Informe-v1.1.10 RSV CQR JLB AVM Final2

Desarrollo de un laboratorio para el análisis automatizado de códigos maliciosos

43

Glosario

AWK. Es un lenguaje de programación diseñado para procesar datos basados en texto, ya sean

archivos o flujos de datos.

Bash. Es un intérprete de órdenes de Unix para el proyecto GNU. También puede ser utilizado

como un lenguaje de programación, ya que se compone de todas las sentencias básicas de un

leguaje estructurado común.

Batch. En DOS, OS/2 y Microsoft Windows, un archivo de batch es un archivo de texto que

contiene una serie de comandos para ser ejecutados desde el intérprete de comandos.

Botnets. Son redes mundiales conformadas por equipos infectados, los cuales son conocidos como

“Zombis”. Estos equipos son llamados actualmente “Bots” y están a la espera de una orden

enviada por una computadora central conocida como Comando y Control (Command and Control,

C&C); hoy en día existen variaciones en la infraestructura que permiten la existencia de múltiples

computadoras centrales e incluso con capacidades de convertir a un simple “bot” en computadora

central. Son utilizadas para causar negaciones de servicio distribuidas (DDoS). A menudo los

atacantes dueños de estas redes hacen millonarias sumas de dinero rentándolas para propósitos

maliciosos.

Bots. Se trata de un programa robot, el cual se encarga de realizar funciones rutinarias. Pero que

también pueden ser usados para crear cuentas en sitios que otorgan cuentas de correo gratuitas,

para con esas cuentas realizar daños. También llegan a ser programas que a través de órdenes

enviadas desde una computadora central controlan el equipo personal de la víctima, es decir, la

convierten en un “Zombi”.

Caballo de Troya (Trojan horse). Se disfraza él mismo como un programa funcional mientras

encubre propósitos maliciosos y ocultos. Setiri y Hydan son buenos ejemplos.

Glosario

44

Combinación de códigos maliciosos. Combina varias técnicas, las cuales ya fueron descritas, para

incrementar la efectividad. Se ejemplifican con Lion y Bgbear.B.

Dirección IP. Es un código numérico que identifica a un equipo de cómputo en una red. Se forma

de 32 bits, o bien, cuatro octetos en su versión 4.

Dirección MAC. Significa Media Access Control (MAC) y es un identificador único y físico de cada

interfaz de red, ya sea cableada o inalámbrica. Es asignada por el fabricante de acuerdo con la

regulación de la IEEE. Se conforma de seis bytes y siempre es representada en sistema

hexadecimal.

DNS. Significa Domain Name System que en español se puede nombrar como Sistema de Nombres

de Dominio. Su función es proveer el mecanismo para el nombramiento de recursos y una manera

en que los nombres son usables en diferentes equipos, redes, familias de protocolos, redes

internas y organizaciones administrativas.

Exbibyte. Es una unidad de almacenamiento de información. Corresponde a 2060 bytes, es decir

1,152,921,504,606,846,976 bytes. Se representa con el símbolo EiB. El empleo del prefijo “exbi”

(exa binario) se debe a que es la potencia de 2 que más se aproxima a “exa”, prefijo cuyo valor es

1018, es decir, 1,000,000,000,000,000,000.

Exploit. Es aquel código que ataca una vulnerabilidad en particular de un sistema operativo o

aplicación. Los exploits no son necesariamente maliciosos, ya que gran cantidad de ellos son

creados por investigadores de seguridad informática para demostrar que existe una

vulnerabilidad. Sin embargo, existen ocasiones en que son componentes comunes de los

programas maliciosos como los gusanos informáticos.

FTP. Es el File Transfer Protocol, o Protocolo de Transferencia de Archivos. Tiene la intención

promover la compartición de archivos, incentivar el uso remoto de computadoras de manera

indirecta o implícita, proteger un usuario de variaciones en los sistemas de almacenamiento de

archivos entre equipos, y transmitir la información confiable y eficientemente.


45

GPL. Su significao es General Public License, o bien, Licencia Pública General; es una licencia

creada por la Free software Foundation en 1989 y es usada principalmente para proteger la libre

distribución, modificación y uso del software. Su propósito es declarar que el software cubierto

por esta licencia es software libre y protegerlo de intentos de apropiación que restrinjan las

libertades anteriores a los usuarios.

Gusano (Worm). Se propaga a través de la red. Se auto-replica. Usualmente no requiere de

interacción humana para propagarse. Algunos ejemplos son Morris Worm, Code Red y SQL

Slammer.

HTTP. El Hypertext Transfer Protocol es un protocolo a nivel de aplicación para sistemas de

información transaccionales, colaborativos y distribuidos. Es un protocolo genérico y sin patria

definida, el cual puede ser usado para muchas otras tareas además de uso para hiper texto. Ha

estado en uso por la iniciativa global de información World-Wide-Web desde 1990.

Inundadores (Flooders). Los usuarios maliciosos utilizan los inundadores para atacar sistemas de

redes de cómputo con una carga extra de tráfico de red para llevar a cabo una negación de

servicio (DoS). Y cuando la negación de servicio es ejecutada simultáneamente por muchos

sistemas comprometidos (también llamados zombis), el ataque es conocido como negación de

servicio distribuida (DDoS).

Keyloggers. Son programas espías que toman el control de los equipos, para espiar y robar

información. Monitorean el sistema y registran las pulsaciones del teclado para robar las claves

tanto de páginas financieras y correos electrónicos, así como cualquier información introducida

por teclado que el equipo utiliza para conocer lo que la víctima ha realizado; como conversaciones,

ubicaciones visitadas, ejecuciones, movimientos, etcétera.

Mailers y Mass-Mailers. Son un especial tipo de gusanos de computadoras, los cuales se envían

ellos mismos en correos electrónicos. Los Mass-Mailers se enviarán a múltiples correos incluyendo

una copia de ellos mismos una vez que el código fue invocado. Programas como Happy99 o

calificado como W32/SKA.A@m envían una copia de sí mismo cada vez que el usuario envía un

nuevo mensaje.

Glosario

46

MD5. Es un algoritmo de reducción criptográfico diseñado por el profesor Ronald

Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts).

Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans

Dobbertin descubriese su debilidad. La codificación del MD5 de 128 bits es representada

típicamente como un número de 32 dígitos hexadecimal. Cualquier información a la que se le

aplique el algoritmo tendrá un correspondiente hash de salida que en teoría es único, es decir, que

no puede producirse con alguna otra combinación.

Modelo de interconexión TCP/IP. Son las siglas de Transmission Control Protocol/Internet

Protocol, es la arquitectura que rige todas las comunicaciones entre todas las computadoras en

Internet. Es un conjunto de instrucciones que dictan cómo se han de enviar paquetes de

información por distintas redes. También tiene una función de verificación de errores para

asegurarse que los paquetes llegan a su destino final en el orden apropiado.

Perl. Es un lenguaje de programación interpretado y diseñado por Larry Wall en 1987. Toma

características del lenguaje C, del lenguaje interpretado shell, AWK, sed, Lisp y, en un grado

inferior, de muchos otros lenguajes de programación.

Pharming. Es un software maligno que suplanta el servicio DNS mediante el archivo hosts local

para así conducir a la víctima a una página Web falsa. El efecto se aprecia al intentar entrar a un

determinado nombre de dominio en nuestro navegador redirecciona a la víctima al sitio que el

atacante ha cambiado. Por ejemplo, la página de un banco puede ser www.banco.com

(213.132.253.4) y el DNS resuelve la dirección 123.234.134.60, entonces no es fácil percatarse de

que se está visitando una página falsa perteneciente al atacante.

Phishings. Del inglés "fishing" (pescando). Este término se utiliza para identificar la acción

fraudulenta de conseguir información confidencial, vía correo electrónico o página web, con el

propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas

aparentemente iguales a la del banco o de los portales con ingreso por contraseña.

Programas generadores de correo spam. Estos programas son usados para enviar mensajes no

solicitados a grupos de mensajería instantánea, grupos de noticias, o cualquier otro tipo de

dispositivos móviles en forma de correo electrónico o mensajes SMS por telefonía celular.


47

Usualmente los spammers lo hacen para ganar dinero al inundar las redes con tráfico que contiene

cierta publicidad.

Protocolo DHCP. Significa Protocolo de configuración de host dinámico. Es un protocolo que

permite que un equipo conectado a una red pueda obtener su configuración (principalmente, su

configuración de red) en forma dinámica (es decir, sin intervención particular). El protocolo DHCP

sirve principalmente para distribuir direcciones IP en una red.

Protocolo IRC. El Internet Relay Chat es para uso de conferencia con base texto. Ha sido

desarrollado desde 1989, año cuando fue originalmente implementado para establecer

conversaciones entre un grupo de personas.

Puerta trasera (Backdoor). Lleva a cabo un desvío de los controles normales de seguridad para dar

al atacante acceso. Han sido muy útiles para los usuarios maliciosos las siguientes aplicaciones:

Netcat, Virtual Network Computing (VNC), subseven y back Orifice. Sin embargo, los dos primeros

pueden ser utilizados legítimamente como herramientas de administración remota, e

ilegítimamente como herramientas de ataque.

Puertos. Son los puntos finales de una comunicación. Son interfaces, por las cuales, diferentes

tipos de datos pueden ser enviados y recibidos. Se cuenta con 65535 interfaces de software en

cada dispositivo.

Red de datos. Es un conjunto de equipos de cómputo interconectados entre sí, de tal forma que

pueden intercambiar información.

RootKit a nivel de núcleo. Manipula la parte central del sistema operativo, el núcleo, para ocultar

y crear puertas traseras. Algunos ejemplos: Adore y Kernel Instrusion System.

RootKit a nivel usuario. Reemplaza y modifica programas ejecutables usados por administradores

y usuarios del sistema. Pueden aplicar la familia de Linux RootKit (LRK), Universal RootKit y

FakeGINA.

Glosario

48

Script Kidie. Es alguien que busca una presa fácil. No busca información específica o una víctima en

concreto. Su objetivo es ganar de la forma más sencilla posible privilegios. Hace esto centrando su

actividad en la búsqueda de una vulnerabilidad por toda Internet, que les permita explotar el

sistema. Tarde o temprano encontraran a alguien vulnerable. Algunos de ellos son usuarios

avanzados que desarrollan sus propias herramientas y garantizan su futuro acceso mediante

puertas traseras. Otros no saben lo que hacen y solo saben ejecutan herramientas.

Independientemente de su nivel de conocimientos, comparten una estrategia común, una

búsqueda aleatoria de cualquier vulnerabilidad, para a continuación aprovecharse de ella.

Sed. Es un editor de flujo, una potente herramienta de tratamiento de texto para el sistema

operativo Unix que acepta como entrada un archivo, lo lee y modifica línea a línea mostrando el

resultado en la salida estándar.

Sendmail. Es un popular "Agente de Transporte de Correo" (MTA, Mail Transport Agent) en

Internet, cuya tarea consiste en encaminar los mensajes o correos de forma que estos lleguen a su

destino.

Servicio simulado. AAAEs un servicio de red que simula a un servicio legítimo, maneja algunas

órdenes del este, sin embargo no llega más lejos y su función básica capturar los datos que iban

dirigidos al servicio en cuestión.

SHA1. Es el segundo de los algoritmos de la familia SHA (Secure Hash Algorithm, Algoritmo de

Hash Seguro) desarrollado por la NSA (Agencia de seguridad Nacional de los Estados Unidos) y

publicado en el NIST (National Institute of Standards and Technology). Produce una salida resumen

de 160 bits (20 bytes) de un mensaje que puede tener un tamaño máximo de 264 bits. Esta basado

en principios usados por Ronald L. Rivest, diseñador de MD4 y MD5.

Virus. Infecta un archivo del sistema víctima (p.e. ejecutable, documento de procesador de

palabras, etcétera). Él mismo se replica. Normalmente requiere de la interacción humana para su

activación (abriendo un archivo, leyendo un correo electrónico, arrancando el sistema o

ejecutando un programa infectado). Algunos ejemplos son Michelangelo y CIH.


49

WMIC. El Windows Management Instrumentation Command-line revela una gran cantidad de

información sobre Windows Server 2003 y hardware subyacente, mediante el uso de Windows

Management Instrumentation (WMI). El primer propósito de WMIC es facilitar administración de

tareas automáticas y de script. Sin embargo, también es útil para la resolución de problemas ya

que sus reportes con información del sistema no están disponibles con otras herramientas.

Glosario

50


55

Apéndices

Preparación de la infraestructura

Para el correcto funcionamiento de la herramienta TRUMAN es necesaria la utilización de equipos

de cómputo con ciertas características en específico. En la infraestructura básica se debe contar

con lo siguiente:

Un servidor de arranque por red y servicios de red. Instalado con un sistema operativo

GNU/Linux.

Un equipo con Windows XP, puede ser en cualquiera de sus versiones.

Las siguientes consideraciones deben hacerse al instalar la herramienta:

El servidor de GNU/Linux almacena dos imágenes del cliente Windows XP. Una de ellas

es una imagen limpia, es decir, sin infecciones; la segunda es una imagen contaminada

como producto de la ejecución de un código malicioso, ésta última se genera cada vez

que se ejecuta un programa malicioso para su análisis.

Los estados de antes y después de la infección son ampliamente comparados para la

obtención de la información relevante.

El sistema operativo del equipo cliente será restaurado por el servidor mediante la

utilización de la imagen no contaminada. Esto permitirá dejar listo al cliente para un

nuevo análisis.

Antes de instalar el desarrollo de la herramienta TRUMAN en el servidor, será necesaria la

instalación de una serie de utilidades que complementan al desarrollo y le permiten desempeñar

todas sus funcionalidades. A continuación un listado de dichos complementos.

Servidor DHCP (dhcpd)

Servidor Apache 2 con soporte Perl (httpd y mod_perl)

Servidor TFTP

Apéndices

56

Sendmail

Snort

Tcpflow

Tcpdump

Comando “dd”

Entre otras.

Por último queda mencionar las características físicas y lógicas tanto del servidor como del cliente

de la herramienta. En el caso del servidor se debe instalar en un equipo con al menos 1 Gb de

memoria RAM, por lo menos 10 Gb en disco duro, un procesador de mínimo 1.6 Ghz y dos

interfaces de red 10/100 Mbps; debe tener instalado un sistema operativo GNU/Linux de manera

básica, es decir, sin interfaz gráfica, ya que no es necesaria; para el desarrollo de este proyecto he

utilizado la distribución de GNU/Linux Debian 4.0 Etch, la cual resulta sencilla de instalar, utilizar y

administrar. Para el caso del cliente en realidad puede tratarse de un equipo no muy potente,

pues sólo llevará a cabo la tarea de ser cliente; se recomienda que tenga 256 Mb de memoria, 2

Gb en disco duro y una interfaz de red 10/100 Mbps; debe contar con un Windows XP instalado en

una partición de 2 Gb y se recomienda que no más, aunque sí puede ser menos. Creo que no es

necesario mencionar que ambos equipos deben contar con los medios de entrada suficientes para

realizar la instalación de sus respectivos sistemas operativos como unidades de CD y DVD, según

sea el caso. También se requiere un cable cruzado para su interconexión. Para este proyecto la

implementación se realizó en equipos virtuales, pero una instalación en equipos físicos es cien por

ciento viable, en realidad en el DSC/UNAM-CERT se cuenta con una implementación física de

prueba.

Instalación de la herramienta TRUMAN ampliada

Conociendo el apéndice anterior se puede proceder a la instalación de la infraestructura y la

herramienta en su total funcionalidad. Antes de comenzar se deben interconectar ambos equipos

mediante el cable cruzado y la segunda interfaz de red del servidor a la red interna que le

proporcione salida a Internet. Por último encender el servidor e iniciar sesión como “root” para

comenzar.


57

Instalación del Servidor

Paso 1. Se procede a instalar el servidor de SSH para la administración remota del equipo,

mediante la ejecución de los siguientes comandos (el primero para actualizar la lista de paquetes

disponibles y el segundo para la instalación del servicio SSH).

# apt-get update # apt-get install openssh-server

Paso 2. A continuación se instalan algunas utilerías necesarias con el comando de abajo. (Fig. A.1)

#apt-get install perl tftpd-hpa dhcp3-server xinetd tcpdump tcpflow psmisc binutils gcc make libperl-dev libc6-dev libwww-perl sendmail libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev

Fig. A.1. Comando para la instalación de utilerías.

Paso 3. Modificar la configuración de la segunda tarjeta de red con una dirección estática (en este

caso se usó 4.5.6.1/24). Utilizar el siguiente comando y editar el archivo como se muestra en la

figura. (Fig. A.2, página siguiente)

# vim /etc/network/interfaces

Apéndices

58

Fig. A.2. Configuración de la interfaz de red.

Enseguida reiniciar los servicios de red con el siguiente comando para que surtan efecto las

configuraciones.

# /etc/init.d/networking restart

Es importante mencionar que TRUMAN permite configurar cualquier segmento de red, por esta

ocasión se usó la red 4.5.6.0/24 que es la que está configurada por defecto en el empaquetado

original de TRUMAN.

Paso 4. Ahora se debe realizar la instalación del servidor apache 2 desde el código fuente. Para

ello seguir la siguiente bitácora de comandos. (Fig. A.3)

# wget http://www.eu.apache.org/dist/httpd/httpd-2.2.14.tar.gz # wget http://www.eu.apache.org/dist/httpd/httpd-2.2.14.tar.gz.md5 # md5sum httpd-2.2.14.tar.gz # tar -zxvf httpd-2.2.14.tar.gz # cd httpd-2.2.14 # ./configure --enable-so # make && make install # /usr/local/apache2/bin/apachectl start # ls -l /usr/local/apache2/

Fig. A.3. Instalación de Apache 2.


59

Paso 5. Instalación de mod_perl para Apache 2. Los siguientes comandos ayudarán a resolver este

paso. (Fig. A.4)

# wget http://perl.apache.org/dist/mod_perl-2.0-current.tar.gz # tar xzvf mod_perl-2.0-current.tar.gz # ln -s /usr/lib/libgdbm.so.3 /usr/lib/libgdbm.so # cd mod_perl-2.0.4/ # perl Makefile.PL MP_APXS=/usr/local/apache2/bin/apxs # make && make test

Fig. A.4. Instalación de mod_perl para Apache 2.

Paso 6. Editar y agregar en el archivo /usr/local/apache2/conf/httpd.conf la línea: LoadModule

perl_module modules/mod_perl.so. En la sección correspondiente para Dynamic Shared Object

Support (Soporte de Objetos Compartidos y Dinámicos). Posteriormente se debe reiniciar el

servicio de Apache 2. Los siguientes dos comandos servirán para el propósito. (Fig. A.5)

# vim /usr/local/apache2/conf/httpd.conf # /usr/local/apache2/bin/apachectl restart

Apéndices

60

Fig. A.5. Configuración del archivo /usr/local/apache2/conf/httpd.conf.

Paso 7. Editar el archivo /etc/default/tftpd-hpa y cambiar RUN_DAEMON a “yes”, cambiar

“/var/lib/tftpboot” por “/tftpboot”. Se debe iniciar el servicio, solo que antes se sugiere eliminar

del arranque del envoltorio de “tftp” y matar el proceso correspondiente a “inetd”. (Fig. A.6)

# vim /etc/default/tftpd-hpa # mv /etc/rc2.d/S20openbsd-inetd /etc/rc2.d/K20openbsd-inetd # /etc/init.d/tftpd-hpa start # chmod +x /etc/init.d/apache2.sh

Fig. A.6. Configuración del archivo /etc/default/tftp-hpa.

