Last active
March 18, 2026 15:33
-
-
Save rxwx/38bf96c47e1dc098f8c9dbce9ba0eda6 to your computer and use it in GitHub Desktop.
OpenSSL yara rules by version/compiler
This file has been truncated, but you can view the full file.
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| rule OpenSSL_EVP_BytesToKey_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 DC 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 E4 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 8E 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 E7 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 F6 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 F7 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 1C 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 20 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 2D 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 13 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 03 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1w_x86_0d011599 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 C2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 DC 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 E4 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 8E 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 F6 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 F7 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 1C 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 20 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 2D 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 13 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 03 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1w_x64_f235ecb8 | |
| { | |
| meta: | |
| version = "1.1.1w" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 C2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 58 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 59 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 60 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 6F 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 7F 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 82 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8E 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 93 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9C 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A0 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B4 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 4C 8B FA 4C 63 AC 24 80 00 00 00 BA 00 20 00 00 4D 8B E1 4D 8B F0 48 8B F1 41 8B DD 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 4C 8B 16 48 89 7C 24 60 41 F7 42 10 00 00 10 00 0F 84 91 00 00 00 33 FF 83 FD 01 75 64 48 63 CB 44 8B C7 48 8B C1 49 8B D7 48 F7 D8 49 2B D4 48 3B D0 8B C7 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C7 48 85 D2 0F 95 C0 44 23 C0 8B C7 85 DB 0F 9F C0 44 85 C0 74 29 C7 44 24 20 B3 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 E9 4C 01 00 00 4D 8B CD 4D 8B C4 49 8B D7 48 8B CE 41 FF 52 20 85 C0 79 0A 41 89 3E 33 C0 E9 2E 01 00 00 41 89 06 E9 21 01 00 00 45 85 ED 7F 13 33 FF 45 85 ED 41 89 3E 40 0F 94 C7 8B C7 E9 0E 01 00 00 F7 46 6C 00 01 00 00 74 1B 4D 8B CC 44 89 6C 24 20 4D 8B C6 49 8B D7 48 8B CE E8 ?? ?? ?? ?? E9 EA 00 00 00 83 FD 20 76 19 41 B8 C8 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7E 78 00 74 69 4D 3B FC 74 57 33 FF 48 63 CD 44 8B C7 48 8B C1 48 F7 D8 49 8B D7 49 2B D4 48 3B D0 8B C7 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C7 48 85 D2 0F 95 C0 44 23 C0 8B C7 85 ED 0F 9F C0 44 85 C0 75 1A 48 8D 96 80 00 00 00 4C 8B C5 49 8B CF E8 ?? ?? ?? ?? 