矿木马，然后使用 bioset 遥控感染主机进行 DDoS 攻击、并使用 tmate(终端共享工具) 进行权限维持。当拥有 root 权限时，会使用Diamorphine对挖矿进程进行的隐藏(内核级隐藏)。使用 ssh、docker、redis 进行横向感染，创建服务进行持久化控制。流程图主 sh 文件分析请求恶意域名带上主机 id 信息域名发现与 TeamTNT 有关（但钱包地址是另一个团队的，所以不一定是 TeamTNT 进行的挖矿 ）资源控制 修改可以打开的最大文件描述符的数量将/var/tmp/.copydie目录添加到系统变量，这个目录为木马日志存放的位置检测主机是否存有上一次的日志文件，如果不存在，则这台主机没有运行挖矿木马。获取日志文件最后一次修改时间和现在的时间差，如果大于600，那么挖矿没有运行挖矿木马。若判断挖矿正在运行，则执行exit 1退出以相同的方法判断了另外两个日志是否存在删除系统日志删除/tmp//var/tmp/目录的文件属性，保证可以写入关闭防火墙、清除防火墙规则禁用NMI看门狗删除 ssh 文件的文件属性卸载安骑士及云镜停止 vps 云监控插件关闭SELinux模式，关闭访问权限控制直接杀死删除安骑士、云镜定义了一些变量保证拥有对于对应命令及目录 ...继续阅读 (1)

0x00 简单分析未加壳,c++开发微步沙箱分析微步说可能被加壳?应该是微步误报了吧火绒剑分析行为添加过滤进程过滤-挖矿进程动作过滤-创建文件\写入文件进程过滤-挖矿进程动作过滤-设置\创建\删除注册表进程过滤-挖矿进程动作过滤-网络连接ip 查询通过查看对挖矿进程创建 cmd 进程的参数分析执行的命令?删除自身可以理解,为什么要 ping 127.0.0.1 呢?创建服务.服务名应该是随机的,但是看着还挺像正常服务的,应该是有一个随机字典0x01 IDA分析跟进到 404FF0跟进到 4050E0判断Software\\Microsoft\\Windows NT\\CurrentVersion\\NetworkPlatform\\Location Awareness是否存在.返回 404FF0 ,以上注册表不存在则调用 404880.这里应该是为了判断病毒是否是第一次运行.跟进 404880发现生成随机服务名,由 3 个部分拼接而成生成用到的字典,拼接起来真的有系统服务那味了生成随机服务名.dll具体生成流程 获取 system 文件夹路径 创建随机文件名文件 删除随机服务名.dll 估计是为了防止生成的 dll 和某些 dll 重名 创建写入随机服务名.dll创建用于判断是否第一次运行的注册表,通过判断这个注册表是否存在,也就能判断是否感染过这个挖矿病毒了404FF0 如果不是 ...继续阅读 (1)

⭐本榜单长期更新 已去除对局时间小于 5 分钟的对局 神器间击杀及普通装备出场均在高强的基础上进行统计 有任何意见可以在下方评论区评论或在 300 英雄官方吧对应贴子下回贴 关于 vip 等级为-1 的说明：TY 在游戏里和战绩查询里使用的屏蔽词不同，有些名字游戏里能看到但是战绩里看不到，故无法确定其 vip 等级。20212021.8.4前高强标准为强化等级合>85，之后为强化等级合≥8520224.21:新增高v相关数据，目前高 v 定义为≥VIP10且强化等级合≥85 5.26:出了一期 高 v 定义为 V12+ 的 7.20:支持非神器定制，别问为啥不支持神器定制，问就是懒 9.29:垃圾游戏对局越来越快了，时间限制改为大于3分钟 关于部分玩家统计不到大区和 vip，一切责任在 TY，喜欢我屏蔽词库吗？20216.24-6.30624-630.csv116.8KB7.1-7.7701-707.csv126.5KB7.29-8.4300hero.csv125.3KB8.5-8.110805-0811低强.csv158.3KB0805-0811高强.csv137.9KB8.19-8.250819-0825低强.csv150.6KB0819-0825高强.csv128.3KB8.26-9.10826-0901高强.csv127.1KB0826-0901低强.csv148.4KB9 ...继续阅读 (10)