Para este punto se sugiere editar el archivo /etc/init.d/apache2.sh, al igual configurarlo para que

se ejecute en cada reinicio del sistema. Para lo cual serán útiles los comandos siguientes.

# echo ‘#!/bin/bash’ > /etc/init.d/apache2.sh # echo ‘/usr/local/apache2/bin/apachectl start’ >> /etc/init.d/apache2.sh # echo '/etc/init.d/tftpd-hpa restart' >> /etc/init.d/apache2.sh


61

# ln -s /etc/init.d/apache2.sh /etc/rc2.d/S21apache2

Paso 8. Para que la herramienta de comparación de sistemas de archivos de la herramienta

ampliada funcione correctamente se debe instalar un módulo de perl, el cual es “Digest-MD5-

File”. Para lograrlo seguir las siguientes líneas de comandos.

# wget http://search.cpan.org/CPAN/authors/id/D/DM/DMUEY/Digest-MD5-File-0.07.tar.gz # tar xzvf Digest-MD5-File-0.07.tar.gz # cd Digest-MD5-File-0.07 # perl Makefile.PL # make # make install

Paso 9. Ahora bien comencemos con la instalación de la herramienta TRUMAN. He construido un

paquete llamado truman-0-2_DSC.tar.gz, el cual contiene todos los programas que componen a

esta versión mejorada. A través de colocar cada archivo en su ubicación específica quedará la

herramienta instalada. La lista de comandos a continuación será útil para este propósito.

# tar xzvpf truman-0.2_DSC.tar.gz # cd truman-0.2_DSC # cp -r forensics/ / # cp -r images/ / # cp -r results/ / # cp -r tftpboot/ / && ln -s /tftpboot /var/lib/tftpboot # cp -r mnt/ / # cp etc/dhcp3/dhcpd.conf /etc/dhcp3/dhcpd.conf # cp etc/init.d/* /etc/init.d/ # ln -s /etc/init.d/services.sh /etc/rc2.d/S99services # cp etc/xinetd.d/* /etc/xinetd.d/ && /etc/init.d/xinetd restart # cp usr/bin/dumphive /usr/bin/ # cp usr/local/apache2/cgi-bin/truman.cgi /usr/local/apache2/cgi-bin/

Paso 10. Editar el archivo /etc/dhcp3/dhcpd.conf en la parte de “host client7” donde se deberá

poner la dirección MAC del cliente Windows a utilizar. (Fig. A.7, página siguiente)

# vim /etc/dhcp3/dhcpd.conf

Apéndices

62

Fig. A.7. Configuración del archivo /etc/dhcp3/dhcpd.conf.

Paso 11. Modificar el archivo /etc/services agregándole dos líneas al final con las siguientes

instrucciones.

# echo -e '# Truman Services' >> /etc/services # echo -e 'ddsave\t\t45611/tcp\t\t\t# Truman save requests' >> /etc/services # echo -e 'ddrestore\t45612/tcp\t\t\t# Truman restore requests' >> /etc/services

Paso 12. Creación de la utilidad /bin/ddquiet. Fácilmente con las siguientes órdenes de Shell.

# echo '#!/bin/bash' > /bin/ddquiet # echo '/bin/dd $* 2>/dev/null' >> /bin/ddquiet # chmod 755 /bin/ddquiet

Paso 13. Para que el funcionamiento de TRUMAN sea normal se deben asignar una serie de

permisos y cambio en dueños y grupos. Seguir la lista de órdenes a continuación.

# chgrp daemon /forensics/queue/ /forensics/exes/ # chmod g+rwx /forensics/queue/ /forensics/exes/ # chown -R daemon:daemon /tftpboot/pxelinux.cfg/ # chmod g+rwx /tftpboot/pxelinux.cfg/ # chmod g+rw /tftpboot/pxelinux.cfg/* # chmod o+x,g+x,u+x /usr/local/apache2/cgi-bin/truman.cgi # chmod o+w /fauxservers/start.flag


63

Paso 14. Ahora se procede con la instalación de Snort. Poner atención a la bitácora.

# wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz # tar xzvf snort-2.8.4.1.tar.gz # cd snort-2.8.4.1 # ./configure # make # make install

Paso 15. Para asegurar el levantamiento de todos los servicios se recomienda reiniciar el servidor

en este momento. A continuación una vista de cómo debe lucir el comando “netstat -natup". (Fig.

A.8)

Fig. A.8. Salida del comando “netstat -natup”.

Instalación del Cliente

Paso 1. Se debe configurar en el BIOS del equipo el arranque vía red. La mayoría de los equipos

recientes soportan esta funcionalidad. (Fig. A.9)

Fig. A.9. Configuración del BIOS.

Apéndices

64

Paso 2. Antes se debe crear una cuenta con privilegios de administración para ser configurada con

inicio de sesión automático en este cliente. Para lograr éste último propósito se deben seguir las

siguientes instrucciones:

a) Hacer clic en el menú de Inicio y en Ejecutar, escribir “regedit” y hacer clic en Aceptar.

(Fig. A.10)

Fig. A.10. Ejecutando “regedit”.

b) Buscar la siguiente clave de Registro. (Fig. A.11)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Fig. A.11. Llave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.

c) Utilizando los datos de la cuenta que se quiera configurar (nombre de usuario y

contraseña), hacer doble clic en la entrada DefaultUserName, escribir el nombre de

usuario y hacer clic en Aceptar. (Fig. A.12)


65

Fig. A.12. Señalamiento del valor a modificar.

d) Hacer doble clic en la entrada DefaultPassword, escribir la contraseña en el cuadro de

información del valor y, a continuación, hacer clic en Aceptar. (Fig. A.13)


e) Hacer doble clic en la entrada AutoAdminLogon, escribir 1 en el cuadro de información del

valor y hacer clic en aceptar. (Fig. A.14)

Apéndices

66


f) Por último salir del editor del registro. Hacer clic en Inicio, después en Apagar equipo,

luego en Reiniciar, para verificar el inicio automático que se acaba de configurar. (Fig.

A.15)

Fig. A.15. Pantalla de apagado y reinicio del sistema.

Nota. Si no hay ningún valor denominado DefaultUserName, DefaultPassword y/o

AutoAdminLogon, se deberá crearlos. Para ello, seguir estos pasos:

En el Editor del Registro, hacer clic en Edición, en Nuevo y, a continuación en Valor alfanumérico.

a) Escribir “DefaultUserName”, “DefaultPassword” o “AutoAdminLogon” como nombre del

valor y, a continuación, presionar ENTRAR.

b) Hacer doble clic en cada una de las claves que se acaban de crear y escribir el nombre de

usuario y contraseña en el cuadro Información del valor, respectivamente.

c) Si no se especifica ninguna cadena en DefaultPassword, Windows XP cambia

automáticamente el valor de la clave AutoAdminLogon de 1 (verdadero) a 0 (falso), con lo

que deshabilitará la característica de inicio de sesión automático.


67

Paso 3. El siguiente paso es desactivar el firewall, servicio de antivirus, de actualizaciones y las

alertas.

Para desactivarlos dar clic en Inicio y después en Panel de Control. Después de haber entrado en

el Panel de control acceder al Centro de seguridad y desactivar las alertas. Ésto es, una vez en la

ventana y en la parte de la izquierda hay una columna llamada "Recursos". Dirigirse a "Cambiar la

forma en que el Centro de seguridad me alerta". Es como se muestra a continuación. (Fig. A.16)

Fig. A.16. Configuración de las alertas de seguridad de Windows.

Ahora bastará con desactivar las tres casillas de selección, después dar clic en Aceptar.

A partir de la ventana anterior también se pueden desactivar cada uno de los rubros

comprendidos en el Centro de Seguridad (firewall y actualizaciones). El resultado debe ser el

siguiente. (Fig. A.17)

Fig. A.17. Características de seguridad desactivadas.

Apéndices

68

Paso 4. Ahora es necesario desactivar la funcionalidad de restauración automática.

Para desactivarla dar clic en Inicio y después en Panel de Control. Después de haber entrado en el

Panel de control acceder a Rendimiento y mantenimiento para después dirigirse a Sistema. Y

colocado en la pestaña de Restaurar sistema habilitar la casilla para desactivar la restauración del

sistema. (Fig. A.18)

Fig. A.18. Restauración del sistema desactivado.

Paso 5. Ahora sólo resta instalar la parte de la herramienta TRUMAN correspondiente a Windows

XP. Para ello se debe acomodar el contenido de la carpeta win32 en el sistema de archivos de

Windows, considerando que win32 es la raíz de dicho sistema de archivos. (Fig. A.19)

Fig. A.19. Instalación de TRUMAN en Windows.


69

Paso 6. En este paso se tiene que registrar el arranque de las aplicaciones de TRUMAN en

Windows. Esto se realiza mediante la ejecución de los archivos get.reg y restart.reg, los cuales

están en C:\. Así como también ejecutar los comandos de abajo para procesos y conexiones

iniciales e instalar la herramienta wmic .

C:\>tasklist > "C:\psorig.txt" C:\>netstat -na > "C:\netorig.txt" C:\>wmic

La imagen de abajo es como se verá la pantalla de inicio. (Fig. A.20)

Fig. A.20. Pantalla de inicio de TRUMAN en Windows.

Ajustes generales

Antes de comenzar el análisis de códigos maliciosos es necesario obtener la imagen limpia del

sistema cliente, con la que se va a restaurar una vez que se contamine. Para ello reiniciar el

sistema cliente y elegir la opción tres en el menú de arranque de TRUMAN (fig. A.21). Se realizará

la imagen, al terminar de ejecutar los comandos de abajo para guardar la imagen y obtener la

información de la imagen limpia. De forma autómatica el cliente se reiniciará y se colocará en el

modo de espera para el análisis de malware.

Apéndices

70

Fig. A.21. Menú de arranque de TRUMAN en Windows.

# mv /images/ddsave.img /images/ddrestore.img # /forensics/getorig.sh

Únicamente resta colocar muestras de códigos maliciosos en el directorio /forensics/queue para

que comience a analizarlos automáticamente.


71

Anexos

Anexo 1. Archivo C:\get.bat

@ECHO OFF set SERVER_IP=4.5.6.1 set REPORT_CGI=truman.cgi rem echo Reporting successful boot to boot server... echo Reportando arranque exitoso al servidor de arranque... rem con esta linea manda ejecuta el script cgi del servidor para poner el arranque de truman en 1, ver truman .cgi wget -q -O C:\ok.txt http://%SERVER_IP%/cgi-bin/%REPORT_CGI%?res=booted > nul :retr rem echo Attempting to retrieve next file in queue... echo Intentando recuperar el siguiente archivo en cola... rem activa el envio de malware contenido en la carpeta /forensics/queue del servidor,lo hace uno a la vez rem y lo coloca en la ruta C:\WINDOWS\system32\sandnet.exe. Si la dicho directorio estuviera vacio enviara un archivo de 0 bytes wget -q -O C:\WINDOWS\system32\sandnet.exe http://%SERVER_IP%/cgi-bin/%REPORT_CGI%?func=dequeue > nul rem verifica si el archivo es de 0 bytes comparandola binariamente con otro archivo que tambien es de 0 bytes fc /b C:\WINDOWS\system32\sandnet.exe C:\zero.txt | find "FC: no se han encontrado diferencias" > nul rem error 2 si el comando falla if errorlevel==2 echo El comando fc fallo rem error 1 y error no es 2 se dirige a la etiqueta filefound if errorlevel==1 if not errorlevel==2 goto filefound rem echo File not found, sleeping 60 seconds... echo Archivo no encontrado, durmiendo 60 segundos... sleep 60 goto retr :filefound copy C:\WINDOWS\system32\sandnet.exe C:\ rem echo Executing malware sample... echo Ejecutando muestra de malware... echo 1 > C:\flag.txt

Anexo 2. Archivo C:\restart.bat

@ECHO OFF :retr fc /b C:\flag.txt C:\zero.txt | find "FC: no se han encontrado diferencias" > nul rem error 2 si el comando falla if errorlevel==2 echo El comando fc fallo rem error 1 y error no es 2 se dirige a la etiqueta filefound if errorlevel==1 if not errorlevel==2 goto binaryexe echo No hay un binario en ejecucion

Anexos

72

sleep 1 goto retr :binaryexe echo Durmiendo 300 segundos (5 min)... sleep 300 tasklist > C:\psnew.txt rem pslist > C:\psnew.txt netstat -na > C:\netnew.txt rem echo Volcando memoria fisica... rem dd.exe if=\\.\PhysicalMemory of=c:\memdump.img bs=4096 conv=noerror echo Rebooting... rem shutdown -r wmic os where primary=true Call Reboot

Anexo 3. Archivo /forensics/compare.pl

#!/usr/bin/perl -w #Este script hace una comparacion del sistema de archivos entre el orig y el new, #es decir, la imagen limpia y la contaminada use Digest::MD5::File qw(dir_md5_hex file_md5 file_md5_hex url_md5_hex); ####################################################### ##### VALIDAR Y CARGAR LOS ARGUMENTOS ##### ####################################################### if (@ARGV == 0) { print "Modo de Uso \n$0 -i Ruta_Imagen\n$0 -x Ruta_Imagen\n"; exit 1; } #cambiar imagen para obtener valores del original $IMAGEN=$ARGV[1]; $ORIGINAL="/forensics/orig/orig.md5"; $NUEVO="/forensics/new/new.md5"; if ($ARGV[0] eq "-i" && @ARGV == 2) { #print "\n######## Entrando al modo INICIAL ########"; inicial($ORIGINAL); exit 0; } elsif ($ARGV[0] eq "-x" && @ARGV == 2) { #print "\n####### Entrando al modo COMPARACION ########"; comparacion(); exit 0; } else { print "\nModo de Uso \n$0 -i,-x Ruta_Imagen\n"; exit 1; } ####################################################### ##### FUNCIONES ##### ####################################################### ### Funcion para encontrar los archivos y/o registros dentro del archivo ### encontrar(CadenaArchivo,ArchivoInfo) sub encontrar{ my $file; my $archivo; $file=shift; #print "Cadena: $file"; #$file=~ s/\\/\\\\/g; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/^\Q$file\E/) { chomp($_); return split(/\|/,$_); } } return (); } ### Funcion para leer los directorios ## leerDir (RutaAbsolutaDirectorio [ArchivoGuardar])


73

sub leerDir { # print "\nLeyendo Directorio $_[0]"; # if (!defined($guardar)) {$guardar='orig.md5'; } if (defined($_[1])) {$guardar=$_[1];} my $d; my @dir; $d=$_[0]; chomp($d); #if ($d=~/\"$/) {chop($d);} # print "\nDirectorio: '$d'"; opendir(DH,$d) || die "No se pudo abrir directorio: '$d'"; @dir=readdir DH; # print "@dir"; foreach (@dir) { # print "$_\n"; if (-d $d."/".$_) { if (/(^.$)|(^..$)/) { next; } #print "\nDirectorio:'$d\\$_'"; leerDir($d."/".$_,$guardar); next; } if (-f $d."/".$_) { open(SV,">>$guardar") or die "Error al abrir archivo para guardar"; print SV "\n$d/$_|".file_md5_hex($d."/".$_); close(SV); next; } } } #### Se le pasa como argumento el archivo de salida a guardar sub inicial { #print "\nFUNCION INICIAL: \nArchivo de Salida $_[0]"; open(SV,">$_[0]") or die "Error al BORRAR archivo para guardar"; close(SV); leerDir($IMAGEN,$_[0]); } sub comparacion { my @reg; #print "\nFuncion de comparacion"; inicial($NUEVO); `sed 's/\\/mnt\\/new/C:/g' $NUEVO > $NUEVO.res`; `rm $NUEVO`; `mv $NUEVO.res $NUEVO`; #OJO ajuste previo para probar con los siguientes comandos #Las siguientes cuatro lineas efectivas son para una optimizacion en la clasificacion de los archivos #print $ORIGINAL.$NUEVO."\n"; `diff --text $ORIGINAL $NUEVO | grep "^<" | grep -v -f /forensics/patternsfs.txt | sed -e 's/<\\s//g' > /forensics/.orig.md5.diff`; `diff --text $ORIGINAL $NUEVO | grep "^>" | grep -v -f /forensics/patternsfs.txt | sed -e 's/>\\s//g' > /forensics/.new.md5.diff`; $ORIGINAL="/forensics/.orig.md5.diff"; $NUEVO="/forensics/.new.md5.diff"; print "\nArchivos creados:"; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { print "\n$reg[0]"; } } close(TMP); print "\n\nArhivos modificados:"; open(TMP,$NUEVO);

Anexos

74

while (<TMP>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { next; } elsif ($dato[1] ne $reg[1]) { print "\n$dato[0]"; } } close(TMP); print "\n\nArchivos borrados:"; open(SAL,$ORIGINAL); while (<SAL>) { undef @dato; chomp $_; @reg=split(/\|/,$_); @dato=encontrar($reg[0],$NUEVO); if (@dato == 0) { print "\n$reg[0]"; } } close(SAL); `rm $NUEVO`; `rm $ORIGINAL`; }

Anexo 4. Archivo /forensics/ajustar.sh

#!/bin/bash #Este script sirve para ajustar la salida del respaldo del registro de windows para hacerlo mas trabajable #$1 es el archivo a ajustar p.e. default.reg if [ $# -eq 1 ]; then cp $1 $1.bkp #haciendo una copia del archivo original para convervarlo en el formato original sed -i 's/^\s$/#####/' $1 #sustutiyendo lineas en blanco con un espacio por ##### sed -i 's/\]\r/\]####/' $1 #sustituyendo "]\r" por "]####" sed -i 's/\r//' $1 #eliminando todos los "\r" que en vi se ven como ^M perl -ne 's/,\\\n/,/g; print' < $1 > $1.tmp; mv $1.tmp $1 #eliminando saltos de linea de los registros con valores hex, para que sean de una sola linea sed -i 's/,\s\s/,/g' $1 #juntar esos valores sustituyendo ",[espacio][espacio]" por "," sed -i '/REGEDIT4/d' $1 #eliminando la linea que contiene el patron REGEDIT4, que es la primera perl -ne 's/\n/\|\|/g; print' < $1 > $1.tmp; mv $1.tmp $1 #sustituyendo todos los saltos de linea "\n" por ||, resulta en texto completamente junto perl -ne 's/#####\|\|/\n/g; print' < $1 > $1.tmp; mv $1.tmp $1 #sustituyendo el patron "#####||" por salto de linea "\n" sed -i 's/####||/###/' $1 #sustituyendo el patron "####||" por "###" sed -i '/^$/d' $1 #eliminando lineas en blanco else echo -e "Modo de Uso \n$0 Ruta_Dump_Registro\n" exit -1 fi