4C 03 FD 8D 5F 01 EB 11 C7 44 24 20 CE 01 00 00 E9 F0 FE FF FF 33 FF 8B DF 4D 8B CC 44 89 6C 24 20 4D 8B C6 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 E8 FE FF FF 83 FD 01 76 27 83 7E 14 00 75 21 41 29 2E 48 8D 8E 80 00 00 00 C7 46 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D7 E8 ?? ?? ?? ?? EB 03 89 7E 78 85 DB 74 03 41 01 2E B8 01 00 00 00 48 8B 7C 24 60 48 8B 5C 24 68 48 8B 6C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 A5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 53 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 5F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 76 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 7C 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 7E 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 6E 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 18 56 57 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 63 BC 24 80 00 00 00 4C 8B E2 BA 00 20 00 00 4D 8B F9 4D 8B F0 48 8B F1 E8 ?? ?? ?? ?? 85 C0 74 11 8D 47 07 99 83 E2 07 44 8D 0C 02 41 C1 F9 03 EB 03 44 8B CF 4C 8B 16 48 89 5C 24 60 41 F7 42 10 00 00 10 00 49 63 6A 04 0F 84 89 00 00 00 83 FD 01 75 63 33 DB 49 63 C9 44 8B C3 48 8B C1 48 F7 D8 49 8B D4 49 2B D7 48 3B D0 8B C3 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C3 48 85 D2 0F 95 C0 44 23 C0 45 85 C9 0F 9F C3 44 85 C3 74 27 BA A7 00 00 00 C7 44 24 20 35 01 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4D 05 44 8D 42 FB E8 ?? ?? ?? ?? 33 C0 E9 9F 01 00 00 4C 8B CF 4D 8B C7 49 8B D4 48 8B CE 41 FF 52 20 85 C0 78 E5 41 89 06 B8 01 00 00 00 E9 7E 01 00 00 33 DB 85 FF 7F 0D 41 89 1E 0F 94 C3 8B C3 E9 6B 01 00 00 49 63 C9 8B D3 4C 89 6C 24 68 48 8B C1 4C 63 6E 14 48 F7 D8 4D 8B C5 4D 2B C7 4D 03 C4 4C 3B C0 8B C3 0F 97 C2 4C 3B C1 0F 92 C0 0B D0 8B C3 4D 85 C0 0F 95 C0 23 D0 8B C3 45 85 C9 0F 9F C0 85 D0 74 29 BA A7 00 00 00 C7 44 24 20 46 01 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FB E8 ?? ?? ?? ?? 33 C0 E9 FA 00 00 00 45 85 ED 75 2B 85 7E 7C 75 26 4C 8B CF 4D 8B C7 49 8B D4 48 8B CE 41 FF 52 20 85 C0 74 08 41 89 3E E9 CF 00 00 00 41 89 1E 33 C0 E9 CA 00 00 00 83 FD 20 7E 19 41 B8 54 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 85 ED 74 5E 8B C5 48 8D 4E 38 41 2B C5 49 03 CD 89 84 24 80 00 00 00 49 8B D7 3B C7 7E 10 4C 8B C7 E8 ?? ?? ?? ?? 01 7E 14 41 89 1E EB 78 48 63 D8 4C 8B C3 E8 ?? ?? ?? ?? 48 8B 06 4C 8D 46 38 2B BC 24 80 00 00 00 4C 8B CD 49 8B D4 48 8B CE 4C 03 FB FF 50 20 85 C0 74 80 4C 03 E5 41 89 2E EB 03 41 89 1E 8D 5D FF 23 DF 2B FB 85 FF 7E 1D 48 8B 06 4D 8B C7 4C 63 CF 49 8B D4 48 8B CE FF 50 20 85 C0 0F 84 50 FF FF FF 41 01 3E 85 DB 74 12 48 63 D7 48 8D 4E 38 49 03 D7 4C 63 C3 E8 ?? ?? ?? ?? 89 5E 14 B8 01 00 00 00 4C 8B 6C 24 68 48 8B 5C 24 60 48 8B 6C 24 70 48 83 C4 30 41 5F 41 5E 41 5C 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 7E 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 2A E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 A0 00 00 00 4C 8B A4 24 10 01 00 00 33 FF 49 63 F0 49 8B E9 4C 8B F2 48 8B D9 8B C7 4D 85 C9 74 21 4C 3B 09 74 12 48 85 D2 0F 84 F6 01 00 00 45 85 C0 0F 88 ED 01 00 00 B8 01 00 00 00 4C 89 09 EB 0C 48 8B 29 48 85 ED 0F 84 D7 01 00 00 4D 85 F6 0F 84 C9 00 00 00 48 8B CD 4C 89 BC 24 B0 00 00 00 E8 ?? ?? ?? ?? 44 8B F8 3D 80 00 00 00 7E 19 41 B8 28 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 44 3B FE 4C 8B BC 24 B0 00 00 00 7D 45 48 8B 4B 08 4D 8B C4 48 8B D5 E8 ?? ?? ?? ?? 85 C0 74 2B 48 8B 4B 08 4C 8B C6 49 8B D6 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 4B 08 4C 8D 73 20 4D 8B C6 48 8D 53 24 E8 ?? ?? ?? ?? 85 C0 75 25 33 C0 E9 49 01 00 00 81 FE 80 00 00 00 77 F1 4C 8B C6 48 8D 4B 24 49 8B D6 E8 ?? ?? ?? ?? 