分析

Question

分析

{01BD6AAA-0419-498A-BAE3-B50D078BEA18}在网上搜索一些诊断日志相同的全局唯一标识符出现：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe

O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()

GUID 确实与为我服务，一个流媒体服务器应用程序。

StreamToMe 是一款适用于 Mac 和 iOS 设备（iPad、iPhone 和 iPod Touch）的媒体播放器应用程序，可播放通过网络从另一台 Mac 或 PC 传输的视频、音乐和照片文件（多种格式）。

文件会实时转码为您设备的原生格式，因此您无需预先转换媒体。自适应比特率意味着您可以通过 WiFi 或 3G 进行流式传输。

程序于 2014/01/02 22:02 安装，选择每个人设置期间的选项（为使用此计算机的任何人安装）选择只有我将安装那些 .exe 文件C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}。

附加信息

十六进制命名的.exe文件是~~一个启动存根，~~只是一个具有不同扩展名的图标文件，并且不会手动运行~~，因为显然它不是故意的，~~因为它是不是根本就不是一个可执行文件。以下是该文件内容的摘录：

00000000  00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C  ..........IHDR‰\
00000010  01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26  ..V...00.... .h&
00000020  00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11  ..ß\..  .... .(.
00000030  00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09  ..Gƒ........ .¸.
00000040  00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04  ..o”........ .h.
00000050  00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00  ..'ž..‰PNG......
00000060  00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06  ..IHDR..........
00000070  00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49  ...\r¨f...$iCCPI
00000080  43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55  CC Profile..8.…U
00000090  DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87  ßoÛT.>‰oR¤.? XG‡
000000A0  8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED  ŠÅ¯US[¹...Æ.I“¥í

实际程序位于C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe64 位 Windows。

这些是版本的文件属性和校验和/哈希值3.9.0.3053，这是官方网站提供的最新版本：

File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da

File: ServeToMe.exe
File size: 177 KB (181760 bytes) 
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c

快捷方式检查

当程序为每个人安装时，快捷方式完整路径为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk。如果您检查属性，您会发现目标字段呈灰色，无法更改。这是因为它是一个特定的，所谓的广告捷径由 Windows 安装程序创建：

Windows Installer 引入了一种特殊类型的快捷方式，虽然对用户来说是透明的，但它包含额外的元数据，Windows Installer 通过其 shell 集成使用这些元数据在启动应用程序之前验证指定应用程序的安装状态。

我们可以确认解析快捷方式：

[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk

[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)

[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer

Drive: C:\

Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows

Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer

Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}

File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe

[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe

[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j

[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe

_2A3423A49F6BC3B3E88E06.exe仅作为图标位置，ServeToMe.exe不被引用任何地方；但快捷方式仍然有效。为什么？HasDarwinID标志已启用，这意味着快捷方式包含达尔文数据块：

DarwinDataBlock 结构指定了一个应用程序标识符，可以代替链接目标身份列表安装应用程序时外壳链接已激活。

在这种情况下，应用程序标识符是Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j，可以在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe注册表项中找到。

这个看起来神秘的字符串，有时被称为“达尔文描述符”，实际上是特定产品、组件和功能的编码表示。如果存在这个额外的值，Windows Installer 将解码数据，并使用它来对该产品和组件进行检查。如果发现组件丢失或损坏，Windows Installer 将启动修复程序以恢复丢失的文件或数据，最后正常启动引用的应用程序，并将适当的命令行选项传递给它。

解决

如果你使用为我服务，如果不想自动启动，可以禁用启动项。然后您需要在需要时手动运行该程序。如果不需要，您可以直接卸载它。

参考

Answer 1

分析

{01BD6AAA-0419-498A-BAE3-B50D078BEA18}在网上搜索一些诊断日志相同的全局唯一标识符出现：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01BD6AAA-0419-498A-BAE3-B50D078BEA18}" = ServeToMe