Anexo 5. Archivo /forensics/comparer.pl

#!/usr/bin/perl -w #Este script hace la comparacion del registro de Windows entre orig y new, limpio y contaminado #@ARGV[0] es el archivo original, p.e. /forensics/orig/default.reg #@ARGV[1] es el archivo nuevo, p.e. /forensics/new/default.reg ####################################################### ###### VALIDAR Y CARGAR LOS ARGUMENTOS ##### ######################################################## if (@ARGV != 2) { print "Modo de Uso \n$0 Ruta_Archivo_Reg Ruta_Archivo_Reg\n"; exit 1;


75

} $ORIGINAL=$ARGV[0]; $NUEVO=$ARGV[1]; if ( -e $ORIGINAL && -e $NUEVO) { comparacion(); exit 0; } else { print "Alguno de los archivos no existe\n"; exit 1; } ### Funcion para encontrar los registros dentro del archivo sub encontrar { my $file; my $archivo; $file=shift; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/^\Q$file\E/) { chomp($_); return split(/###/,$_); } } return (); } sub encontrar_reg { my $file; my $archivo; $file=shift; $archivo=shift; open(AI,$archivo); while (<AI>) { if (/\Q$file\E/) { chomp($_); return($_); } } return (''); } sub comparacion { my @reg; #print "\nLlaves creadas y registros:"; $imprime = 0; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/###/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { if ( $imprime == 0 && $imprime != 1) { print "\nLlaves creadas y registros:"; $imprime = 1; } print "\n$reg[0]\n"; @registros=split(/\|\|/,$reg[1]); foreach $r (@registros) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print "\t$r\n"; }

Anexos

76

} } } close(TMP); #print "\n\nLlaves modificadas y registros:"; $imprime = 0; open(TMP,$NUEVO); while (<TMP>) { undef @dato; chomp $_; @reg=split(/###/,$_); @dato=encontrar($reg[0],$ORIGINAL); if (@dato == 0) { next; } elsif ($dato[1] ne $reg[1]) { if ( $imprime == 0 && $imprime != 1) { print "\nLlaves modificadas y registros:"; $imprime = 1; } print "\n$dato[0]\n"; @registros_orig=split(/\|\|/,$dato[1]); @registros_new=split(/\|\|/,$reg[1]); open(ORIG,">/tmp/.orig_reg") or die "Error al BORRAR archivo temporal"; foreach $r (@registros_orig) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print ORIG "$r\n"; } } close(ORIG); open(NEW,">/tmp/.new_reg") or die "Error al BORRAR archivo temporal"; foreach $r (@registros_new) { if ( $r ne '' ) { $r =~ s/\\\\/\\/g; print NEW "$r\n"; } } close(NEW); comparacion_reg("/tmp/.orig_reg","/tmp/.new_reg"); } } close(TMP); } sub comparacion_reg { my $original = shift; my $new = shift; my $dato; #print "\n\n\tRegistros creados:"; $i = 0; undef @creados; open(TEMP,$new); @file = <TEMP>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$original); if ($dato eq '') { #print "\n\t$f"; $creados[$i] = $f; $i++; } } close(TEMP); if (@creados != 0) { print "\n\tRegistros creados:\n";


77

foreach $r (@creados) { print "\t$r\n"; } } #print "\n\n\tRegistros modificados:"; $i = 0; undef @modificados; open(TEMP,$new); @file = <TEMP>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$original); if ($dato eq '') { next; } elsif ($dato ne $f) { #print "\n\t$dato"; $modificados[$i] = $dato; $i++; } } close(TEMP); if (@modificados != 0) { print "\n\tRegistros modificados:\n"; foreach $r (@modificados) { print "\t$r\n"; } } #print "\n\n\tRegistros borrados:"; $i = 0; undef @borrados; open(SAL,$original); @file = <SAL>; foreach $f (@file) { undef $dato; chomp $f; $dato=encontrar_reg($f,$new); if ($dato eq '') { #print "\n\t$f"; $borrados[$i]=$f; $i++; } } close(SAL); if (@borrados != 0) { print "\n\tRegistros borrados:\n"; foreach $r (@borrados) { print "\t$r\n"; } } }

Anexo 6. Archivo /forensics/forensics.sh

#!/bin/sh #$1 imagen a cargar, p.e. ddsave.img #$2 punto de montaje y subdirectorio de salida en /forecsics, p.e. new HIVEPATH=/mnt/new/WINDOWS/system32/config if [ -e /tmp/go.txt ]; then /fauxservers/stop.sh 2> /dev/null /usr/local/apache2/bin/apachectl stop FILENAME=`cat /tmp/go.txt` FPATH=/results/${FILENAME}-files rm -f /tmp/go.txt

Anexos

78

rm /tmp/*.bin 2> /dev/null rm /forensics/new/* 2> /dev/null mount -o loop -r -t ntfs /images/ddsave.img /mnt/new mkdir -p $FPATH echo -e "================================= Reporte TRUMAN =====================================" > $FPATH/Reporte_${FILENAME}.txt echo >> $FPATH/Reporte_${FILENAME}.txt echo "Binario: $FILENAME" >> $FPATH/Reporte_${FILENAME}.txt echo Firma MD5: `md5sum /forensics/exes/$FILENAME | awk '{print $1}'` >> $FPATH/Reporte_${FILENAME}.txt echo Firma SHA1: `sha1sum /forensics/exes/$FILENAME | awk '{print $1}'` >> $FPATH/Reporte_${FILENAME}.txt #cd /mnt/new #sed 's/\/mnt\/orig/C:/g' -e 's/\//\\/g' /forensics/orig/orig.md5 > /forensics/orig/orig.md5.res #rm /forensics/orig/orig.md5 #mv /forensics/orig/orig.md5.res /forensics/orig/orig.md5 echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt #Realizando la comparacion del sistema de archivos y de acuerdo a los archivos diferenciados perl /forensics/compare.pl -x /mnt/new | sed 's/\//\\/g' | grep -v -f /forensics/patternsfs.txt > /forensics/new/.reporte.tmp sleep 5 cat /forensics/new/.reporte.tmp >> $FPATH/Reporte_${FILENAME}.txt rm /forensics/new/.reporte.tmp #Realizando el volcado del registro de windows dumphive $HIVEPATH/default /forensics/new/default.reg dumphive $HIVEPATH/software /forensics/new/software.reg dumphive $HIVEPATH/system /forensics/new/system.reg #Ajustando los volcados para dejarlos de la forma: Llave###Valores /forensics/ajustar.sh /forensics/new/default.reg /forensics/ajustar.sh /forensics/new/software.reg /forensics/ajustar.sh /forensics/new/system.reg #Extrayendo archivos de procesos y puertos en escucha cp /mnt/new/psnew.txt /forensics/new/psnew.txt.bkp cp /mnt/new/netnew.txt /forensics/new/netnew.txt.bkp #para pslist #sed -e '/^\s$/d' -e '/Process\sinformation/d' -e '/CPU\sTime/d' /mnt/new/psnew.txt | awk '{print $1}' | egrep -v "(cmd|pslist|sleep)" > /forensics/new/psnew.txt #para tasklist sed -e '/^\s$/d' -e '/Nombre\sde\simagen/d' -e '/=========/d' -e 's/\sI/I/g' -e 's/\sP/P/g' /mnt/new/psnew.txt | awk '{print $1}' | egrep -v "(cmd\.exe|tasklist\.exe|sleep\.exe|wuauclt\.exe)" > /forensics/new/psnew.txt #sed -e '/^\s$/d' -e '/Conexiones\sactivas/d' -e '/Proto/d' /mnt/new/netnew.txt | awk '{print $1,"|",$2,"|",$3,"|",$4}' | sed 's/\s//g' > /forensics/new/netnew.txt sed -e '/^\s$/d' -e '/Conexiones\sactivas/d' -e '/Proto/d' /mnt/new/netnew.txt | grep -v "127\.0\.0\.1" | sed 's/^\s\s//g' > /forensics/new/netnew.txt diff /forensics/orig/psorig.txt /forensics/new/psnew.txt | grep "> " | sed 's/>\s//g' > /tmp/process.txt perl /forensics/finder.pl /forensics/orig/psorig.txt /tmp/process.txt > /tmp/process.txt.bkp if test -s /tmp/process.txt.bkp then echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nProcesos levantados:\n" >> $FPATH/Reporte_${FILENAME}.txt cat /tmp/process.txt.bkp | grep -v "logon\.scr" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/process.txt /tmp/process.txt.bkp diff /forensics/orig/netorig.txt /forensics/new/netnew.txt | grep "> " | sed 's/>\s//g' > /tmp/network.txt perl /forensics/finder.pl /forensics/orig/netorig.txt /tmp/network.txt > /tmp/network.txt.bkp if test -s /tmp/network.txt.bkp then echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nConexiones activas:\n" >> $FPATH/Reporte_${FILENAME}.txt echo -e "Proto Direccion Local Direccion Remota Estado\n" >> $FPATH/Reporte_${FILENAME}.txt cat /tmp/network.txt.bkp >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/network.txt /tmp/network.txt.bkp #Comparando las direfencias entre los volcados de registro


79

echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\DEFAULT :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/default.reg /forensics/new/default.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /forensics/new/.default.reg.temp #perl /forensics/comparer.pl /forensics/orig/default.reg /forensics/new/.default.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.default.reg.temp diff --text /forensics/orig/default.reg /forensics/new/default.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/orig.default.reg diff --text /forensics/orig/default.reg /forensics/new/default.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/new.default.reg perl /forensics/comparer.pl /tmp/orig.default.reg /tmp/new.default.reg > /tmp/default.rep if [ -s /tmp/default.rep ]; then cat /tmp/default.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.default.reg /tmp/new.default.reg /tmp/default.rep echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\SOFTWARE :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/software.reg /forensics/new/software.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /forensics/new/.software.reg.temp #perl /forensics/comparer.pl /forensics/orig/software.reg /forensics/new/.software.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.software.reg.temp diff --text /forensics/orig/software.reg /forensics/new/software.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/orig.software.reg diff --text /forensics/orig/software.reg /forensics/new/software.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt > /tmp/new.software.reg perl /forensics/comparer.pl /tmp/orig.software.reg /tmp/new.software.reg > /tmp/software.rep if [ -s /tmp/software.rep ]; then cat /tmp/software.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.software.reg /tmp/new.software.reg /tmp/software.rep echo -e "\n-------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nInforme de Registros en \\HKEY_LOCAL_MACHINE\\SYSTEM :" >> $FPATH/Reporte_${FILENAME}.txt #diff /forensics/orig/system.reg /forensics/new/system.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /forensics/new/.system.reg.temp #perl /forensics/comparer.pl /forensics/orig/system.reg /forensics/new/.system.reg.temp >> $FPATH/Reporte_${FILENAME}.txt #rm /forensics/new/.system.reg.temp diff --text /forensics/orig/system.reg /forensics/new/system.reg | grep "< " | sed 's/<\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /tmp/orig.system.reg diff --text /forensics/orig/system.reg /forensics/new/system.reg | grep "> " | sed 's/>\s//g' | grep -v -f /forensics/patternsrg.txt | grep -i "system\\\controlset002\\\services" > /tmp/new.system.reg perl /forensics/comparer.pl /tmp/orig.system.reg /tmp/new.system.reg > /tmp/system.rep if [ -s /tmp/system.rep ]; then cat /tmp/system.rep >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nNo se detectaron diferencias" >> $FPATH/Reporte_${FILENAME}.txt fi rm /tmp/orig.system.reg /tmp/new.system.reg /tmp/system.rep #echo -e "\n" >> $FPATH/Reporte_${FILENAME}.txt #script para el analisis de trafico /forensics/traffic.sh /tmp/sandnet.pcap echo -e "\n--------------------------------------------------------------------------------------" >> $FPATH/Reporte_${FILENAME}.txt echo -e "\nAnalisis de trafico\n" >> $FPATH/Reporte_${FILENAME}.txt if [ -s /tmp/.report_traffic ]; then cat /tmp/.report_traffic >> $FPATH/Reporte_${FILENAME}.txt else echo -e "\nEl analisis de trafico no arrojo resultados" >> $FPATH/Reporte_${FILENAME}.txt fi echo -e "\n" >> $FPATH/Reporte_${FILENAME}.txt

Anexos

80

umount /mnt/new; #/fauxservers/stop.sh 2> /dev/null cp /tmp/sandnet.pcap /results/capturas/${FILENAME}.pcap 2> /dev/null perl /forensics/mailreport.pl "$FILENAME" "$FPATH/Reporte_${FILENAME}.txt" scp -r -q $FPATH/ [email protected]:/home/malware-unam/TRUMAN/Reportes/ /usr/local/apache2/bin/apachectl start fi

Anexo 7. Archivo /forensics/traffic.sh

#!/bin/bash #Toma un archivo (arg[1]), o todos los pcap en un directorio #Genera reporte #Requiere Snort 2.8.4.1 o superior #----------------------VARIABLES---------------------------- #Localizacion de snort: snort_loc=/usr/local/bin/snort #Archivo de configuracion de snort snort_conf=/etc/snort/snort.conf #----------------------------------------------------------- #Revision de integridad de argumentos if [[ $# -ge 2 || $# -eq 0 || $1 == "--help" ]]; then echo "Uso: ./traffic captura.pcap" exit 1 fi #inicializacion del archivo de reporte echo -ne "" > /tmp/.report_traffic #Si tenemos argumento valido: #Snort sobre el archivo de captura, genera alert echo "Snort procesando..." $snort_loc -r $1 -l /tmp/ -c $snort_conf -b &> /dev/null #$snort_loc -r $1 -l /tmp/ -c $snort_conf -b echo "Listo. 1" #Voy a limpiar el alert porque esta lleno de repetidos #Busca IP, la imprime con el numero de conexiones grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}:80" /tmp/alert | awk 'gsub(":80","",$4) {print $4}' | uniq -c > /tmp/.http grep -E "([0-9]{1,3}\.){3}[0-9]{1,3}:21" /tmp/alert | awk 'gsub(":21","",$4) {print $4}' | uniq -c > /tmp/.ftp awk '/^\[\*\*\].*IRC/{getline; getline; print}' /tmp/alert | awk 'gsub(":","\t",$4) gsub(":","\t",$2) {print $2"\t"$4}' | uniq -c > /tmp/.ircs awk '/Otro puerto/{getline; getline; print}' /tmp/alert | awk 'gsub(":","\t",$4) gsub(":","\t",$2) {print $2"\t"$4}' | uniq -c > /tmp/.otros #Generando reporte echo "Generando Reporte" #echo -ne "Servidores http contactados:\n\n" > /tmp/.report_traffic while read http do serv=`echo $http | awk '{print $2}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "\t$dom($serv)\n" >> /tmp/.https done < /tmp/.http sort /tmp/.https | grep -v "4\.5\.6\." | uniq >> /tmp/.httpss if test -s /tmp/.httpss then echo -ne "Servidores http contactados:\n\n" > /tmp/.report_traffic cat /tmp/.httpss >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi #echo -ne "Servidores ftp contactados:\n\n" >> /tmp/.report_traffic while read ftp do serv=`echo $ftp | awk '{print $2}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "\t$dom($serv)\n" >> /tmp/.ftps


81

done < /tmp/.ftp if test -s /tmp/.ftps ; then sort /tmp/.ftps | uniq >> /tmp/.ftpss ; fi if test -s /tmp/.ftpss then echo -ne "Servidores ftp contactados:\n\n" >> /tmp/.report_traffic cat /tmp/.ftpss >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi #echo -ne "Servidores IRC contactados:\n\n" >> /tmp/.report_traffic while read irc do serv=ècho $irc | awk '{print $4}'` data=ècho $irc | awk '{print "puerto origen: "$3"; puerto destino: "$5}'` dom=`nslookup $serv | grep -w name | awk '{print $4}' | sed 's/\.$//' | awk '{print $0" "}'` echo -ne "$dom($serv) con $data\n" >> /tmp/.ircss done < /tmp/.ircs if test -s /tmp/.ircss ; then sort /tmp/.ircss | uniq >> /tmp/.ircsss ; fi if test -s /tmp/.ircsss then echo -ne "Servidores IRC contactados:\n\n" >> /tmp/.report_traffic cat /tmp/.ircss | awk '{print "\t" $0}' >> /tmp/.report_traffic echo -ne "\n" >> /tmp/.report_traffic fi echo "Listo. 2" #Proceso para sacar flujos - en gran parte para saber los nombres de archivo... #echo -ne "Informacion de Conexiones IRC\n\n" >> /tmp/.report_traffic ct=1 while read pareja do tcpflow -r $1 "(src host ècho $pareja | awk '{print $2}'` and src port ècho $pareja | awk '{print $3}'` and dst host ècho $pareja | awk '{print $4}'` and dst port ècho $pareja | awk '{print $5}'`) or (src host ècho $pareja | awk '{print $4}'` and src port ècho $pareja | awk '{print $5}'` and dst host ècho $pareja | awk '{print $2}'` and dst port ècho $pareja | awk '{print $3}'`)" tcpflow -c -r $1 "(src host ècho $pareja | awk '{print $2}'` and src port ècho $pareja | awk '{print $3}'` and dst host ècho $pareja | awk '{print $4}'` and dst port ècho $pareja | awk '{print $5}'`) or (src host ècho $pareja | awk '{print $4}'` and src port ècho $pareja | awk '{print $5}'` and dst host ècho $pareja | awk '{print $2}'` and dst port ècho $pareja | awk '{print $3}'`)" > /tmp/.tcpflow echo $pareja | awk '{print $2}' | awk -F . '{print $1"\n"$2"\n"$3"\n"$4}' > /tmp/.ip_clt ip="" while read oct do if [ ècho $oct | wc -c` == 2 ]; then ip="${ip}00${oct}." elif [ ècho $oct | wc -c` == 3 ]; then ip="${ip}0${oct}." else ip="${ip}${oct}." fi done < /tmp/.ip_clt ip=ècho $ip | sed 's/\.$//g'` ls -l $ip* | awk '{print $8}' > /tmp/.flujos while read flujo do srv=ècho $flujo | awk -F "-" '{print $2}'` clt=ècho $flujo | awk -F "-" '{print $1}'` echo -ne "\tConexion $ct: \n\n" >> /tmp/.irc_connections #echo -ne "\t" >> /tmp/.irc_connections cat $clt-$srv >> /tmp/.irc_connections echo -ne "\n" >> /tmp/.irc_connections cat $clt-$srv >> /tmp/.irc_connections echo -ne "\n" >> /tmp/.irc_connections #cat $srv-$clt | awk '{print "\t\t" $0}' >> /tmp/.irc_connections #cat $srv-$clt | awk '{print "\t\t" $0}' >> /tmp/.irc_connections rm $clt-$srv $srv-$clt done < /tmp/.flujos ct=èxpr $ct + 1` done < /tmp/.ircs if test -s /tmp/.irc_connections then echo -ne "Informacion de Conexiones IRC\n\n" >> /tmp/.report_traffic cat /tmp/.irc_connections >> /tmp/.report_traffic echo -ne "\n\n" >> /tmp/.report_traffic

Anexos

82

fi echo "Listo. 3" #echo -ne "Otras conexiones:\n\n" >> /tmp/.report_traffic cat /tmp/.otros | awk '{print $2" "$3" "$4" "$5}' > /tmp/.otross cat /tmp/.ircs | awk '{print $2" "$3" "$4" "$5}' > /tmp/.ircss grep -v -f /tmp/.ircss /tmp/.otross > /tmp/.otrosss while read otro do if [[ ècho $otro | awk '{print $3}'` != ècho $ip | sed -r -e 's/^0+//' -e 's/.0+/./g'` && ècho $otro | awk '{print $3}'` != "4.5.6.7" ]]; then echo "A ècho $otro | awk '{print $3}' | nslookup | grep -w name | awk '{print $4}' | sed 's/\.$//'` (IP ècho $otro | awk '{print $3}'`, puerto ècho $otro | awk '{print $2}'`) desde el puerto ècho $otro | awk '{print $4}'`" >> /tmp/.otrossss fi done < /tmp/.otrosss if test -s /tmp/.otrossss then echo -ne "Otras conexiones:\n\n" >> /tmp/.report_traffic cat /tmp/.otrossss >> /tmp/.report_traffic # echo -ne "\n\n" >> /tmp/.report_traffic fi rm /tmp/alert /tmp/.http /tmp/.https /tmp/.httpss /tmp/.ftp /tmp/.ftps /tmp/.ftpss /tmp/.ircs /tmp/.ircss /tmp/.ircsss /tmp/.irc_connections /tmp/.flujos /tmp/.otros /tmp/.otross /tmp/.otrosss /tmp/.otrossss /tmp/.ip_clt /tmp/snort* 2> /dev/null

Anexo 8. Archivos varios

Archivo /etc/init.d/services.sh.