4C 8D 73 20 41 89 36 41 8B 0E 81 F9 80 00 00 00 74 23 8B C1 41 B8 80 00 00 00 44 2B C1 33 D2 48 8D 4B 24 48 03 C8 E8 ?? ?? ?? ?? EB 08 85 C0 0F 84 E3 00 00 00 48 8D 4C 24 20 48 8B C3 48 2B C1 48 8B D7 48 8D 70 24 4C 8D 70 25 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 48 8D 4C 24 20 48 03 CA 48 83 C2 02 0F B6 04 0E 34 36 88 01 41 0F B6 04 0E 34 36 88 41 01 48 81 FA 80 00 00 00 7C D9 48 8B 4B 10 4D 8B C4 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 4B FF FF FF 48 8B CD E8 ?? ?? ?? ?? 48 8B 4B 10 48 8D 54 24 20 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 2A FF FF FF 90 48 8D 4C 24 20 48 03 CF 48 83 C7 02 0F B6 04 0E 34 5C 88 01 41 0F B6 04 0E 34 5C 88 41 01 48 81 FF 80 00 00 00 7C D9 48 8B 4B 18 4D 8B C4 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 EB FE FF FF 48 8B CD E8 ?? ?? ?? ?? 48 8B 4B 18 48 8D 54 24 20 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 CA FE FF FF 48 8B 53 10 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 84 B5 FE FF FF B8 01 00 00 00 48 8B 8C 24 A0 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5C 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F9 48 8B B4 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 E2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 6C 48 85 FF 75 0B 48 8D 3D ?? ?? ?? ?? 33 DB EB 29 83 FB FF 75 24 33 DB 48 8B C7 38 1F 74 17 0F 1F 44 00 00 81 FB 00 00 00 80 73 0A 48 FF C0 FF C3 80 38 00 75 EE 0F BA F3 1F 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D7 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 52 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 1E 02 00 00 44 8B A4 24 10 01 00 00 90 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CF 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CF 85 C0 0F 84 C2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 A8 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 8D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 75 01 00 00 48 8B CF E8 ?? ?? ?? ?? 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CE E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 27 01 00 00 49 8B D7 48 8B CF E8 ?? ?? ?? ?? 48 8B CF 85 C0 0F 84 39 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 21 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 09 01 00 00 48 8B CF E8 ?? ?? ?? ?? 45 33 C9 85 DB 0F 8E 9A 00 00 00 83 FB 20 0F 82 91 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 31 48 3B F0 77 0A 48 8D 44 24 50 48 3B D0 73 70 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 44 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CE 48 8B C6 48 F7 D8 4C 03 C0 4C 03 D0 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 01 49 83 C1 20 F3 41 0F 6F 0C 08 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B CA 7C CB 4D 3B CE 7D 27 4C 8D 44 24 50 49 8B D6 4C 2B C6 49 8D 04 31 49 2B D1 0F 1F 40 00 41 0F B6 0C 00 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C D9 FE FF FF 8B 84 24 20 01 00 00 49 03 F6 FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 FF FD FF FF 48 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CF E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 F6 48 8B F9 8B DE 48 85 C9 75 30 8D 50 79 C7 44 24 20 EA 09 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 0F 84 9C 00 00 00 E8 ?? ?? ?? ?? 85 C0 74 3C 81 3F 01 03 00 00 7D 34 BA A9 00 00 00 C7 44 24 20 F2 09 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 E6 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 E8 ?? ?? ?? ?? 