O4 - Startup: C:\Users\AdrianJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk = C:\Users\AdrianJ\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe ()

GUID 确实与为我服务，一个流媒体服务器应用程序。

StreamToMe 是一款适用于 Mac 和 iOS 设备（iPad、iPhone 和 iPod Touch）的媒体播放器应用程序，可播放通过网络从另一台 Mac 或 PC 传输的视频、音乐和照片文件（多种格式）。

文件会实时转码为您设备的原生格式，因此您无需预先转换媒体。自适应比特率意味着您可以通过 WiFi 或 3G 进行流式传输。

程序于 2014/01/02 22:02 安装，选择每个人设置期间的选项（为使用此计算机的任何人安装）选择只有我将安装那些 .exe 文件C:\Users\<Name>\AppData\Roaming\Microsoft\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}。

附加信息

十六进制命名的.exe文件是~~一个启动存根，~~只是一个具有不同扩展名的图标文件，并且不会手动运行~~，因为显然它不是故意的，~~因为它是不是根本就不是一个可执行文件。以下是该文件内容的摘录：

00000000  00 00 01 00 05 00 0D 00 00 00 49 48 44 52 89 5C  ..........IHDR‰\
00000010  01 00 56 00 00 00 30 30 00 00 01 00 20 00 68 26  ..V...00.... .h&
00000020  00 00 DF 5C 01 00 20 20 00 00 01 00 20 00 28 11  ..ß\..  .... .(.
00000030  00 00 47 83 01 00 18 18 00 00 01 00 20 00 B8 09  ..Gƒ........ .¸.
00000040  00 00 6F 94 01 00 10 10 00 00 01 00 20 00 68 04  ..o”........ .h.
00000050  00 00 27 9E 01 00 89 50 4E 47 0D 0A 1A 0A 00 00  ..'ž..‰PNG......
00000060  00 0D 49 48 44 52 00 00 01 00 00 00 00 00 08 06  ..IHDR..........
00000070  00 00 00 5C 72 A8 66 00 00 04 24 69 43 43 50 49  ...\r¨f...$iCCPI
00000080  43 43 20 50 72 6F 66 69 6C 65 00 00 38 11 85 55  CC Profile..8.…U
00000090  DF 6F DB 54 14 3E 89 6F 52 A4 16 3F 20 58 47 87  ßoÛT.>‰oR¤.? XG‡
000000A0  8A C5 AF 55 53 5B B9 1B 1A AD C6 06 49 93 A5 ED  ŠÅ¯US[¹...Æ.I“¥í

实际程序位于C:\Program Files (x86)\Zqueue\ServeToMe\ServeToMe.exe64 位 Windows。

这些是版本的文件属性和校验和/哈希值3.9.0.3053，这是官方网站提供的最新版本：

File: _2A3423A49F6BC3B3E88E06.exe
File size: 104 KB (107151 bytes)
---
CRC-32: 6ce38c7c
MD4: ce2ab0e3e4fc50c5404c0cfb34d80a6a
MD5: 95173b90d8b163f18d9d2d5d5e15c580
SHA-1: 16e9801bb550b9dd9ea8de89e65de83d540e41da

File: ServeToMe.exe
File size: 177 KB (181760 bytes) 
---
CRC-32: 377c83d0
MD4: ecde064905360067b5fb7a8bca6ece40
MD5: 13d2c9bf99b300d9cf58e19c1ad752e4
SHA-1: 16658941876752798e9a39acd7792815d0b8e55c

快捷方式检查

当程序为每个人安装时，快捷方式完整路径为C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk。如果您检查属性，您会发现目标字段呈灰色，无法更改。这是因为它是一个特定的，所谓的广告捷径由 Windows 安装程序创建：

Windows Installer 引入了一种特殊类型的快捷方式，虽然对用户来说是透明的，但它包含额外的元数据，Windows Installer 通过其 shell 集成使用这些元数据在启动应用程序之前验证指定应用程序的安装状态。