#!/bin/bash while [ 1 ] do state=`cat /fauxservers/start.flag`; if [ "${state}" == "10" ]; then /fauxservers/start.sh > /dev/null 2> /dev/null; echo "00" > /fauxservers/start.flag; # echo "$state"; fi if [ "${state}" == "11" ]; then /fauxservers/stop.sh > /dev/null 2> /dev/null /forensics/forensics.sh > /dev/null 2> /dev/null echo "00" > /fauxservers/start.flag; # echo "$state"; fi done

Archivo /fauxservers/start.sh

#!/bin/sh tcpdump -c 10000 -n -l -i eth1 -s 1514 -w /tmp/sandnet.pcap not port 45612 and not port 45611 & /etc/init.d/nat up

Archivo /fauxservers/stop.sh

#!/bin/sh tcpdump -c 10000 -n -l -i eth1 -s 1514 -w /tmp/sandnet.pcap not port 45612 and not port 45611 & /etc/init.d/nat up

Archivo /usr/local/apache2/cgi-bin/truman.cgi

#!/usr/bin/perl ## truman.cgi


83

## ## (c)2006 Joe Stewart <[email protected]> ## ## Handles cycling of the Truman boot parameters and script control use CGI; use strict; $| = 1; my $queue = "/forensics/queue"; my $postqueue = "/forensics/exes/"; my $q = new CGI; my $res = $q->param('res'); my $func = $q->param('func'); if ($func eq "dequeue") { opendir(DIR, $queue) or die "can't opendir $queue : $!\n"; my $file; my $size; while ( defined ($file = readdir(DIR)) ) { next if $file =~ /^\.\.?$/; $size = (stat("$queue/$file"))[7]; if ($size) { print "Content-Length: $size\n"; print "Content-Type: application/x-executable\n\n"; open(IN,"$queue/$file") or die "Can't open $file : $!\n"; my $buf; system("/bin/echo \"10\" > /fauxservers/start.flag"); system("/bin/cp /tftpboot/pxelinux.cfg/truman /tftpboot/pxelinux.cfg/default > /dev/null 2> /dev/null"); while(!eof(IN)) { read(IN,$buf,1024); print $buf; } close IN; system("mv $queue/$file $postqueue"); open(OUT,">/tmp/current.txt"); print OUT $file; close OUT; closedir(DIR); exit; } } # nothing in queue, send a 0-byte response closedir(DIR); print "Content-Length: 0\n"; print "Content-Type: application/x-executable\n\n"; exit; } if ($res eq "restoresuccess") { # make normal boot the default system("/bin/cp /tftpboot/pxelinux.cfg/normalboot /tftpboot/pxelinux.cfg/default"); } elsif ($res eq "savesuccess") { # give forensic scripts the go-ahead system("/bin/mv /tmp/current.txt /tmp/go.txt"); system("/bin/echo \"11\" > /fauxservers/start.flag"); system("/bin/cp /tftpboot/pxelinux.cfg/normalboot /tftpboot/pxelinux.cfg/default"); } elsif ($res eq "booted") { # make truman boot the default system("/bin/cp /tftpboot/pxelinux.cfg/truman /tftpboot/pxelinux.cfg/default"); } print "Content-type: text/html\n\n"; print "Ok\n";

Archivo /etc/init.d/nat

#!/bin/sh IPTABLES="/sbin/iptables"

Anexos

84

case $1 in up ) #para habilitar la repeticion y el cliente pueda realizar consultas a internet /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #para borar todas las reglas previas $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F #Estableciendo politica por defecto $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # Habilita el NAT $IPTABLES -t nat -A POSTROUTING -s 4.5.6.0/24 -d 0.0.0.0/0 -j MASQUERADE # Deja pasar los paquetes ICMP $IPTABLES -A INPUT -i eth0 -p ICMP -j ACCEPT # Permite conexiones al puerto 80 (HTTP) $IPTABLES -A INPUT -i eth0 -p TCP --dport 80 -m state --state NEW -j ACCEPT # Permite conexiones al puerto 22 (SSH) $IPTABLES -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT # Acepta comsultas a DSN $IPTABLES -A OUTPUT -o eth0 -p UDP --dport 53 -j ACCEPT # Acepta paquetes de conexiones ya establecidas $IPTABLES -A INPUT -i eth0 -p TCP -m state --state RELATED -j ACCEPT # Rechaza paquetes de conexiones nuevas $IPTABLES -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP # Rechazamos paquetes de forwarding de conexiones no establecidas $IPTABLES -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP #Bloquea trafico de salida hacia IPs privadas o locales $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 10.0.0.0/8 -j DROP $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 172.16.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 172.16.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p TCP -m state --state NEW,INVALID -d 192.168.0.0/16 -j DROP $IPTABLES -A OUTPUT -o eth0 -p UDP -d 192.168.0.0/16 -j DROP ;; down ) #para deshabilitar la repeticion y el cliente pueda realizar consultas a internet /bin/echo 0 > /proc/sys/net/ipv4/ip_forward #para borar todas las reglas previas $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F ;; * ) echo "Opcion no existente" ;; esac

Anexo 9. Archivo /forensics/mailreport.pl

#!/usr/bin/perl open (MAIL,"|/usr/lib/sendmail -t"); print MAIL "To: jduran\@seguridad.unam.mx\n"; print MAIL "From: truman_unam-cert\n"; print MAIL "Subject: Analisis del Malware @ARGV[0], TRUMAN UNAM-CERT\n\n"; $reporte=`cat @ARGV[1]`; print MAIL $reporte; close MAIL;


85

Anexo 10. Tutorial relaciones de confianza con SSH.

Si se está constantemente administrando servidores de manera remota, le parecerá molesto estar

tecleando las extensas contraseñas que se seleccionan con el fin de lograr una alta seguridad. Sin

embargo, es posible crear confianza entre dos equipos de manera que no se tenga que volver a

teclear nunca más la contraseña y sin perder seguridad.

Para crear confianza entre dos equipos es necesario crear una llave pública y agregarla al archivo

authorized_keys del equipo remoto. Por ejemplo, imaginar que el usuario "manuel" está en una

WorkStation NetBSD cuyo hostname es "andromeda" y desea conectarse al equipo

“mononeurona.org” usando la cuenta de usuario "httpuser". Los pasos serían los siguientes.

Se crea la llave pública con el comando keygen-ssh (cuando le pregunte la frase sólo de enter):

$ ssh-keygen -t dsa

Generating public/private dsa key pair.

Enter file in which to save the key (/home/manuel/.ssh/id_dsa):

Created directory '/home/manuel/.ssh'.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/manuel/.ssh/id_dsa.

Your public key has been saved in /home/manuel/.ssh/id_dsa.pub.

The key fingerprint is:

ca:6d:4e:6c:f5:fd:10:3b:59:7b:11:80:59:7d:8b:54 manuel@andromeda

Ahora se copia la llave pública al equipo remoto:

$ scp .ssh/id_dsa.pub

[email protected]:/home/httpuser/.ssh/andromeda_id_dsa.pub

Se ingresa al otro equipo, tecleando la contraseña por última vez.

$ ssh [email protected]

Una vez adentro, se inserta el archivo con nuestra llave pública al archivo “authorized_keys”.

$ cat .ssh/andromeda_id_dsa.pub >> .ssh/authorized_keys

Anexos

86

Se realiza la comprobación de los permisos. El directorio “.ssh” debe tener permisos de ejecución y

lectura pero no de escritura.

$ chmod 555 .ssh && chmod 644 .ssh/authorized_keys

Nos salimos del servidor remoto con exit y volvemos a teclear.

$ ssh [email protected]

Por último se tendrá la capacidad de entrar automáticamente sin teclear nada.

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

87

An

exo

10

. M

ue

stra

de

un

re

po

rte

ge

ne

rad

o p

or

la h

err

am

ien

ta.

====

====

====

====

====

====

===

====

== R

epo

rte

TR

UM

AN

===

====

====

====

====

====

====

====

====

==

Bin

ario

: u

rdvx

c.ex

e

Firm

a M

D5:

10e

0b

cf74

ff73

f50

8c2a

a6e

864

0dff

99

Fi

rma

SHA

1: f

603

b1

930

9ad

c84

8141

f14

82f7

360

0a4

949

5be

24

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

--

Arc

hiv

os

crea

do

s:

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

clb

vvlr

s.ex

e

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

clxl

czxq

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\ej

thw

sbr.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\es

jkb

ccv.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\lb

exz

kbk.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\lz

jvxj

el.e

xe

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

njw

rczc

c.ex

e

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

nse

krlv

z.ex

e

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

ntw

wcb

nq

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\sb

wrk

xcs.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\st

ttkl

te.e

xe

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

ttkk

lzcs

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\xc

lscl

bs.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\xt

xvn

rex.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Syst

em

\ad

o\s

cjej

qze

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\Ne

tMee

tin

g\xk

sjxl

jj.ex

e

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\c

nrs

tqb

b.e

xe

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\h

tvtl

chz.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\ez

nn

thw

j.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\h

jkb

llwk.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\jll

slb

nb

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\jn

kwrx

nr.

exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\kn

hb

wsn

v.ex

e

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

krh

wtj

eh

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\lh

vcln

lt.e

xe

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

rvjb

kxtl

.exe

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\zh

qvn

thb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\b

lvcc

bsx

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\b

rvec

wcs

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\b

tesn

ne

l.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\b

tqkx

en

z.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\cw

bb

net

r.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\hlr

rerk

q.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\kn

kskt

hw

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\l

rlzz

tll.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\nzz

wh

eb

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\rkj

enss

c.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\rrt

hsn

tk.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\tch

ekrq

t.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\vrr

kkh

bn

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\z

vsw

nle

v.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\c

thsn

blj.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

ekt

ltn

ch.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\e

rro

r\e

rett

xjr.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

jkh

eh

njn

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

kbw

nh

lkk.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

lktk

ttrb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

nee

hn

zxl.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\e

rro

r\ss

wzl

ttc.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

xen

jnb

qe.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\d

slm

ain

\ne

vttb

lh.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

dsl

mai

n\q

xztl

lwj.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

dsl

mai

n\s

lhce

zwb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\ic

on

nec

t\js

nsl

jzh

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\ic

on

nec

t\sh

rtrs

bs.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\is

pty

pe

\ln

vln

zbq

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\b

ccxe

jnc.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\b

zrb

bsr

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\cjx

sjlb

r.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\hcv

xrtw

z.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\jjlh

knh

h.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\jlk

shlv

l.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\k

hkv

hh

sb.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\klk

hkr

ts.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\lb

zcxv

er.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\nrl

cnzs

h.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\qe

tvq

lnw

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\r

bn

rnn

xt.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

sco

nn

ect\

jkh

jlhb

b.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

sco

nn

ect\

vzn

ne

be

t.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

cser

ror\

vcej

lxkt

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\h

ken

nts

l.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\jjt

rkb

nj.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

knkb

rnb

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

ktkb

ekn

l.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\rk

eetq

ew

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\sk

qb

vxsq

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\ts

jhsh

cj.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

ztce

skls

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\krc

xzn

cj.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\q

jeej

eej.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\ce

trjw

tt.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\e

hxz

esh

x.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\e

tnw

xxn

v.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\kj

tzrl

bb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rcw

ntt

zv.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\w

lkb

bn

rq.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\w

tkkx

rlr.

exe

An

exo

s

88

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\xc

jnks

ke.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\b

knkj

heh

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\bvq

ncl

er.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\c

rjrh

ltv.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\elr

bjlr

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\e

nb

sjw

re.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\e

sjh

xblq

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\esk

cxkh

r.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\h

lqst

wxz

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\hn

hkk

ene.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\hw

ncr

nh

h.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\h

xckw

nzl

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\hxx

ttsk

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\j

ejrh

nvh

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\jtx

sbxw

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\k

jqkx

tnz.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\kks

kses

r.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\k

nkh

rczb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\lh

khb

jzl.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\l

kjtr

hks

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\ln

estr

nt.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\nkh

lvlz

t.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\n

lee

vxq

j.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\nst

nn

nkk

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\ntw

bjn

xv.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\n

vbb

shss

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\nw

qjk

khn

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\rre

snsc

t.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\r

serk

ten

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\sej

khev

n.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\s

eq

tjb

ee.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\s

hb

qjh

cl.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\t

nq

sbljb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\tq

kbrh

nx.

exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\tth

zxn

tk.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\v

jbss

bh

j.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\vkc

kxh

bn

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\wn

klre

tl.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\w

rbb

njs

s.ex

e

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\w

ten

sln

j.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\ze

bls

xxw

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\zh

hrr

ltb

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\zh

zsn

hje

.exe

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\zn

nh

hh

tk.e

xe

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\t

ttn

wsh

l.exe

C

:\W

IND

OW

S\sy

stem

32

\urd

vxc.

exe

C

:\W

IND

OW

S\H

elp

\bze

hxv

nz.

exe

C

:\W

IND

OW

S\H

elp

\hw

exrt

ne.

exe

C

:\W

IND

OW

S\H

elp

\jb

nsh

hq

j.exe

C

:\W

IND

OW

S\H

elp

\jjle

nkb

t.ex

e

C:\

WIN

DO

WS\

Hel

p\T

ou

rs\h

tmlT

ou

r\kl

bve

jnk.

exe

C:\

WIN

DO

WS\

Hel

p\T

ou

rs\h

tmlT

ou

r\kz

erb

zks.

exe

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

kzkz

kjkb

.exe

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

qej

nh

etj.e

xe

C:\

WIN

DO

WS\

Hel

p\T

ou

rs\h

tmlT

ou

r\rb

nes

qvr

.exe

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

rqkj

qjq

b.e

xe

C:\

WIN

DO

WS\

Hel

p\T

ou

rs\W

ind

ow

sMed

iaP

laye

r\A

ud

io\l

llkn

blj.

exe

C

:\W

IND

OW

S\H

elp

\To

urs

\Win

do

wsM

edia

Pla

yer\

Cn

t\tj

nb

zhb

h.e

xe

C:\

WIN

DO

WS\

Hel

p\t

sbjb

tvn

.exe

C

:\W

IND

OW

S\W

eb

\wcx

njh

hj.e

xe

Arh

ivo

s m

od

ific

ado

s:

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Gla

ciar

.htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\A

taq

ue

rad

ial.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Be

bid

a d

e lim

ón

.htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\D

ulc

es.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Día

lum

ino

so.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

En b

lan

co.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Fies

ta.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Gir

aso

l.htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\G

ráfi

cos

circ

ula

res.

htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\H

ied

ra.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Ho

jas.

htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\M

aíz.

htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Mic

roso

ft S

har

ed

\Sta

tio

ner

y\N

atu

rale

za.h

tm

C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

ne

s\M

icro

soft

Sh

are

d\S

tati

on

ery\

Técn

ico

.htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Arc

hiv

os

com

un

es\

Syst

em

\ad

o\M

DA

CR

ead

me.

htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\Ne

tMee

tin

g\n

etm

eet.

htm

C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\al

lcla

sses

-fra

me.

htm

l C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\al

lcla

sses

-no

fram

e.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\p

acka

ge-f

ram

e.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\p

acka

ge-s

um

mar

y.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\p

acka

ge-t

ree.

htm

l C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\co

m\v

mw

are

\vm

gues

tlib

\VM

Gu

estL

ibEr

rorE

xce

pti

on

.htm

l C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\co

m\v

mw

are

\vm

gues

tlib

\VM

Gu

estL

ibH

and

le.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\V

MG

ues

tLib

Inte

rfac

e.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

con

stan

t-va

lues

.htm

l C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\h

elp

-do

c.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

ind

ex-a

ll.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

ind

ex.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

ove

rvie

w-

sum

mar

y.h

tml

C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

ove

rvie

w-t

ree.

htm

l C

:\A

rch

ivo

s d

e p

rogr

ama

\VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\se

rial

ized

-fo

rm.h

tml

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

con

n.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

do

ne.

htm

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

89

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

iv.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

ive

rr.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

ivsv

c.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\act

lan

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\a

des

kerr

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\a

drd

yre

g.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\ap

olic

y.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\ap

rvcy

ms.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\a

reg1

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\a

regd

ial.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\a

ctse

tup

\are

gdo

ne.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

setu

p\a

usr

info

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\act

shel

l.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\dts

gnu

p.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\e

rro

r\cn

nct

err.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

dia

lto

ne.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

hn

dsh

ake.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

isp

2bu

sy.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\e

rro

r\n

oan

swer

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

pb

err.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

pu

lse

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\err

or\

too

bu

sy.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

dsl

mai

n\d

slm

ain

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\d

slm

ain

\dsl

_a.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

dsl

mai

n\d

sl_

b.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

ico

nn

ect\

icn

tlas

t.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

ico

nn

ect\

ico

nn

ect.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\is

pty

pe

\isp

typ

e.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\h

tml\

mo

use

\mo

use

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_a

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_b

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_c

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_d

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_e

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_f

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_g

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_h

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_i

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_j

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\m

ou

se\m

ou

se_k

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\sc

on

nec

t\sc

ntl

ast.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\htm

l\sc

on

nec

t\sc

on

nec

t.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

cser

ror\

icsd

c.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

isp

cner

r.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

isp

dto

ne.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\is

ph

dsh

k.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

isp

ins.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\is

pn

oan

w.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

isp

pb

err

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\isp

erro

r\is

pp

hb

sy.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\i

sper

ror\

isp

sbu

sy.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\m

sob

she

l.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rcn

terr

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rdto

ne.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rhn

dsh

k.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\rn

oan

sw.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\r

ege

rro

r\rn

om

dm

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rpb

err.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rpu

lse.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\re

gerr

or\

rto

ob

usy

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\id

en

t1.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\o

emp

riv.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\act

err

or.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\act

ivat

e.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\a

ct_

plc

y.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\a

uto

up

dt.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\au

_plc

y.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\b

ade

ula

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\bad

pke

y.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\c

om

pn

ame.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\dia

lup

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\drd

yisp

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\drd

ymig

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\drd

yoem

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\drd

yref

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\dti

wai

t.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\f

ini.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\h

nw

prm

pt.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\ico

nn

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\ics

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\id

en

t2.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\i

sp.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\i

spw

ait.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\jn

do

mai

n.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\j

nd

om

_a.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\k

eyb

d.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\k

eyb

dcm

t.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\m

igd

ial.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\m

iglis

t.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\m

igp

age.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\new

eula

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\new

eula

2.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\O

ob

edis

c.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\p

rod

key.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\prv

cym

s.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\r

efd

ial.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\r

eg1

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\re

g3.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\r

egd

ial.h

tm

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\s

ecu

rity

.htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\tim

ezo

ne.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\set

up

\use

rnam

e.h

tm

An

exo

s

90

C:\

WIN

DO

WS\

syst

em3

2\o

ob

e\s

etu

p\w

elco

me.

htm

C

:\W

IND

OW

S\sy

stem

32

\oo

be

\up

dsh

ell.

htm

C

:\W

IND

OW

S\H

elp

\cia

dm

in.h

tm

C:\

WIN

DO

WS\

Hel

p\c

iqu

ery.

htm

C

:\W

IND

OW

S\H

elp

\ixq

lan

g.h

tm

C:\

WIN

DO

WS\

Hel

p\m

igw

iz.h

tm

C:\

WIN

DO

WS\

Hel

p\m

igw

iz2.

htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

bes

t_fr

.htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

foo

ter.

htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

safe

_fr.

htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

star

t_fr

.htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

con

nec

ted

_fr.

htm

C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

un

lock

_fr.

htm

C

:\W

IND

OW

S\H

elp

\To

urs

\Win

do

wsM

edia

Pla

yer\

Au

dio

\sn

d.h

tm

C:\

WIN

DO

WS\

Hel

p\T

ou

rs\W

ind

ow

sMed

iaP

laye

r\C

nt\

con

ten

ts.h

tm

C:\

WIN

DO

WS\

We

b\t

ip.h

tm

Arc

hiv

os

bo

rrad

os:

--

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

P

roce

sos

leva

nta

do

s:

urd

vxc.

exe

--

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

C

on

exio

nes

act

ivas

: P

roto

Dir

ecci

on

Lo

cal

Dir

ecci

on

Rem

ota

Est

ado

TC

P

4.5

.6.7

:140

4

61.