85 C0 79 60 BA A9 00 00 00 C7 44 24 20 F7 09 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 6E 0A 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 41 B8 FA 09 00 00 48 8D 15 ?? ?? ?? ?? B9 50 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 A3 48 89 38 48 89 B0 08 01 00 00 C7 40 40 02 00 00 00 C7 40 28 00 50 00 00 FF 97 B8 00 00 00 89 43 44 C7 83 8C 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 48 03 00 00 48 85 C0 75 47 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 08 0A 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 09 0A 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 C7 83 10 01 00 00 00 90 01 00 89 B3 38 01 00 00 E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 FB FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 DB FE FF FF E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 0F 84 C9 FE FF FF E8 ?? ?? ?? ?? 48 89 83 80 01 00 00 48 85 C0 0F 84 B4 FE FF FF 48 8B 83 18 01 00 00 4C 8D 43 10 48 8B 0B 4C 8D 0D ?? ?? ?? ?? 48 8D 53 08 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 5A 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E 49 01 00 00 E8 ?? ?? ?? ?? 48 89 83 70 01 00 00 48 85 C0 0F 84 62 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 D0 00 00 00 48 85 C0 75 13 C7 44 24 20 29 0A 00 00 41 B8 F2 00 00 00 E9 45 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 D8 00 00 00 48 85 C0 75 13 C7 44 24 20 2D 0A 00 00 41 B8 F3 00 00 00 E9 1A FE FF FF E8 ?? ?? ?? ?? 48 89 83 F8 00 00 00 48 85 C0 0F 84 F7 FD FF FF 4C 8D 83 C8 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 DB FD FF FF 48 8B 87 C0 00 00 00 F6 40 68 08 75 0C E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 8D 8B C8 01 00 00 C7 83 9C 01 00 00 00 40 00 00 BA 10 00 00 00 C7 83 98 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2A 48 8D 8B D8 01 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 15 48 8D 8B F8 01 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 00 01 00 00 00 40 00 00 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 55 FD FF FF 81 8B 00 01 00 00 04 00 02 00 48 8B C3 48 8B 74 24 48 C7 83 40 03 00 00 FF FF FF FF 48 8B 5C 24 40 48 83 C4 30 5F C3 C7 44 24 20 20 0A 00 00 41 B8 A1 00 00 00 E9 29 FD FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 50 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 41 8B F8 48 8B F2 48 8B D9 75 33 BA DF 00 00 00 C7 44 24 20 95 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 C4 44 8D 42 35 E8 ?? ?? ?? ?? 83 C8 FF 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 F6 41 44 02 74 19 C7 41 28 01 00 00 00 33 C0 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 F7 81 E0 01 00 00 00 01 00 00 74 4D E8 ?? ?? ?? ?? 48 85 C0 75 43 89 44 24 44 4C 8D 05 ?? ?? ?? ?? 48 8B 43 08 48 8D 54 24 30 48 89 5C 24 30 48 89 74 24 38 89 7C 24 40 48 8B 48 38 48 89 4C 24 48 48 8B CB E8 ?? ?? ?? ?? 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 48 8B 43 08 44 8B C7 48 8B D6 48 8B CB 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F 48 FF 60 38 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_0l_x64_43f49f7f | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 50 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 41 8B F8 48 8B F2 48 8B D9 75 33 BA D0 00 00 00 C7 44 24 20 C9 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 C4 44 8D 42 44 E8 ?? ?? ?? ?? 83 C8 FF 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 F6 41 44 01 74 3C BA D0 00 00 00 C7 41 28 01 00 00 00 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CF 06 00 00 B9 14 00 00 00 44 8D 42 FF E8 ?? ?? ?? ?? 83 C8 FF 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 F7 81 E0 01 00 00 00 01 00 00 74 51 E8 ?? ?? ?? ?? 48 85 C0 75 47 48 8B 43 08 4C 8D 05 ?? ?? ?? ?? 48 89 5C 24 30 48 8D 54 24 30 48 89 74 24 38 89 7C 24 40 C7 44 24 44 01 00 00 00 48 8B 48 48 48 89 4C 24 48 48 8B CB E8 ?? ?? ?? ?? 