我们可以确认解析快捷方式：

[Filename]: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ServeToMe.lnk

[Header]
Date created: Unknown
Last accessed: Unknown
Last modified: Unknown
File size: 0 bytes
File attributes: 0x00000000 (None)
Icon index: 0
ShowWindow value: 1 (SW_SHOWNORMAL / SW_NORMAL)
Hot key value: 0x0000 (None)
Link flags: 0x000050f9 (HasLinkTargetIDList, HasRelativePath, HasWorkingDir, HasArguments, HasIconLocation, IsUnicode, HasDarwinID, HasExpIcon)

[Link Target ID List]
CLSID: 20d04fe0-3aea-1069-a2d8-08002b30309d = My Computer

Drive: C:\

Last modified: 01/16/2014 (18:48:54.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: Windows
Date created: 07/14/2009 (03:20:10.0) [UTC]
Last accessed: 01/16/2014 (18:48:54.0) [UTC]
Long directory name: Windows

Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000016 (FILE_ATTRIBUTE_HIDDEN, FILE_ATTRIBUTE_SYSTEM, FILE_ATTRIBUTE_DIRECTORY)
Short directory name: INSTAL~1
Date created: 12/15/2013 (18:45:12.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: Installer

Last modified: 01/17/2014 (11:56:26.0) [UTC]
Folder attributes: 0x00000010 (FILE_ATTRIBUTE_DIRECTORY)
Short directory name: {01BD6~1
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long directory name: {01BD6AAA-0419-498A-BAE3-B50D078BEA18}

File size: 107151 bytes
Last modified: 01/17/2014 (11:56:26.0) [UTC]
File attributes: 0x00000021 (FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE)
8.3 filename: _2A3423A49F6BC3B3E88E06.exe
Date created: 01/17/2014 (11:56:26.0) [UTC]
Last accessed: 01/17/2014 (11:56:26.0) [UTC]
Long filename: _2A3423A49F6BC3B3E88E06.exe

[String Data]
Relative path (UNICODE): ..\..\..\..\..\..\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Working Directory (UNICODE): C:\Program Files (x86)\Zqueue\ServeToMe\
Arguments (UNICODE): startup
Icon location (UNICODE): C:\Windows\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe

[Darwin Properties]
Application identifier (ASCII): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j
Application identifier (UNICODE): Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j

[Icon Location]
Icon location (ASCII): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe
Icon location (UNICODE): %SystemRoot%\Installer\{01BD6AAA-0419-498A-BAE3-B50D078BEA18}\_2A3423A49F6BC3B3E88E06.exe

_2A3423A49F6BC3B3E88E06.exe仅作为图标位置，ServeToMe.exe不被引用任何地方；但快捷方式仍然有效。为什么？HasDarwinID标志已启用，这意味着快捷方式包含达尔文数据块：

DarwinDataBlock 结构指定了一个应用程序标识符，可以代替链接目标身份列表安装应用程序时外壳链接已激活。

在这种情况下，应用程序标识符是Q9UW!o_!_?09WJ'i$c!+>Ipj.(bOirX&j$Vp+8v_j，可以在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Assemblies\C:|Program Files (x86)|Zqueue|ServeToMe|ServeToMe.exe注册表项中找到。

这个看起来神秘的字符串，有时被称为“达尔文描述符”，实际上是特定产品、组件和功能的编码表示。如果存在这个额外的值，Windows Installer 将解码数据，并使用它来对该产品和组件进行检查。如果发现组件丢失或损坏，Windows Installer 将启动修复程序以恢复丢失的文件或数据，最后正常启动引用的应用程序，并将适当的命令行选项传递给它。

解决

如果你使用为我服务，如果不想自动启动，可以禁用启动项。然后您需要在需要时手动运行该程序。如果不需要，您可以直接卸载它。

分析

答案1

分析

附加信息

快捷方式检查

解决

参考

相关内容