1.46

.14:

139

SY

N_S

ENT

TC

P

4.5

.6.7

:140

5

61.

1.12

1.9:

139

SY

N_S

ENT

TC

P

4.5

.6.7

:140

7

61.

1.23

5.6

9:13

9

S

YN_S

ENT

TC

P

4.5

.6.7

:140

8

61.

1.16

6.6:

139

SY

N_S

ENT

--

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

---

Info

rme

de

Reg

istr

os

en

\H

KEY

_LO

CA

L_M

AC

HIN

E\D

EFA

ULT

:

No

se

de

tect

aro

n d

ifer

en

cias

--

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

---

Info

rme

de

Reg

istr

os

en

\H

KEY

_LO

CA

L_M

AC

HIN

E\S

OFT

WA

RE

: Ll

aves

cre

adas

y r

egis

tro

s:

[so

ftw

are

\Cla

sses

\CLS

ID\{

002

6A5

48-2

A1

9-E

8A0-

B03

E-B

8692

A75

086

E}]

@

="b

klzw

tkh

bsr

crxj

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

002

6A5

48-2

A1

9-E

8A0-

B03

E-B

8692

A75

086

E}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\W

eb\w

cxn

jhh

j.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{0

071

96C

5-0

DD

4-0

764

-F61

E-2

00F7

4EE

E57C

}]

@

="z

keb

jblz

bh

nzr

rhj"

[s

oft

war

e\C

lass

es\C

LSID

\{0

071

96C

5-0

DD

4-0

764

-F61

E-2

00F7

4EE

E57C

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\nrl

cnzs

h.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

00A

77F

45

-682

B-8

DE9

-9E1

9-E

2C

9F51

D83

88}]

@=

"re

ntx

zen

jkb

elb

hr"

[s

oft

war

e\C

lass

es\C

LSID

\{0

0A7

7F4

5-6

82B

-8D

E9-9

E19

-E2

C9F

51D

8388

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\k

ksks

esr.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{0

3F7

EF8A

-104

D-1

443

-9F1

B-0

698

9974

5744

}]

@

="t

bvh

hzt

rhke

krtn

w"

[so

ftw

are

\Cla

sses

\CLS

ID\{

03F

7EF

8A-1

04D

-14

43-9

F1B

-069

899

7457

44}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\qje

ejee

j.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{0

48B

F78C

-E6

18-0

789

-65

EC-7

B42

EEB

AB

DD

C}]

@=

"zkv

rzh

rvljz

qzx

jl"

[so

ftw

are

\Cla

sses

\CLS

ID\{

048

BF7

8C-E

618

-07

89-6

5EC

-7B

42EE

BA

BD

DC

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\sys

info

\jrt

qcs

sx.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

06F

575

57-A

B6

C-8

A55

-49

22

-735

4751

1B8D

2}]

@

="k

eh

lzct

bec

zstj

nl"

[s

oft

war

e\C

lass

es\C

LSID

\{0

6F5

7557

-AB

6C

-8A

55-4

92

2-7

3547

511B

8D2}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

ico

nn

ect\

jsn

sljz

h.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

073

7E8

42-2

BB

E-EE

74-7

8D8-

D84

8BD

F721

C1}

]

@=

"bw

bb

trcb

nrr

bkb

kk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

073

7E8

42-2

BB

E-EE

74-7

8D8-

D84

8BD

F721

C1}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\btq

kxen

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0A0F

148

6-3

5D6

-89D

7-D

882

-CA

1A59

862B

6E}

]

@=

"re

nw

knh

tkkr

ecb

js"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0A0F

148

6-3

5D6

-89D

7-D

882

-CA

1A59

862B

6E}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Co

mp

atC

tr\j

bn

xjtk

n.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0A82

E0C

D-C

707

-C66

F-5

6D8

-BFE

EEC

72B

3FF}

]

@=

"rlh

qn

vnes

snh

kbvt

"

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

91

[so

ftw

are

\Cla

sses

\CLS

ID\{

0A82

E0C

D-C

707

-C66

F-5

6D8

-BFE

EEC

72B

3FF}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\z

hzs

nh

je.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0B44

EB36

-CB

81-9

FE3-

EB6F

-ED

253B

C8

24C

5}]

@

="t

nn

lte

nw

tnlx

zjn

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0B44

EB36

-CB

81-9

FE3-

EB6F

-ED

253B

C8

24C

5}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\V

end

ors

\CN

=Mic

roso

ft

Co

rpo

rati

on

,L=R

ed

mo

nd

,S=W

ash

ingt

on

,C=

US\

kkrt

rbn

s.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

0CB

9093

C-C

0DA

-0F8

E-EE

4A-9

32

0FEE

E77D

5}]

@=

"skl

nzs

ljwb

hkt

tnh

" [s

oft

war

e\C

lass

es\C

LSID

\{0C

B90

93C

-C0D

A-0

F8E-

EE4A

-93

20F

EEE7

7D5

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

knh

bw

snv.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{1

01E4

C4F

-A3

01-A

D71

-148

E-5

84F7

618

A0A

C}]

@=

"bsw

bsq

qtb

zwn

steh

" [s

oft

war

e\C

lass

es\C

LSID

\{1

01E4

C4F

-A3

01-A

D71

-148

E-5

84F7

618

A0A

C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\m

ou

se\r

bn

rnn

xt.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

110

F97

74-F

AA

C-0

A3E

-8A

58

-182

D5A

948

013}

]

@=

"rrh

knb

kzh

nb

skjjk

" [s

oft

war

e\C

lass

es\C

LSID

\{1

10F9

774

-FA

AC

-0A

3E-8

A5

8-1

82D

5A9

4801

3}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\b

jlkjr

ls.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

118

AD

934

-651

2-C

F10-

DF5

0-2

B2

755

D07

C2F

}]

@

="l

ksln

ejjle

khlw

nt"

[s

oft

war

e\C

lass

es\C

LSID

\{1

18A

D93

4-6

512

-CF1

0-D

F50

-2B

27

55D

07C

2F}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\c

ntb

rbzr

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{1

226C

FC0

-5D

F7-E

1AE-

525D

-DD

C9F

4EE

73C

7}]

@=

"vrb

ltw

jtb

lbh

ljeb

" [s

oft

war

e\C

lass

es\C

LSID

\{1

226C

FC0

-5D

F7-E

1AE-

525D

-DD

C9F

4EE

73C

7}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\lh

vcln

lt.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

12A

1AE1

9-7

750

-B91

F-6F

8E-

96

8150

CD

EFB

7}]

@

="b

hvs

lsq

kkks

swrw

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

12A

1AE1

9-7

750

-B91

F-6F

8E-

96

8150

CD

EFB

7}\L

oca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\co

m\v

mw

are

\vm

gues

tlib

\htv

tlch

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

132

936

6B-3

CA

3-C

056

-483

2-F

DA

8BA

C1

351F

}]

@

="e

ehb

jnb

ksrh

bzj

bb

"

[so

ftw

are

\Cla

sses

\CLS

ID\{

132

936

6B-3

CA

3-C

056

-483

2-F

DA

8BA

C1

351F

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Up

dat

eCtr

\rrb

vcsb

b.e

xe"

[so

ftw

are\

Cla

sses

\CLS

ID\{

143

02F

B3

-F2A

5-D

B6E

-751

9-B

FCD

38B

9AFF

D}]

@=

"tsl

tzrz

bjq

hsn

elv"

[s

oft

war

e\C

lass

es\C

LSID

\{1

430

2FB

3-F

2A5

-DB

6E-7

519

-BFC

D38

B9A

FFD

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

rvjb

kxtl

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{1

8A5

8AED

-373

0-3

09F

-887

9-6

65F0

274

DEA

3}]

@

="w

tcss

rwxt

bn

ctvj

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

18A

58A

ED-3

730

-30

9F-8

879

-665

F02

74D

EA3}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\e

sjh

xblq

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{1C

64F

2C7

-C0

16-2

C0

6-7A

72-A

ED04

31ED

CD

1}]

@=

"ejq

nh

hzr

xbev

hjk

t"

[so

ftw

are

\Cla

sses

\CLS

ID\{

1C6

4F2C

7-C

016

-2C

06-

7A72

-AED

0431

EDC

D1

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

spe

rro

r\rk

eetq

ew

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{1C

F02

4E4

-90B

E-89

22-5

971

-A43

B3A

64F1

8C}]

@=

"qq

xjkj

xvn

sqjjv

jj"

[so

ftw

are

\Cla

sses

\CLS

ID\{

1CF0

24E

4-9

0BE-

8922

-59

71-A

43B

3A64

F18C

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\N

etM

eeti

ng\

xksj

xljj.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{1F

CB

90

23-A

1D4

-18

8C-5

AE1

-F3

4B8

E878

32B

}]

@

="n

etr

rhjc

xnke

ljjn

" [s

oft

war

e\C

lass

es\C

LSID

\{1F

CB

90

23-A

1D4

-18

8C-5

AE1

-F3

4B8

E878

32B

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\w

tkkx

rlr.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{2

0D1

0BF1

-31

13-E

7B7-

0A4

7-A

5B4

6903

4DB

2}]

@=

"ckx

tklb

vtw

zttt

tb"

[so

ftw

are

\Cla

sses

\CLS

ID\{

20D

10B

F1-3

113

-E7B

7-0A

47

-A5B

469

034D

B2

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\t

nq

sbljb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{2

360D

C15

-1EE

F-8D

F9-7

DB

2-18

C9

E52F

DB

C3}

]

@=

"eje

nrk

zwn

htv

sbsl

" [s

oft

war

e\C

lass

es\C

LSID

\{2

360D

C15

-1EE

F-8D

F9-7

DB

2-18

C9

E52F

DB

C3}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\z

nn

hh

htk

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{2

52D

536

2-7

DB

0-49

E3-7

A1

6-3

B8C

FC85

1C4F

}]

@

="x

blls

tve

hw

ntc

jhn

" [s

oft

war

e\C

lass

es\C

LSID

\{2

52D

536

2-7

DB

0-49

E3-7

A1

6-3

B8C

FC85

1C4F

}\Lo

calS

erve

r32]

An

exo

s

92

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

ttkk

lzcs

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{2

6A2

097D

-FE7

E-31

E3-E

B0D

-B47

6CC

974D

A8}

]

@=

"stq

zzlr

lbjn

lclb

n"

[so

ftw

are

\Cla

sses

\CLS

ID\{

26A

209

7D-F

E7E-

31E3

-EB

0D-B

476C

C97

4DA

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m3

2\o

ob

e\e

rro

r\e

ktlt

nch

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{2

92B

16F1

-5F5

D-C

6FE-

83F

B-7

BD

902

DB

1DB

8}]

@

="v

nb

nxj

lwjh

ejw

vrt"

[s

oft

war

e\C

lass

es\C

LSID

\{2

92B

16F1

-5F5

D-C

6FE-

83F

B-7

BD

902

DB

1DB

8}\L

oca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

esjk

bcc

v.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

2B74

AF4

8-6

A85

-72

22-6

651

-EB

BA

E148

C5B

3}]

@

="x

tlb

hb

tkee

tsb

ltj"

[s

oft

war

e\C

lass

es\C

LSID

\{2B

74A

F48

-6A

85-7

222

-66

51-E

BB

AE1

48C

5B3}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\e

nb

sjw

re.e

xe"

[so

ftw

are

\Cla

sse

s\C

LSID

\{2B

BB

B93

E-C

8E8

-C1E

E-0

93F-

EA21

1A6

2B2

7B}]

@=

"rkb

nh

jnsv

jqb

jvjh

" [s

oft

war

e\C

lass

es\C

LSID

\{2B

BB

B93

E-C

8E8

-C1E

E-0

93F-

EA21

1A6

2B2

7B}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\wrb

bn

jss.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{2C

7A5

774

-05

75-3

C1C

-17

89-B

8C3

E1C

D9D

DE}

]

@=

"ljr

xbn

zzjle

krljv

" [s

oft

war

e\C

lass

es\C

LSID

\{2C

7A5

774

-05

75-3

C1C

-17

89-B

8C3

E1C

D9D

DE}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

spe

rro

r\ts

jhsh

cj.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

2EF

892

62-6

92C

-51D

0-C

D8

4-C

415

D73

F84

EB}]

@=

"rq

bq

cln

chth

zrck

t"

[so

ftw

are

\Cla

sses

\CLS

ID\{

2EF

892

62-6

92C

-51D

0-C

D8

4-C

415

D73

F84

EB}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\jtx

sbxw

n.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

308

E81

ED-7

21

8-8

209

-0B

65

-409

E8A

5275

03}]

@=

"le

bkh

bn

hq

qls

eeb

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

308

E81

ED-7

21

8-8

209

-0B

65

-409

E8A

5275

03}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\jej

rhn

vh.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

324

6BB

5C-F

56C

-50C

E-9D

C1-

456

8A4

44B

F1F}

]

@=

"vb

hb

bb

zvts

erjb

tj"

[so

ftw

are

\Cla

sses

\CLS

ID\{

324

6BB

5C-F

56C

-50C

E-9D

C1-

456

8A4

44B

F1F}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\v

jbss

bh

j.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{3

26C

E86B

-F4

68-E

A85

-56

28

-FD

4D0F

FDB

B85

}]

@

="t

elv

vbjh

be

bke

he

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

326

CE8

6B-F

468

-EA

85-5

62

8-F

D4D

0FFD

BB

85}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\r

bcj

jwq

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

353

49B

95-8

2D3-

1178

-19

ED-0

E5D

2312

F5C

0}]

@=

"nn

jbee

qrs

srjc

bjh

" [s

oft

war

e\C

lass

es\C

LSID

\{3

534

9B95

-82D

3-11

78-1

9ED

-0E5

D23

12F5

C0

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\u

rdvx

c.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

354

00E

D6

-5C

B6-

5FB

6-F0

B9-

AF1

84FD

6376

3}]

@

="z

nje

ssek

lsct

njb

q"

[so

ftw

are

\Cla

sses

\CLS

ID\{

354

00E

D6

-5C

B6-

5FB

6-F0

B9-

AF1

84FD

6376

3}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\h

lrre

rkq

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{3

633

04E6

-AD

DF-

9355

-8F4

C-D

71

3157

51C

40}

]

@=

"cvh

ljnlll

tcxs

ksj"

[s

oft

war

e\C

lass

es\C

LSID

\{3

633

04E6

-AD

DF-

9355

-8F4

C-D

71

3157

51C

40}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Ven

do

rs\C

N=

Mic

roso

ft

Co

rpo

rati

on

,L=R

ed

mo

nd

,S=W

ash

ingt

on

,C=

US\

Rem

ote

Ass

ista

nce

\vxw

qh

wzs

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{3

676C

97E-

85F

8-4

FE1-

4FF3

-57

61EB

CB

649D

}]

@

="x

vqkk

trh

qq

rqje

vz"

[so

ftw

are

\Cla

sses

\CLS

ID\{

367

6C97

E-8

5F8

-4FE

1-4F

F3-5

761

EBC

B64

9D}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\lh

khb

jzl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

371

28C

75

-4B

63-7

1FC

-DD

33

-D9

492F

BB

2EFB

}]

@

="b

lkb

lsq

essb

qev

et"

[s

oft

war

e\C

lass

es\C

LSID

\{3

712

8C7

5-4

B63

-71F

C-D

D3

3-D

949

2FB

B2E

FB}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

lien

t\w

bjb

jelb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{3

720

1920

-C14

9-2

EC6-

4F1B

-17C

A78

F01B

82}

]

@=

"zsx

wkz

rrkr

ckrw

tb"

[so

ftw

are

\Cla

sses

\CLS

ID\{

372

019

20-C

149

-2EC

6-4F

1B-1

7CA

78F0

1B8

2}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\ln

estr

nt.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{3

7FA

274

4-0

3C3

-5EA

A-9

0C6

-D68

5E58

78D

B2}

]

@=

"rb

trh

bh

hw

ktsx

swk"

[s

oft

war

e\C

lass

es\C

LSID

\{3

7FA

274

4-0

3C3

-5EA

A-9

0C6

-D68

5E58

78D

B2}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\n

vbb

shss

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{3

8A7

613E

-68D

B-4

B91

-C1

68-6

B5F

071

086C

B}]

@=

"lsv

ew

rslt

rrrl

rth

"

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

93

[so

ftw

are

\Cla

sses

\CLS

ID\{

38A

761

3E-6

8DB

-4B

91-C

168

-6B

5F0

7108

6CB

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

hjk

bllw

k.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3A4B

53A

C-4

23A

-E7C

A-C

4DA

-B7

8A9

59F8

C0

3}]

@

="b

rcjr

enq

elb

txec

z"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3A4B

53A

C-4

23A

-E7C

A-C

4DA

-B7

8A9

59F8

C0

3}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\S

erve

r\cc

thw

jlr.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3AE1

D8C

D-A

6F7

-40F

E-B

88

8-5

6FC

BA

8BC

A46

}]