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F C3 48 8B 43 08 44 8B C7 48 8B D6 48 8B CB 48 8B 5C 24 60 48 8B 74 24 68 48 83 C4 50 5F 48 FF 60 48 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 58 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 59 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 2E 01 00 00 8B 03 3B 01 0F 84 24 01 00 00 85 DB 0F 84 F5 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 60 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 6F EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 38 6A 7F 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 82 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8E 00 00 00 E9 39 FF FF FF 83 3F 00 75 22 68 93 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9C 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A0 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 82 FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B4 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E5 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 0F 1F 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 55 8B 6C 24 1C 8B DD 56 8B 74 24 10 57 68 00 20 00 00 56 8B 06 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 8B 06 F7 40 10 00 00 10 00 0F 84 8F 00 00 00 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 53 2B CF 8B C3 F7 D8 3B C1 1B D2 F7 DA 3B CB 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 85 DB 0F 9F C0 85 D0 74 25 68 B3 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 8B 06 8B 4C 24 18 8B 40 18 55 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 85 ED 7F 16 8B 44 24 1C 5F 5E C7 00 00 00 00 00 33 C0 85 ED 5D 0F 94 C0 5B C3 F7 46 5C 00 01 00 00 74 1B 55 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 C8 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 5C 24 18 74 3B 3B D8 74 2D 57 50 53 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 53 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 DF C7 44 24 24 01 00 00 00 EB 12 68 CE 01 00 00 E9 08 FF FF FF C7 44 24 24 00 00 00 00 55 8B 6C 24 20 50 55 53 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 0F 84 00 FF FF FF 83 FF 01 76 25 83 7E 0C 00 75 1F 29 7D 00 C7 46 64 01 00 00 00 8B 45 00 03 C3 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 03 01 7D 00 5F 5E 5D B8 01 00 00 00 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 A5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 2D 01 00 00 8B 07 3B 02 0F 84 23 01 00 00 85 FF 0F 84 04 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 53 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 A8 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 5F 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 83 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 76 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 53 83 7F 28 00 74 4D 8B 47 14 6A 7C 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 2E 6A 7E 68 ?? ?? ?? ?? 6A 41 E9 2F FF FF FF C7 46 04 00 00 00 00 EB 8A 8B 3E 85 FF 75 84 6A 6E 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 0F FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 F5 FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 55 56 8B 74 24 20 8B EE 57 8B 7C 24 14 68 00 20 00 00 57 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 46 07 99 83 E2 07 8D 2C 02 C1 FD 03 8B 07 F7 40 10 00 00 10 00 8B 58 04 0F 84 82 00 00 00 8B 4C 24 18 83 FB 01 8B 5C 24 20 75 53 2B CB 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 85 ED 0F 9F C0 85 D0 74 25 68 35 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 8B 07 8B 4C 24 18 8B 40 18 56 53 51 57 FF D0 8B C8 83 C4 10 85 C9 78 E1 8B 44 24 1C 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 85 F6 7F 16 8B 44 24 1C 5F C7 00 00 00 00 00 33 C0 85 F6 5E 5D 0F 94 C0 5B C3 8B 57 0C 8B 44 24 20 89 44 24 24 89 54 24 14 2B D0 03 54 24 18 8B C5 F7 D8 3B C2 1B C9 F7 D9 3B D5 1B C0 F7 D8 0B C8 33 C0 85 D2 0F 95 C0 23 C8 33 C0 85 ED 0F 9F C0 85 C8 74 0A 68 46 01 00 00 E9 59 FF FF FF 8B 44 24 14 85 C0 75 3B 85 77 68 75 36 8B 4C 24 20 8B 07 56 51 FF 74 24 20 8B 40 18 57 FF D0 83 C4 10 85 C0 8B 44 24 1C 74 0C 5F 89 30 B8 01 00 00 00 5E 5D 5B C3 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 83 FB 20 7E 1B 68 54 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 20 83 C4 0C 85 C0 74 72 8B 4C 24 20 8B EB 2B E8 83 C0 30 03 C7 3B EE 7E 22 56 51 50 E8 ?? ?? ?? ?? 8B 44 24 28 83 C4 0C 01 77 0C 5F 5E 5D C7 00 00 00 00 00 B8 01 00 00 00 5B C3 55 51 50 E8 ?? ?? ?? ?? 8B 44 24 2C 2B F5 8B 0F 03 C5 89 44 24 30 8D 47 30 53 50 FF 74 24 2C 8B 41 18 57 FF D0 83 C4 1C 85 C0 0F 84 A8 FE FF FF 8B 6C 24 1C 8B 54 24 18 03 D3 89 5D 00 EB 0F 8B 6C 24 1C 8B 54 24 18 C7 45 00 00 00 00 00 4B 23 DE 2B F3 85 F6 7E 1D 8B 07 8B 4C 24 24 56 51 8B 40 18 52 57 FF D0 83 C4 10 85 C0 0F 84 67 FE FF FF 01 75 00 85 DB 74 14 8B 44 24 24 03 C6 53 50 8D 47 30 50 E8 ?? ?? ?? ?? 83 C4 0C 89 5F 0C B8 01 00 00 00 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 6A 7E 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 68 94 00 00 00 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 18 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 19 56 E8 ?? ?? ?? ?? 83 C4 04 33 F6 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 85 F6 74 EE 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 C1 83 3E 00 74 BC FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 A5 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 93 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 8C 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 88 00 00 00 8B 94 24 A0 00 00 00 33 C0 53 8B 9C 24 9C 00 00 00 55 8B AC 24 9C 00 00 00 56 8B B4 24 9C 00 00 00 57 8B BC 24 AC 00 00 00 89 54 24 10 85 FF 74 1D 3B 3E 74 10 85 ED 0F 84 8B 00 00 00 85 DB 0F 88 83 00 00 00 B8 01 00 00 00 89 3E EB 06 8B 3E 85 FF 74 74 85 ED 0F 84 86 01 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 14 3D 80 00 00 00 7E 18 6A 28 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 8B 44 24 20 83 C4 0C 3B C3 7D 57 FF 74 24 10 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 55 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 8D 6E 10 55 8D 46 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 37 33 C0 8B 8C 24 98 00 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 8C 00 00 00 C3 81 FB 80 00 00 00 77 DD 53 8D 46 14 55 50 E8 ?? ?? ?? ?? 8D 6E 10 83 C4 0C 89 5D 00 8B 4D 00 81 F9 80 00 00 00 74 18 B8 80 00 00 00 2B C1 50 8D 46 14 03 C1 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 8B 54 24 10 33 C9 8A 44 0E 14 34 36 88 44 0C 18 41 81 F9 80 00 00 00 7C ED 52 57 FF 76 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 78 FF FF FF 57 E8 ?? ?? ?? ?? 50 8D 44 24 20 50 FF 76 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 59 FF FF FF 33 C9 0F 1F 80 00 00 00 00 8A 44 0E 14 34 5C 88 44 0C 18 41 81 F9 80 00 00 00 7C ED FF 74 24 10 57 FF 76 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 25 FF FF FF 57 E8 ?? ?? ?? ?? 50 8D 44 24 20 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 06 FF FF FF FF 76 08 FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 F0 FE FF FF B8 01 00 00 00 E9 E8 FE FF FF 85 C0 74 DC E9 3B FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 6C 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 68 8B 44 24 78 53 8B 9C 24 88 00 00 00 56 8B 74 24 78 57 8B BC 24 98 00 00 00 53 89 44 24 28 89 7C 24 14 C7 44 24 24 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 14 85 C0 78 59 E8 ?? ?? ?? ?? 89 44 24 1C 85 C0 74 4C 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 20 8B 8C 24 80 00 00 00 83 F9 FF 75 14 8B CE 8D 51 01 66 0F 1F 44 00 00 8A 01 41 84 C0 75 F9 2B CA 6A 00 53 51 56 8B 74 24 2C 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 56 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5B 8B 4C 24 68 33 CC E8 ?? ?? ?? ?? 