@

="s

wks

vsh

jjvzx

hw

rl"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3AE1

D8C

D-A

6F7

-40F

E-B

88

8-5

6FC

BA

8BC

A46

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Co

mp

atC

tr\t

nsl

rrh

k.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3C0

749D

E-9D

0D-1

B9A

-52

E6-2

C34

7FD

D15

A9}

]

@=

"hvq

en

cttz

rjzr

lct"

[s

oft

war

e\C

lass

es\C

LSID

\{3C

074

9DE-

9D0D

-1B

9A-5

2E6

-2C

347F

DD

15A

9}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\ttt

nw

shl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3C1D

70

9C-0

F4D

-5D

A4

-223

2-7

AFD

13C

0C2

3F}]

@=

"wxx

erve

vljs

zkzt

r"

[so

ftw

are

\Cla

sses

\CLS

ID\{

3C1D

70

9C-0

F4D

-5D

A4

-223

2-7

AFD

13C

0C2

3F}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

lien

t\tt

zvrb

zr.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

401

4C36

2-2

DA

7-4

0F3-

1C21

-53

E884

4CD

08

7}]

@

="r

bsx

skh

teke

tbn

es"

[so

ftw

are

\Cla

sses

\CLS

ID\{

401

4C36

2-2

DA

7-4

0F3-

1C21

-53

E884

4CD

08

7}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\nw

qjk

khn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4

90C

DD

A9

-7D

56-3

D09

-CC

3C-5

136

306C

C8A

0}]

@

="k

ejh

zqjr

sqe

rkllr

" [s

oft

war

e\C

lass

es\C

LSID

\{4

90C

DD

A9

-7D

56-3

D09

-CC

3C-5

136

306C

C8A

0}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\C

om

pat

Ctr

\hrt

be

bze

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4

94FE

B7F

-662

6-1

241

-41D

8-5

9E22

DB

24FC

2}]

@

="s

jnvk

revs

xwth

tvv"

[s

oft

war

e\C

lass

es\C

LSID

\{4

94F

EB7F

-662

6-1

241

-41D

8-5

9E22

DB

24FC

2}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\isp

err

or\

ktkb

ekn

l.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4

9BC

4B7D

-A77

B-D

CF4

-C29

B-8

F50

40D

7C9A

5}]

@

="r

jtrn

lzh

bsz

ceh

kk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

49B

C4B

7D-A

77B

-DC

F4-C

29B

-8F5

04

0D7C

9A5}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

dsl

mai

n\q

xztl

lwj.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

4A16

7404

-9A

8F-6

684

-EF4

7-1

9FB

5BD

943E

F}]

@

="w

leljt

hn

tbkz

hks

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

4A16

7404

-9A

8F-6

684

-EF4

7-1

9FB

5BD

943E

F}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\reg

err

or\

rcw

ntt

zv.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

4AA

4DEB

6-F

141

-B72

4-8B

CF-

499

5A8

2419

F6}]

@=

"ntr

etw

elk

tbsv

vhs"

[s

oft

war

e\C

lass

es\C

LSID

\{4A

A4D

EB6

-F1

41-B

724-

8BC

F-4

995A

824

19F6

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\l

kjtr

hks

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4D

9B3A

D6

-F9

C1

-07

39-3

A6E

-3D

55D

45A

69E

3}]

@

="s

wjh

htj

hjh

wtb

qn

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

4D9B

3AD

6-F

9C

1-0

739

-3A

6E-3

D5

5D4

5A6

9E3}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

He

lp\j

jlen

kbt.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4F

2D6

30B

-CD

4C

-12

06-E

DF4

-4ED

390

0B

139

8}]

@

="w

nsh

lsrk

htw

hb

skl"

[s

oft

war

e\C

lass

es\C

LSID

\{4F

2D6

30B

-CD

4C

-12

06-E

DF4

-4ED

390

0B1

398}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\eh

xzes

hx.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{4F

82FD

E5-2

426

-89

1D-5

E88

-22E

0672

5D2A

6}]

@

="x

bn

kkkr

ew

ltrn

kkt"

[s

oft

war

e\C

lass

es\C

LSID

\{4F

82FD

E5-2

426

-89

1D-5

E88

-22E

0672

5D2A

6}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\U

pd

ateC

tr\t

rkh

kjxz

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{5

064A

943

-EF5

3-7

AC

A-9

C6F

-78

9E59

41E3

45}

]

@=

"en

kkvh

tbzj

vlsr

qt"

[s

oft

war

e\C

lass

es\C

LSID

\{5

064A

943

-EF5

3-7

AC

A-9

C6F

-78

9E59

41E3

45}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\jlk

shlv

l.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{5

228

7B95

-32

57

-CC

F7-3

B8

6-B

739

78B

045A

2}]

@

="r

nxh

xjek

xnzh

vhvc

" [s

oft

war

e\C

lass

es\C

LSID

\{5

228

7B95

-32

57

-CC

F7-3

B8

6-B

739

78B

045A

2}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\seq

tjb

ee.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

537

3C2B

2-5

04D

-1A

46-0

8FD

-6B

797

98FD

4D0}

]

@=

"wct

jele

blb

ene

wh

j"

[so

ftw

are

\Cla

sses

\CLS

ID\{

537

3C2B

2-5

04D

-1A

46-0

8FD

-6B

797

98FD

4D0}

\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\lz

jvxj

el.e

xe"

An

exo

s

94

[so

ftw

are

\Cla

sses

\CLS

ID\{

54E

27ED

A-9

B9

9-0

E27-

7246

-DB

3CD

D57

716

5}]

@

="c

eeb

znje

lxlw

tseq

" [s

oft

war

e\C

lass

es\C

LSID

\{5

4E27

EDA

-9B

99

-0E2

7-72

46-D

B3C

DD

577

165}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\h

nh

kke

ne.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{5

55B

79E9

-DA

80

-97

6E-4

918

-FE9

C20

D88

A6F

}]

@

="s

hxe

ttcb

bb

evn

vke"

[s

oft

war

e\C

lass

es\C

LSID

\{5

55B

79E9

-DA

80

-97

6E-4

918

-FE9

C20

D88

A6F

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\h

xckw

nzl

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{5

6F8

EF1A

-30C

4-7

7DB

-B4A

1-F

7FB

92D

8343

8}]

@

="j

ksh

nxn

ckh

xncs

nr"

[s

oft

war

e\C

lass

es\C

LSID

\{5

6F8

EF1A

-30C

4-7

7DB

-B4A

1-F

7FB

92D

8343

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\E

rrM

sg\v

lvxq

rek.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{5

75E0

2AB

-D63

8-2

559

-43A

B-6

0DF9

7B0D

256

}]

@

="n

tsb

vlxx

rnls

qb

lt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

575

E02A

B-D

638

-25

59-4

3AB

-60D

F97B

0D2

56}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\hlq

stw

xz.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

582

0F4

47-E

F2B

-74

E0-E

561

-3A

3CA

71

075C

B}]

@=

"esr

ech

lnh

ztkx

rzt"

[s

oft

war

e\C

lass

es\C

LSID

\{5

820F

447

-EF2

B-7

4E0

-E5

61-3

A3C

A7

107

5CB

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\klk

hkr

ts.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5B22

8E8B

-E3

61-

D45

F-8

0A9

-90

E145

C6C

2D7}

]

@=

"he

bn

jwh

keej

qrq

he"

[s

oft

war

e\C

lass

es\C

LSID

\{5B

228E

8B-E

36

1-D

45F-

80A

9-9

0E1

45C

6C2D

7}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\err

or\

kbw

nh

lkk.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{5B

974B

BE-

61B

D-D

89A

-783

C-6

F06B

BE1

8E4

0}]

@

="e

lkex

jtxk

rtw

be

lk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5B97

4BB

E-6

1BD

-D89

A-7

83C

-6F0

6BB

E18E

40}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Up

dat

eCtr

\lw

klb

vze.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{5B

E00A

73

-5A

3E-

77A

2-C

459

-92

89E7

FFB

B1

5}]

@

="r

tnrj

hkw

jhee

ztte

" [s

oft

war

e\C

lass

es\C

LSID

\{5B

E00A

73

-5A

3E-

77A

2-C

459

-92

89E7

FFB

B1

5}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\isp

err

or\

hke

nn

tsl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5D09

B84

E-B

9C6

-50

14-7

08E

-C73

B55

55D

548}

]

@=

"sh

twzj

qq

jlecj

rns"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5D09

B84

E-B

9C6

-50

14-7

08E

-C73

B55

55D

548}

\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Sys

tem

\ad

o\s

cjej

qze

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{5D

F14F

9D-6

ED4-

DA

4A-4

9A4-

40F0

85A

9BB

86}

]

@=

"bn

kezn

ntl

qxe

wlt

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5DF1

4F9D

-6ED

4-D

A4A

-49A

4-40

F08

5A9B

B8

6}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\d

slm

ain

\slh

cezw

b.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

5E0

376

85-2

221

-5D

8C-A

3FF-

E6E3

9E9

DC

AA

1}]

@

="x

cnve

wljs

rnxc

jee"

[s

oft

war

e\C

lass

es\C

LSID

\{5

E037

685

-22

21-5

D8C

-A3F

F-E6

E39

E9D

CA

A1}

\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\xc

lscl

bs.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{6

0F0

7540

-55B

C-A

C34

-16

6A-6

7B6F

A4D

D1

97}]

@=

"ntr

heh

rsce

lxjb

lk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

60F

075

40-5

5BC

-AC

34-1

66A

-67B

6FA

4DD

197

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

sco

nn

ect\

jkh

jlhb

b.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

616

F81

60-B

381

-7FE

A-D

13A

-58

E0EF

4C12

E8}]

@=

"wb

jssq

eh

shn

qvh

js"

[so

ftw

are

\Cla

sses

\CLS

ID\{

616

F81

60-B

381

-7FE

A-D

13A

-58

E0EF

4C12

E8}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te A

ssis

tan

ce\w

esn

hze

c.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

62E

182

EE-0

72E

-85D

F-5

52C

-31

9B9

8B6

4E6C

}]

@

="r

kzn

esch

tcsh

hlb

r"

[so

ftw

are

\Cla

sses

\CLS

ID\{

62E

182

EE-0

72E

-85D

F-5

52C

-31

9B9

8B6

4E6C

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\ce

trjw

tt.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

675

6A7

2C-5

FD9-

3E32

-69

51-6

704

AEF

8DD

60}

]

@=

"kjx

xbtl

xcsh

jtn

rt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

675

6A7

2C-5

FD9-

3E32

-69

51-6

704

AEF

8DD

60}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\cw

bb

net

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

683

428

26-C

702

-23

5F-D

F6B

-ED

BD

2648

85A

B}]

@=

"xb

wh

txw

rbjn

khlk

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

683

428

26-C

702

-23

5F-D

F6B

-ED

BD

2648

85A

B}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

qej

nh

etj

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{6

89

059

09-F

47

5-D

D43

-8FE

8-91

4E34

1AEF

D6

}]

@

="s

klle

kkjh

njb

qkn

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

689

059

09-F

47

5-D

D43

-8FE

8-91

4E34

1AEF

D6

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

He

lp\T

ou

rs\h

tmlT

ou

r\kz

kzkj

kb.e

xe"

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

95

[so

ftw

are

\Cla

sses

\CLS

ID\{

68B

4E7

F8-6

512

-EF0

0-D

F46-

2E62

C2F

0A63

F}]

@

="q

bw

jbe

rbjt

nls

eke

" [s

oft

war

e\C

lass

es\C

LSID

\{6

8B4

E7F8

-651

2-E

F00-

DF4

6-2E

62C

2F0A

63F}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\pan

els

\nn

tlsk

wn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{6

8BC

C4

40-B

815

-D68

2-4

315

-91A

7B7

819B

77}

]

@=

"bjjr

esek

rrxn

lrn

n"

[so

ftw

are\

Cla

sses

\CLS

ID\{

68B

CC

440

-B81

5-D

682

-431

5-9

1A7B

781

9B7

7}\L

oca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

sbw

rkxc

s.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

691

C2

7E5

-1C

9A-A

9C4

-98F

D-9

CD

1018

A95

57}]

@=

"ljx

bcj

bq

rbln

zbth

" [s

oft

war

e\C

lass

es\C

LSID

\{6

91C

27E

5-1

C9A

-A9C

4-9

8FD

-9C

D10

18A

9557

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

com

\vm

war

e\v

mgu

estl

ib\c

nrs

tqb

b.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6B4F

B95

4-5

8B2

-E0

21-8

CE4

-02B

616

6FF4

36}]

@=

"sq

tlln

nq

erz

hlh

ce"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6B4F

B95

4-5

8B2

-E0

21-8

CE4

-02B

616

6FF4

36}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\d

slm

ain

\nev

ttb

lh.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6C3E

C2

76-E

5AB

-B2F

5-9F

F2-D

C2E

A97

8027

1}]

@

="l

lvtr

zkks

zxh

htj

c"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6C3E

C2

76-E

5AB

-B2F

5-9F

F2-D

C2E

A97

8027

1}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\k

nks

kth

w.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6CC

6DD

D2

-22

0B-8

F89-

077A

-058

CE7

A62

9E7}

]

@=

"jq

lbkh

jlrjb

lbjr

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6CC

6DD

D2

-22

0B-8

F89-

077A

-058

CE7

A62

9E7}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

cser

ror\

vcej

lxkt

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{6

EAF3

58

0-B

150

-6D

5F-D

7BB

-CC

0EC

95

1A6C

F}]

@

="h

tvjs

nvv

ckts

rbh

v"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6EA

F35

80

-B15

0-6

D5F

-D7B

B-C

C0

EC9

51A

6CF}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\n

leev

xqj.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

6F03

B46

B-1

AE1

-2D

B9-

BC

4A-1

3EEB

848

AB

0F}]

@=

"esb

rejs

lcjb

rwn

bn

" [s

oft

war

e\C

lass

es\C

LSID

\{6F

03B

46B

-1A

E1-2

DB

9-B

C4A

-13E

EB8

48A

B0F

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\n

jwrc

zcc.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{7

17B

6B2

2-F

136

-7A

EB-2

A9C

-C75

BEA

AEA

F04

}]

@

="l

bljc

we

hjz

hsn

ekk

" [s

oft

war

e\C

lass

es\C

LSID

\{7

17B

6B2

2-F

136

-7A

EB-2

A9C

-C75

BEA

AEA

F04

}\Lo

calS

erve

r32

]

@="

C:\

WIN

DO

WS\

He

lp\T

ou

rs\W

ind

ow

sMed

iaP

laye

r\C

nt\

tjn

bzh

bh

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{7

1AD

80F

1-0

996

-B6A

C-8

140

-3E7

EE8B

8E5D

D}]

@=

"eb

zzrj

jlbkx

wq

rnt"

[s

oft

war

e\C

lass

es\C

LSID

\{7

1AD

80F

1-0

996

-B6A

C-8

140

-3E7

EE8B

8E5D

D}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\wn

klre

tl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

751

75D

F7-E

F56-

52A

0-87

66

-554

65E7

173

E2}]

@=

"ksn

tjzr

kwct

rekb

l"

[so

ftw

are

\Cla

sses

\CLS

ID\{

751

75D

F7-E

F56-

52A

0-87

66

-554

65E7

173

E2}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\To

urs

\Win

do

wsM

edia

Pla

yer\

Au

dio

\lllk

nb

lj.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

75E

2B2

29-5

66A

-02B

3-17

98

-BB

27E8

D05

AD

D}]

@=

"xlh

qkk

bjjw

shvs

kn"

[so

ftw

are

\Cla

sses

\CLS

ID\{

75E

2B2

29-5

66A

-02B

3-17

98

-BB

27E8

D05

AD

D}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

xtxv

nre

x.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

781

385

71-F

4A5

-19

48-2

DF6

-7E7

EB4

7A2

658}

]

@=

"lzk

jqtk

bkn

jsh

hlt

" [s

oft

war

e\C

lass

es\C

LSID

\{7

813

8571

-F4A

5-1

948

-2D

F6-7

E7EB

47A

265

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\hw

ncr

nh

h.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

796

977

ED-D

431

-7FF

4-F3

CB

-2A

BEB

C68

7630

}]

@

="b

tsn

zejjt

skjn

thj"

[s

oft

war

e\C

lass

es\C

LSID

\{7

969

77ED

-D43

1-7

FF4-

F3C

B-2

AB

EBC

6876

30}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\sh

bq

jhcl

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{7

991

0627

-6A

00

-CD

CE-

579

B-2

C3D

5BA

84B

34}

]

@=

"lw

kqh

sntb

jljvv

jj"

[so

ftw

are

\Cla

sses

\CLS

ID\{

799

106

27-6

A0

0-C

DC

E-5

79B

-2C

3D5B

A84

B3

4}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te A

ssis

tan

ce\C

om

mo

n\s

esh

htt

h.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

7A35

3246

-74D

A-B

2BB

-F2F

B-0

6498

428

684C

}]

@

="n

zcez

tecq

snje

tqx"

[s

oft

war

e\C

lass

es\C

LSID

\{7A

3532

46-7

4DA

-B2B

B-F

2FB

-064

9842

868

4C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\v

rrkk

hb

n.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

7D2F

AF5

3-4

AD

D-C

43A

-4E6

1-1

B61

075F

C9

24}

]

@=

"brb

bw

lwq

rbks

qw

lt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

7D2F

AF5

3-4

AD

D-C

43A

-4E6

1-1

B61

075F

C9

24}

\Lo

calS

erve

r32]

An

exo

s

96

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\v

kch

bb

xh.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

7D4B

8C8E

-CD

51-F

9C0

-4E7

6-6

9F5F

A0

CE5

99}

]

@=

"qxc

xljt

qsr

nb

hb

hl"

[s

oft

war

e\C

lass

es\C

LSID

\{7D

4B8C

8E-C

D51

-F9C

0-4

E76

-69F

5FA

0C

E59

9}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te A

ssis

tan

ce\r

qxj

hb

sl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

7D70

8FB

B-F

DA

D-D

4ED

-7B

5A-F

E8D

0FFA

749

3}]

@

="r

hvs

bjz

hh

scn

vkkn

" [s

oft

war

e\C

lass

es\C

LSID

\{7D

708F

BB

-FD

AD

-D4E

D-7

B5A

-FE8

D0F

FA7

493}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\k

nkh

rczb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

031

4AC

A-0

4E4

-B2F

8-6B

B3-

7D4A

764

F3C

5F}]

@=

"csb

hsk

jhh

xcn

ervk

" [s

oft

war

e\C

lass

es\C

LSID

\{8

031

4AC

A-0

4E4

-B2F

8-6B

B3-

7D4A

764

F3C

5F}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\b

tesn

nel

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

2FC

74D

E-C

CA

4-17

F1-F

A1E

-76

0DC

404

A31

7}]

@

="l

rww

xklv

req

nxs

jk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

82F

C7

4DE-

CC

A4-

17F1

-FA

1E-7

60D

C4

04A

317}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\e

rro

r\xe

njn

bq

e.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

83E

685

55-B

BFE

-A21

5-01

74

-977

FF8F

D73

2A}]

@=

"cljj

zwvn

ejb

jnq

en

" [s

oft

war

e\C

lass

es\C

LSID

\{8

3E68

555

-BB

FE-A

215-

017

4-9

77FF

8FD

732A

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Co

mm

on

\sh

nkj

jbh

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

3EA

0F2

6-E

3A8

-F64

4-2

E66

-1B

EC81

8FD

94B

}]

@

="x

hek

jnkz

jxve

jhzn

" [s

oft

war

e\C

lass

es\C

LSID

\{8

3EA

0F2

6-E

3A8

-F64

4-2

E66

-1B

EC81

8FD

94B

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\n

twb

jnxv

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

3F0

33B

6-3

E4F-

B85

8-06

9E-1

DEA

757A

732

D}]

@=

"zw

eb

xjh

czlt

nq

bq

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

83F

033

B6

-3E4

F-B

858-

069E

-1D

EA75

7A7

32D

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\z

ebls

xxw

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

448

5E16

-B0

EE-B

618-

6D5

6-1

57A

7AFC

754

C}]

@=

"hn

qb

rxh

nrw

sle

klt"

[s

oft

war

e\C

lass

es\C

LSID

\{8

448

5E16

-B0

EE-B

618-

6D5

6-1

57A

7AFC

754

C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\wte

nsl

nj.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

847

2F7A

B-E

15F-

6E7A

-D99

B-1

1C50

742

533C

}]

@

="v

srh

xtrw

kvzn

cjlx

" [s

oft

war

e\C

lass

es\C

LSID

\{8

472F

7AB

-E15

F-6E

7A-D

99B

-11C

5074

253

3C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

rbn

esq

vr.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

86E

8AB

09

-0C

84-E

4C6-

F1D

E-EA

22E

E4A

39

34}]

@=

"css

jsrn

lsh

kxvj

zn"

[so

ftw

are

\Cla

sses

\CLS

ID\{

86E

8AB

09

-0C

84-E

4C6-

F1D

E-EA

22E

E4A

39

34}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\zh

qvn

thb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8

827

62E8

-7B

C2

-49

99-5

905

-79

73D

F8F5

974}

]

@=

"zer

lbrw

vlre

chls

q"

[so

ftw

are

\Cla

sses

\CLS

ID\{

882

762

E8-7

BC

2-4

999

-59

05-7

97

3DF8

F597

4}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

lien

t\jje

nn

etl.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8A96

C13

8-F

A3

3-D

993

-868

8-9

7EC

8A6

0755

7}]

@

="x

bb

bh

ejjk

eke

wlq

r"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8A96

C13

8-F

A3

3-D

993

-868

8-9

7EC

8A6

0755

7}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\C

om

pat

Ctr

\zlh

qrl

bx.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{8B

661C

54

-18

76-6

47A

-AFA

9-23

2DA

309

CC

C1}

]

@=

"cch

rhlr

srq

xhre

jb"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8B66

1C5

4-1

876

-64

7A-A

FA9-

232D

A3

09C

CC

1}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\V

end

ors

\CN

=Mic

roso

ft

Co

rpo

rati

on

,L=R

ed

mo

nd

,S=W

ash

ingt

on

,C=

US\

vsek

keh

e.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8B6B

6AF7

-46

7C-3

2F0-

1C1F

-CF0

AB

649D

65E

}]

@

="h

sjrb

rnex

jntz

bsr

" [s

oft

war

e\C

lass

es\C

LSID

\{8B

6B6A

F7-4

67C

-32F

0-1C

1F-C

F0A

B64

9D6

5E}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\rre

snsc

t.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8BF6

F24D

-2C

3C-D

83A

-E9A

E-EC

1C4F

01D

AEE

}]

@

="z

ne

rre

hzc

serq

ktr"

[s

oft

war

e\C

lass

es\C

LSID

\{8B

F6F2

4D-2

C3C

-D83

A-E

9AE-

EC1C

4F0

1DA

EE}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\jb

nsh

hq

j.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{8C

E16

525

-B64

6-E

EE9-

96

81-3

9D46

032B

080

}]

@

="z

sttb

clch

knq

zskv

" [s

oft

war

e\C

lass

es\C

LSID

\{8C

E16

525

-B64

6-E

EE9-

96

81-3

9D46

032B

080

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\blv

ccb

sx.e

xe"

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

97

[so

ftw

are

\Cla

sses

\CLS

ID\{

8D58

E095

-95F

5-75

C9-

1EC

D-A

1B1

0581

233

2}]

@

="c

jeljx

sejt

bn

xjtb

" [s

oft

war

e\C

lass

es\C

LSID

\{8D

58E0

95-9

5F5-

75C

9-1

ECD

-A1B

105

812

332}

\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\n

tww

cbn

q.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

8FB

E68

33

-4B

81

-D3D

0-B

D9

8-7

B1

92C

046

CC

5}]

@

="t

rqts

lxe

hh

kkn

leb

" [s

oft

war

e\C

lass

es\C

LSID

\{8F

BE6

83

3-4

B8

1-D

3D0-

BD

98

-7B

192

C0

46C

C5}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

spe

rro

r\jjt

rkb

nj.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

917

C9D

B7

-A2

8B-C

B00

-AD

AF-

690

8C65

B70

AD

}]

@

="t

xkek

nh

nlc

btv

rnv"

[s

oft

war

e\C

lass

es\C

LSID

\{9

17C

9DB

7-A

28B

-CB

00-A

DA

F-69

08C

65B

70A

D}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\tth

zxn

tk.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

91F

B4

23F-

509

9-7

870

-A1

7C-A

310

06B

708

63}]

@=

"ssv

xbkk

xrn

jltw

qj"

[s

oft

war

e\C

lass

es\C

LSID

\{9

1FB

423

F-5

099

-78

70-A

17C

-A3

100

6B70

863

}\Lo

calS

erve

r32

]

@="

C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\n

khlv

lzt.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{9

20D

60B

8-B

B03

-71F

7-3E

DF-

E341

0301

F4E0

}]

@

="e

lkrw

tcse

htk

zekh

" [s

oft

war

e\C

lass

es\C

LSID

\{9

20D

60B

8-B

B03

-71F

7-3E

DF-

E341

0301

F4E0

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\w

lkb

bn

rq.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

923

8D6

0C-A

78B

-06

39-7

E0D

-921

AA

510

009

0}]

@

="b

jrtt

eels

wh

ere

bq

" [s

oft

war

e\C

lass

es\C

LSID

\{9

238D

60C

-A7

8B-0

639

-7E0

D-9

21A

A5

100

090}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\k

rcxz

ncj

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

24E3

D0D

-267

9-E

F9B

-71B

4-1

13A

38F4

B7

86}]

@=

"lrs

xtvh

rsjb

sksz

b"

[so

ftw

are

\Cla

sses

\CLS

ID\{

924

E3D

0D-2

679

-EF9

B-7

1B4

-113

A38

F4B

786

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\lrl

zztl

l.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

2C75

6DF-

E46F

-0C

E9-9

FC2-

B05

BC

AC

48D

54}]

@=

"nlq

ktvx

llhrv

ezw

t"

[so

ftw

are

\Cla

sses

\CLS

ID\{

92C

756D

F-E4

6F-0

CE9

-9FC

2-B

05B

CA

C48

D54

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\brv

ecw

cs.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

961

5EF7

1-0

14F

-89

73-B

23

5-6

BB

870

093E

0E}]

@=

"xxj

bsr

hek

qrt

nzb

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

961

5EF7

1-0

14F

-89

73-B

23

5-6

BB

870

093E

0E}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\is

pty

pe

\ln

vln

zbq

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

618

6C8

5-0

E8A

-D7D

6-B

8CE-

589

25A

368A

34}

]

@=

"qkr

nxh

klkt

eexn

rt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

961

86C

85

-0E8

A-D

7D6-

B8C

E-5

8925

A36

8A3

4}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\m

ou

se\l

bzc

xver

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

639A

854

-6A

08

-A92

9-EA

74

-665

855

9553

E1}]

@=

"lkw

qe

bn

rkb

ern

kbt"

[s

oft

war

e\C

lass

es\C

LSID

\{9

639A

854

-6A

08-

A92

9-EA

74

-665

855

9553

E1}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\m

ou

se\q

etv

qln

w.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

96B

5C05

D-0

A6

4-9

2D1-

38D

C-4

6A95

C6A

77B

6}]

@=

"brk

hh

wtk

bzl

wq

bn

j"

[so

ftw

are

\Cla

sses

\CLS

ID\{

96B

5C05

D-0

A6

4-9

2D1-

38D

C-4

6A95

C6A

77B

6}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\nst

nn

nkk

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

9E96

E31

-81

3C-4

16A

-B50

1-3

7DC

D1

4C1

253

}]

@

="q

tnh

tkrh

lhb

nh

lxh

" [s

oft

war

e\C

lass

es\C

LSID

\{9

9E96

E31

-81

3C-4

16A

-B50

1-3

7DC

D1

4C1

253

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\cjx

sjlb

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9A3A

E45

2-1

0C1

-86

E3-E

D6

0-2

306F

C7C

0BA

D}]

@=

"hjs

nec

jntb

jkss

ev"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9A3A

E45

2-1

0C1

-86

E3-E

D6

0-2

306F

C7C

0BA

D}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te A

ssis

tan

ce\r

zqst

bq

q.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9C8C

2A5

8-0

FAD

-AF7

C-C

DB

7-4

CD

C5

9E8

E5A

3}]

@=

"ljn

sjjr

wsh

tslz

eb"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9C8C

2A5

8-0

FAD

-AF7

C-C

DB

7-4

CD

C5

9E8

E5A

3}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\tsb

jbtv

n.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9D1D

618

E-EF

C0-

EC7

3-4

721

-1F0

A6B

CD

4F10

}]

@

="l

tczk

llstb

thw

ljl"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9D1D

618

E-EF

C0-

EC7

3-4

721

-1F0

A6B

CD

4F10

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

Ass

ista

nce

\Co

mm

on

\rw

cjrq

hw

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{9

E929

E0C

-FD

56-3

22E

-BE5

E-49

024F

C9

54A

7}]

@

="vh

hb

she

ntr

jkks

ec"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9E9

29E0

C-F

D56

-32

2E-B

E5E-

4902

4FC

95

4A7}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

He

lp\b

zeh

xvn

z.e

xe"

An

exo

s

98

[so

ftw

are

\Cla

sses

\CLS

ID\{

9EE

BB

EDB

-D9B

2-5

CEA

-1B

37-C

835E

E0C

A7F

2}]

@

="k

kzh

qtq

kwkh

cjh

xk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

9EE

BB

EDB

-D9B

2-5

CEA

-1B

37-C

835E

E0C

A7F

2}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\bvq

ncl

er.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{A

1C15

5BC

-81B

7-7

E44-

B5

17-2

35D

34B

D1

1E6}

]

@=

"skh

hth

qjlt

jhtb

kt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A1C

155B

C-8

1B7

-7E4

4-B

517

-23

5D34

BD

11E

6}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\r

rth

sntk

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

1EB

21B

0-9

3CB

-6A

56-C

7F3-

D8B

AC

1C6D

9E4}

]

@=

"nsr

ljqw

kbllk

nkx

n"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A1

EB21

B0

-93C

B-6

A56

-C7F

3-D

8BA

C1C

6D9E

4}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\vkc

kxh

bn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

290

0343

-2D

AD

-D1A

A-7

0C2-

563

448A

32C

69}

]

@=

"bh

jhjll

nkr

jnh

hje

" [s

oft

war

e\C

lass

es\C

LSID

\{A

290

0343

-2D

AD

-D1A

A-7

0C2-

563

448A

32C

69}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Clie

nt\

knen

vxlj.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

2F6

940

D-2

E6A

-C73

B-0

77D

-01A

6FD

D1A

521

}]

@

="j

cllt

bls

btv

snb

rl"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A2F

69

40D

-2E6

A-C

73B

-07

7D-0

1A6F

DD

1A5

21}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\err

or\

ssw

zltt

c.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A4

44D

A5

E-8

020

-74A

6-F8

3A-E

1D4

431

F9C

12}

]

@=

"een

qh

lwkn

bxw

blw

j"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A4

44D

A5

E-8

020

-74A

6-F8

3A-E

1D4

431

F9C

12}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\nzz

wh

eb

n.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A5

6129

F2-2

2A9

-26D

E-9D

0F-9

FFE9

585F

22B

}]

@

="j

shq

ctb

nlq

zsrk

vl"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A5

6129

F2-2

2A9

-26D

E-9D

0F-9

FFE9

585F

22B

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\b

knkj

he

h.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A6

1DB

195

-195

8-C

95E-

495

E-D

B6B

6F03

37A

C}]

@=

"wzl

xhw

sje

lkzr

qvl

" [s

oft

war

e\C

lass

es\C

LSID

\{A

61D

B19

5-1

958

-C95

E-4

95E-

DB

6B6F

0337

AC

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\n

sekr

lvz.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{A

783

A3

3D-3

0B6

-C96

D-1

15C

-30B

FA0B

79C

BC

}]

@

="s

enes

thkk

hb

nzk

rw"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A7

83A

33D

-30B

6-C

96D

-11

5C-3

0BFA

0B79

CB

C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\tq

kbrh

nx.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{A

84B

4FB

5-E

327

-04

3D-C

252

-04

084

4411

FAB

}]

@

="j

bn

elcl

lhn

njk

brs

" [s

oft

war

e\C

lass

es\C

LSID

\{A

84B

4FB

5-E

327

-04

3D-C

252

-04

084

4411

FAB

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Ven

do

rs\C

N=M

icro

soft

C

orp

ora

tio

n,L

=Re

dm

on

d,S

=Was

hin

gto

n,C

=U

S\er

wsk

eq

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A9

31E2

74-C

4C7-

A4A

A-5

AF9

-30

71C

AD

A27

75}]

@=

"svw

tbtb

wvj

vwxr

rs"

[so

ftw

are

\Cla

sses

\CLS

ID\{

A9

31E2

74-C

4C7-

A4A

A-5

AF9

-30

71C

AD

A27

75}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\N

etD

iag\

hsj

qsc

hn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

C7

53B

34-2

C8

8-B

44A

-21A

8-E

D22

C9A

D0

9AC

}]

@

="e

jeb

nrn

tkh

jbn

rsn

" [s

oft

war

e\C

lass

es\C

LSID

\{A

C7

53B

34-2

C8

8-B

44A

-21A

8-E

D22

C9A

D0

9AC

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\sys

info

\rer

crn

hh

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

DD

F57D

7-6

C02

-B77

D-9

604

-A8

5000

6B4

601}

]

@=

"hh

bel

btt

hw

cbvt

ck"

[so

ftw

are

\Cla

sses

\CLS

ID\{

AD

DF5

7D7-

6C02

-B77

D-9

604

-A8

5000

6B4

601}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\s

ejkh

evn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

EBD

7F25

-63

06-F

72A

-2D

9A-E

5B8A

D43

99F1

}]

@

="s

rltr

stw

nzq

bvs

ck"

[so

ftw

are

\Cla

sses

\CLS

ID\{

AEB

D7F

25-6

306

-F72

A-2

D9A

-E5B

8AD

4399

F1}\

Loca

lSe

rver

32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Up

dat

eCtr

\qxs

hkk

qn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{A

F01

81C

B-B

933

-41B

7-A

229

-96A

CFD

F80B

12}]

@=

"zq

jktl

vrh

tkrl

swn

" [s

oft

war

e\C

lass

es\C

LSID

\{A

F01

81C

B-B

933

-41B

7-A

229

-96A

CFD

F80B

12}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

lbe

xzkb

k.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

AFA

58B

0D-4

C3D

-E90

B-C

F64-

00C

E780

BA

5BA

}]

@

="s

nq

vkb

rrkt

klllh

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

AFA

58B

0D-4

C3D

-E90

B-C

F64-

00C

E780

BA

5BA

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\tch

ekr

qt.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{B

237

4239

-6B

E1-C

CC

A-7

76C

-E5B

C5C

03EA

2C}]

@=

"xez

hlv

rch

zrse

vbw

" [s

oft

war

e\C

lass

es\C

LSID

\{B

237

4239

-6B

E1-C

CC

A-7

76C

-E5B

C5C

03EA

2C}\

Loca

lSer

ver3

2]

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

99

@

="C

:\sa

nd

net

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{B

2C11

550

-35

2D-2

588

-2B

00

-55B

92A

5AE1

A2}

]

@=

"eh

rtlh

qh

cevl

ree

t"

[so

ftw

are

\Cla

sses

\CLS

ID\{

B2C

1155

0-3

52D

-25

88-2

B0

0-5

5B92

A5A

E1A

2}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\err

or\

lktk

ttrb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{B

467

C6C

B-1

F46

-99

88-C

CD

E-8

3FD

25D

E84

39}]

@=

"eks

xtte

knxv

sjzv

b"

[so

ftw

are

\Cla

sses

\CLS

ID\{

B4

67C

6CB

-1F4

6-9

988

-CC

DE-

83F

D2

5DE8

439

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

spe

rro

r\kn

kbrn

bn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{B

4E8

7BD

A-9

197

-7A

4A-3

DC

C-9

D8

20B

2648

B1}

]

@=

"ssh

she

klh

nlv

ne

th"

[so

ftw

are

\Cla

sses

\CLS

ID\{

B4E

87B

DA

-91

97-7

A4A

-3D

CC

-9D

820

B26

48B

1}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\r

nb

rkrl

v.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

B9

350F

7D-7

FC0-

A2A

B-9

AFE

-9A

61A

376

8F1F

}]

@

="e

ejjln

zjzj

vrq

qtt

" [s

oft

war

e\C

lass

es\C

LSID

\{B

935

0F7D

-7FC

0-A

2AB

-9A

FE-9

A6

1A37

68F

1F}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

clb

vvlr

s.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

BB

AE1

B4C

-96

50

-85

03-F

248

-B97

834

34FF

E9}]

@=

"ssk

nsx

krw

rrzl

klb

" [s

oft

war

e\C

lass

es\C

LSID

\{B

BA

E1B

4C-9

65

0-8

503

-F24

8-B

978

3434

FFE9

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Ser

ver\

ezsl

qrb

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C0

39A

8AE-

771A

-26

09-A

BE9

-6FF

57A

8E3

9B3}

]

@=

"ktr

sbxw

vnvt

txkj

z"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C0

39A

8AE-

771A

-26

09-A

BE9

-6FF

57A

8E3

9B3}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\bcc

xejn

c.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C1C

975

95-B

99

8-B

9A8

-EEB

A-A

15A

7B7

846

0F}]

@=

"eze

nrc

ehe

tbkk

ltw

" [s

oft

war

e\C

lass

es\C

LSID

\{C

1C9

7595

-B9

98

-B9A

8-E

EBA

-A1

5A7B

784

60F

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\i

spe

rro

r\zt

cesk

ls.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C4C

08C

4B-A

D9B

-37B

1-8F

3F-A

D3

8323

512C

3}]

@

="t

eb

lqln

rleh

qze

tr"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C4C

08C

4B-A

D9B

-37B

1-8F

3F-A

D3

8323

512C

3}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\err

or\

ere

ttxj

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C5

7C74

A9

-AB

B0-

E9F3

-8C

85-D

DD

33C

AD

0CC

8}]

@

="n

cvlt

xnh

rkb

hrb

rt"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C5

7C74

A9

-AB

B0-

E9F3

-8C

85-D

DD

33C

AD

0CC

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\m

ou

se\k

hkv

hh

sb.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C7

E60

805

-E53

9-0

9E9

-CB

93

-CD

66

115C

A6

97}]

@=

"cks

hb

tbjs

qn

sbn

jj"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C7

E60

805

-E53

9-0

9E9

-CB

93

-CD

66

115C

A6

97}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

lien

t\e

kjvh

bcn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{C

94D

73

79-F

270

-70B

2-16

35

-CEF

70

473F

7AC

}]

@

="h

qjt

ckn

hh

ble

jwn

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C9

4D7

379

-F2

70-7

0B2-

163

5-C

EF7

047

3F7A

C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

lien

t\zq

wkj

bb

t.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

C9

51E

857

-742

D-B

CE1

-675

8-8

E4B

765

63B

B9}

]

@=

"bb

zheh

tnb

eb

bb

nee

" [s

oft

war

e\C

lass

es\C

LSID

\{C

95

1E85

7-7

42D

-BC

E1-6

758

-8E4

B76

563

BB

9}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te A

ssis

tan

ce\C

om

mo

n\h

xrsh

qsj

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{C

A7

7631

7-1

7BB

-78

77-0

1FA

-D1

5CFE

E0C

200}

]

@=

"bke

vtn

bkb

ecq

cecr

" [s

oft

war

e\C

lass

es\C

LSID

\{C

A7

7631

7-1

7BB

-78

77-0

1FA

-D1

5CFE

E0C

200}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\r

serk

ten

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{C

C6

4B4

5D-D

6FC

-76B

2-D

06F-

CEF

1AD

314

B4D

}]

@

="b

scn

kbrc

bq

ezsv

bb

" [s

oft

war

e\C

lass

es\C

LSID

\{C

C6

4B4

5D-D

6FC

-76B

2-D

06F-

CEF

1AD

314

B4D

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\bzr

bb

srn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{C

D2

018

55-6

C5

4-FC

C8

-84E

8-F

1B6

57D

49D

38}]

@=

"kkr

vse

wtk

njlh

xqn

" [s

oft

war

e\C

lass

es\C

LSID

\{C

D2

018

55-6

C5

4-FC

C8

-84E

8-F

1B6

57D

49D

38}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\To

urs

\htm

lTo

ur\

kzer

bzk

s.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

CE0

EF9D

B-3

F2A

-68

1E-D

781

-EB

9E9

24C

D2C

A}]

@=

"qe

nh

jjncr

ew

rwxs

r"

[so

ftw

are

\Cla

sses

\CLS

ID\{

CE0

EF9D

B-3

F2A

-68

1E-D

781

-EB

9E9

24C

D2C

A}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

Arc

hiv

os

com

un

es\M

icro

soft

Sh

are

d\S

tati

on

ery\

sttt

klte

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{D

0EC

C3

40

-FF6

3-8E

A0-

929

8-C

BB

529B

6A2

95}]

An

exo

s

100

@=

"lvv

cjzs

rhh

ntk

bkq

" [s

oft

war

e\C

lass

es\C

LSID

\{D

0EC

C3

40

-FF6

3-8E

A0-

929

8-C

BB

529B

6A2

95}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\jll

slb

nb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{D

618

989

6-A

D1C

-E3B

2-A

FE6

-4B

69

2E91

B2

0F}]

@=

"tw

eh

enjt

etvw

bjs

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

D6

1898

96

-AD

1C-E

3B2-

AFE

6-4

B6

92E

91B

20F

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\z

hh

rrlt

b.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

D6

6AA

CB

8-8

641

-54

07-E

008

-85

900D

01C

ED3}

]

@=

"xjs

vwrs

sbsw

chzl

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

D6

6AA

CB

8-8

641

-54

07-E

008

-85

900D

01C

ED3}

\Lo

calS

erve

r32]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\ej

thw

sbr.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{D

723

66D

6-C

A6

9-6

1DD

-540

C-A

CA

7B20

FA0

9A}]

@=

"bb

nle

revt

jbq

thlz

" [s

oft

war

e\C

lass

es\C

LSID

\{D

723

66D

6-C

A6

9-6

1DD

-540

C-A

CA

7B20

FA0

9A}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\reg

err

or\

xcjn

kske

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{D

858

345

7-F

929

-F1B

1-F4

66

-B0

4B4D

E7B

055

}]

@

="s

tln

rnb

szke

jrjn

w"

[so

ftw

are

\Cla

sses

\CLS

ID\{

D8

5834

57

-F92

9-F

1B1-

F46

6-B

04B

4DE7

B0

55

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\et

nw

xxn

v.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DD

6D70

9D-2

0CF-

A59

8-26

9A-4

0458

7CC

94A

9}]

@

="c

leb

chkl

slkv

jeb

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DD

6D70

9D-2

0CF-

A59

8-26

9A-4

0458

7CC

94A

9}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\U

pd

ateC

tr\s

nq

esjr

k.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DED

A8

4E9

-967

E-0E

2E-A

DE2

-FD

BFB

D31

4AA

B}]

@=

"jvt

vsn

kbn

rrb

lsrt

" [s

oft

war

e\C

lass

es\C

LSID

\{D

EDA

84E

9-9

67E-

0E2E

-AD

E2-F

DB

FBD

314A

AB

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\h

tml\

mo

use

\hcv

xrtw

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DF0

3105

A-3

0A9

-31

97-3

6B8-

BD

0941

DFE

414

}]

@

="b

kwsx

qh

jjjq

sklq

n"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DF0

3105

A-3

0A9

-31

97-3

6B8-

BD

0941

DFE

414

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\pan

els

\sn

cncw

eb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{D

FE5

78B

A-0

D6B

-E1F

5-C

FAA

-CB

AE2

CEE

FA6

2}]

@

="j

rkw

cve

bn

ltzr

rlb

"

[so

ftw

are

\Cla

sses

\CLS

ID\{

DFE

57

8BA

-0D

6B-E

1F5-

CFA

A-C

BA

E2C

EEFA

62}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Ser

ver\

neq

vzke

h.e

xe"

[so

ftw

are\

Cla

sses

\CLS

ID\{

E07D

D40

3-A

919

-FB

D0-

EF84

-73

4B2

5740

7BB

}]

@

="l

zqkn

jhkk

rxje

vlh

" [s

oft

war

e\C

lass

es\C

LSID

\{E0

7DD

403

-A9

19-F

BD

0-EF

84-7

34B

257

407B

B}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\D

VD

Up

grd

\sh

rrtj

et.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E3F9

0F3D

-DE2

6-1

94B

-80

C0

-21

6D5D

35B

84

8}]

@

="h

rvlb

kslt

klst

rrj"

[s

oft

war

e\C

lass

es\C

LSID

\{E3

F90F

3D-D

E26

-19

4B-8

0C

0-2

16D

5D35

B8

48}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\err

ors

\jcj

jlqn

q.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E3FB

3D9B

-A9

58-3

3C1-

23B

9-C

8414

EC3D

98D

}]

@

="h

wst

njb

vkzk

khvw

j"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E3FB

3D9B

-A9

58-3

3C1-

23B

9-C

8414

EC3D

98D

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\a

ctse

tup

\zvs

wn

lev.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{E5

2FA

19

5-5

A6F

-21

77-F

3BD

-B37

D3

644A

CC

2}]

@

="b

xhkn

cjss

htl

nxe

l"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E52F

A1

95

-5A

6F-2

177

-F3B

D-B

37D

364

4AC

C2}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

He

lp\T

ou

rs\h

tmlT

ou

r\rq

kjq

jqb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{E6

C4D

142

-AD

FB-1

690

-E3B

7-1

799

9EB

DA

1FA

}]

@

="s

tqet

lvn

nzt

nw

jst"

[s

oft

war

e\C

lass

es\C

LSID

\{E6

C4D

142

-AD

FB-1

690

-E3B

7-1

799

9EB

DA

1FA

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

He

lp\T

ou

rs\h

tmlT

ou

r\kl

bve

jnk.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{E6

DFE

252

-C7

9A-1

A39

-A41

E-5

6906

D3E

84A

A}]

@=

"ljq

nq

xnw

lhb

czq

rk"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E6D

FE25

2-C

79A

-1A

39-A

41E-

569

06D

3E84

AA

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Net

Dia

g\xr

vxsz

vs.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

E81

E33

09-B

DD

5-B

C2F

-85

2A-7

15D

B4

279

7F9}

]

@=

"qxe

ctn

wxn

txxe

jkq

" [s

oft

war

e\C

lass

es\C

LSID

\{E8

1E3

309

-BD

D5

-BC

2F-8

52A

-715

DB

427

97F

9}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\m

ou

se\j

jlhkn

hh

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{E9

95A

142

-79

14-3

FE8-

D60

B-A

D0

5B1E

E5EF

C}]

@=

"hee

shh

skvk

ssn

reb

" [s

oft

war

e\C

lass

es\C

LSID

\{E9

95A

142

-79

14-3

FE8-

D60

B-A

D0

5B1E

E5EF

C}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\H

elp

\hw

exrt

ne.

exe"

D

esar

rollo

de

un

lab

ora

tori

o p

ara

el a

nál

isis

au

tom

atiz

ado

de

cód

igo

s m

alic

ioso

s

101

[s

oft

war

e\C

lass

es\C

LSID

\{EA

8718

65-0

8D6-

D09

D-4

6FD

-1F3

53E

B4

79FC

}]

@

="x

bsn

hb

nre

wrl

ksjn

" [s

oft

war

e\C

lass

es\C

LSID

\{EA

8718

65-0

8D6-

D09

D-4

6FD

-1F3

53E

B4

79FC

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\r

ege

rro

r\kj

tzrl

bb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{EB

14F

04F

-488

B-8

1F4-

920

3-A

1A7C

1EA

E661

}]

@

="s

vkts

rlzr

xxn

cbn

s"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EB1

4F0

4F-4

88B

-81F

4-9

203

-A1A

7C1E

AE6

61}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\isp

err

or\

skq

bvx

sq.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EB7

935

A8

-CB

BC

-2C

C9

-1FF

E-7

165

3469

363

7}]

@

="z

jjwtq

hlh

vvev

bvb

" [s

oft

war

e\C

lass

es\C

LSID

\{EB

79

35A

8-C

BB

C-2

CC

9-1

FFE-

716

534

6936

37}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Ser

ver\

ctjx

ljxh

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{EC

40C

1E2

-EE9

2-6F

30

-D05

F-D

15B

16D

BC

97D

}]

@

="t

zrjc

ecvx

ewn

xve

k"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EC40

C1

E2-E

E92-

6F3

0-D

05F-

D15

B1

6DB

C9

7D}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\jn

kwrx

nr.

exe

" [s

oft

war

e\C

lass

es\C

LSID

\{EC

7E59

12

-D5

64-0

AA

C-2

1C5-

A1

2A9C

B2

88C

8}]

@

="k

tjez

ksh

wjb

kjen

x"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EC7E

591

2-D

564

-0A

AC

-21C

5-A

12A

9CB

288

C8}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\rc\

qb

rblt

hb

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{EE

289

F35-

7DEB

-B0A

F-20

F2-6

902

32F4

46

15}]

@=

"lrt

bsl

ntv

eeq

brt

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EE2

89F3

5-7

DEB

-B0A

F-20

F2-6

902

32F4

46

15}\

Loca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\R

emo

te

Ass

ista

nce

\In

tera

ctio

n\C

om

mo

n\b

bsb

rlee

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{EF

92C

14A

-BD

41

-69

2A-E

27C

-36

7A8F

DC

52A

5}]

@=

"rjq

thh

jzvs

he

rvh

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

EF92

C14

A-B

D4

1-6

92A

-E2

7C-3

67A

8FD

C5

2A5

}\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\c

thsn

blj.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{EF

FB8

4CB

-281

8-0

0BA

-CEF

5-91

484

8B9

20A

E}]

@

="r

bes

nw

hkk

cheh

ejl"

[s

oft

war

e\C

lass

es\C

LSID

\{EF

FB8

4CB

-281

8-0

0BA

-CEF

5-91

484

8B9

20A

E}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\crj

rhlt

v.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F059

511F

-ED

8F-4

E6D

-1C

A0-

71D

619A

FB17

4}]

@

="h

hlt

tzh

len

qvq

tec"

[s

oft

war

e\C

lass

es\C

LSID

\{F0

5951

1F-E

D8F

-4E6

D-1

CA

0-71

D61

9AFB

174}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\e

rro

r\n

eeh

nzx

l.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{F0

6E22

2D-8

26A

-DEB

B-D

B42

-EA

FB09

082

34E}

]

@=

"wjb

hb

hq

ltkt

ltn

we"

[s

oft

war

e\C

lass

es\C

LSID

\{F0

6E22

2D-8

26A

-DEB

B-D

B42

-EA

FB09

082

34E}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Co

mm

on

\kb

zzlw

lr.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F148

A71

7-4

004

-F18

A-3

9BF-

3242

36EA

456

6}]

@

="l

bjs

krsx

kjh

sxsx

h"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F148

A71

7-4

004

-F18

A-3

9BF-

3242

36EA

456

6}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\act

setu

p\r

kje

nss

c.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F33C

733

4-A

AD

E-9E

F5-6

DA

C-7

026E

F6C

CC

05}

]

@=

"wvn

jqjjn

en

rjtq

kw"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F33C

733

4-A

AD

E-9E

F5-6

DA

C-7

026E

F6C

CC

05}

\Lo

calS

erve

r32

]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Ser

ver\

shrn

xsh

q.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F47C

F54F

-84

5E-

6CA

5-3

C6B

-EE1

0C1

7D4A

D5}

]

@=

"xek

ctn

jtve

hjjs

ek"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F47C

F54F

-84

5E-

6CA

5-3

C6B

-EE1

0C1

7D4A

D5}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\e

rro

r\jk

he

hn

jn.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F59B

900

1-7

B6

2-F

C18

-C39

A-9

599

85D

05ED

7}]

@

="l

nh

kwq

ksle

qlk

bn

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F59B

900

1-7

B6

2-F

C18

-C39

A-9

599

85D

05ED

7}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\kjq

kxtn

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F699

592F

-1B

83

-75D

A-A

FEF-

3F2

E360

FBE2

8}]

@

="j

xslk

chw

evkw

ltq

q"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F699

592F

-1B

83

-75D

A-A

FEF-

3F2

E360

FBE2

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\se

tup

\esk

cxkh

r.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F6B

FA9D

F-2

8C3

-08

87-B

82C

-D2

7B0

183A

FF1}

]

@=

"tzc

rtje

khh

lnth

ve"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F6B

FA9D

F-2

8C3

-08

87-B

82C

-D2

7B0

183A

FF1}

\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\V

Mw

are

\VM

war

e To

ols

\Gu

est

SDK

\vm

Gu

estL

ibJa

va\d

oc\

ezn

nth

wj.e

xe"

An

exo

s

102

[s

oft

war

e\C

lass

es\C

LSID

\{F6

E2C

BA

6-B

EB3-

0707

-40

82-D

BD

CD

6B25

DC

E}]

@

="e

vssq

cbb

strb

tnjt

" [s

oft

war

e\C

lass

es\C

LSID

\{F6

E2C

BA

6-B

EB3-

0707

-40

82-D

BD

CD

6B25

DC

E}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\p

chea

lth

\hel

pct

r\Sy

ste

m\s

ysin

fo\j

brh

bzt

z.ex

e"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F6FB

7DD

A-6

804

-18

EB-F

F7D

-98A

6670

DE1

3C}]

@=

"eh

brh

qvt

rrjb

rhck

" [s

oft

war

e\C

lass

es\C

LSID

\{F6

FB7D

DA

-680

4-1

8EB

-FF7

D-9

8A66

70D

E13C

}\Lo

calS

erve

r32

]

@=

"C:\

Arc

hiv

os

de

pro

gram

a\A

rch

ivo

s co

mu

nes

\Mic

roso

ft S

har

ed

\Sta

tio

ner

y\cl

xlcz

xq.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F78F

D0B

0-9

278

-DA

C5

-18A

8-A

BC

D9B

80B

615}

]

@=

"jb

nb

tskk

kkrs

vxb

q"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F78F

D0B

0-9

278

-DA

C5

-18A

8-A

BC

D9B

80B

615}

\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\h

xxtt

skn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{F8

3557

ED-5

FD1-

739A

-99

EC-1

1BA

129

BF0

CE}

]

@=

"krk

rhvn

ctw

ezrb

lx"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F835

57ED

-5FD

1-73

9A-9

9EC

-11B

A1

29B

F0C

E}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\sc

on

nec

t\vz

nn

eb

et.e

xe"

[so

ftw

are

\Cla

sses

\CLS

ID\{

F9C

5784

C-C

3B6-

DD

55-1

C3F

-F4A

E48

481

FE8}

]

@=

"htr

tbq

hq

ktn

nn

sss"

[s

oft

war

e\C

lass

es\C

LSID

\{F9

C57

84C

-C3B

6-D

D55

-1C

3F-F

4AE4

84

81FE

8}\L

oca

lSer

ver3

2]

@

="C

:\W

IND

OW

S\sy

ste

m32

\oo

be

\htm

l\ic

on

nec

t\sh

rtrs

bs.

exe"

[s

oft

war

e\C

lass

es\C

LSID

\{FA

0A6

9DC

-4FD

1-4

9D3-

0E3

3-6

4A2A

116

FC63

}]

@

="q

zrsh

klzj

sezn

bjr

" [s

oft

war

e\C

lass

es\C

LSID

\{FA

0A6

9DC

-4FD

1-4

9D3-

0E3

3-6

4A2A

116

FC63

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

syst

em

32\o

ob

e\s

etu

p\e

lrb

jlrn

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{FB

1C0

137

-43

E6-D

54E-

816

F-E7

A4

16D

FAC

DB

}]

@

="l

tetb

lsjs

vkvb

qlt

" [s

oft

war

e\C

lass

es\C

LSID

\{FB

1C0

137

-43

E6-D

54E-

816

F-E7

A4

16D

FAC

DB

}\Lo

calS

erve

r32]

@=

"C:\

WIN

DO

WS\

pch

ealt

h\h

elp

ctr\

Syst

em

\Rem

ote

A

ssis

tan

ce\I

nte

ract

ion

\Co

mm

on

\rb

ntk

evt

.exe

" [s

oft

war

e\C

lass

es\C

LSID

\{FE

CE8

1BA

-36

16-7

952

-F36

C-1

B8A

9FA

ED60

C}]

@=

"wzv

vqb

esh

stle

tsh

" [s

oft

war

e\C

lass

es\C

LSID

\{FE

CE8

1BA

-36

16-7

952

-F36

C-1

B8A

9FA

ED60

C}\

Loca

lSer

ver3

2]

@

="C

:\A

rch

ivo

s d

e p

rogr

ama\

VM

war

e\V

Mw

are

Too

ls\G

ues

t SD

K\v

mG

ues

tLib

Java

\do

c\kr

hw

tjeh

.exe

"

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

- In

form

e d

e R

egis

tro

s e

n \

HK

EY_

LOC

AL_

MA

CH

INE\

SYST

EM :

N

o s

e d

ete

ctar

on

dif

ere

nci

as

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

----

--

An

alis

is d

e tr

afic

o

El a

nal

isis

de

traf

ico

no

arr

ojo

res

ult

ado

s

Informe-v1.1.10 RSV CQR JLB AVM Final2

Documents

Transcript of Informe-v1.1.10 RSV CQR JLB AVM Final2