83 C4 6C C3 55 E8 ?? ?? ?? ?? 8B E8 89 6C 24 34 85 ED 75 1E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5D 5F 5E 5B 8B 4C 24 68 33 CC E8 ?? ?? ?? ?? 83 C4 6C C3 8B 8C 24 98 00 00 00 85 C9 0F 84 FC 01 00 00 BA 01 00 00 00 66 90 3B 4C 24 18 8B D9 8B C2 88 54 24 13 0F 4F 5C 24 18 C1 E8 18 88 44 24 10 8B C2 C1 E8 10 88 44 24 11 8B C2 C1 E8 08 56 55 88 44 24 1A E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 E0 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 01 00 00 6A 04 8D 44 24 14 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AC 01 00 00 6A 00 8D 44 24 3C 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 94 01 00 00 55 E8 ?? ?? ?? ?? 53 8D 44 24 40 50 57 E8 ?? ?? ?? ?? 83 C4 10 C7 44 24 1C 01 00 00 00 83 BC 24 90 00 00 00 01 0F 8E 1B 01 00 00 56 55 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 57 01 00 00 FF 74 24 18 8D 44 24 3C 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 3D 01 00 00 6A 00 8D 44 24 3C 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 25 01 00 00 55 E8 ?? ?? ?? ?? 83 C4 04 33 F6 85 DB 0F 8E AA 00 00 00 83 FB 20 0F 82 7C 00 00 00 8D 4F FF 8D 44 1C 37 03 CB 3B F8 77 08 8D 44 24 38 3B C8 73 67 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 6C 24 48 2B D0 8B CF 8B C7 8D 7C 24 38 F7 D8 03 F8 03 C5 89 7C 24 2C 8B 7C 24 14 89 44 24 30 8B 44 24 2C 8B 6C 24 30 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 08 E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 29 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 6C 24 34 3B F3 7D 21 8D 04 3E 8B D3 8D 7C 24 38 2B 7C 24 14 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 14 8B 74 24 1C 46 3B B4 24 90 00 00 00 89 74 24 1C 8B 74 24 20 0F 8C E5 FE FF FF 8B 8C 24 98 00 00 00 03 FB 8B 54 24 24 2B CB 42 89 8C 24 98 00 00 00 89 54 24 24 89 7C 24 14 85 C9 0F 85 0B FE FF FF 55 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5D 5F 5E 5B 8B 4C 24 68 33 CC E8 ?? ?? ?? ?? 83 C4 6C C3 55 E8 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 08 33 C0 5D 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 6C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 EA 09 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 E8 ?? ?? ?? ?? 85 C0 74 2B 81 3F 01 03 00 00 7D 23 68 F2 09 00 00 68 ?? ?? ?? ?? 68 8F 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E C3 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 F7 09 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 6E 0A 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 FA 09 00 00 68 ?? ?? ?? ?? 68 14 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 A4 00 00 00 00 00 00 00 C7 86 A8 00 00 00 00 00 00 00 C7 46 20 02 00 00 00 C7 46 14 00 50 00 00 8B 4F 60 FF D1 89 46 24 C7 46 60 01 00 00 00 E8 ?? ?? ?? ?? 89 86 10 02 00 00 85 C0 75 31 68 08 0A 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 09 0A 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 AC 00 00 00 00 90 01 00 C7 86 C0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 B0 00 00 00 85 C0 0F 84 1F FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 10 85 C0 0F 84 02 FF FF FF E8 ?? ?? ?? ?? 89 46 0C 85 C0 0F 84 F2 FE FF FF E8 ?? ?? ?? ?? 89 86 F8 00 00 00 85 C0 0F 84 DF FE FF FF FF B6 B0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 36 E8 ?? ?? ?? ?? 83 C4 14 85 C0 0F 84 44 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E 32 01 00 00 E8 ?? ?? ?? ?? 89 86 F0 00 00 00 85 C0 0F 84 95 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 84 00 00 00 85 C0 75 14 68 29 0A 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 76 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 88 00 00 00 85 C0 75 14 68 2D 0A 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 4B FE FF FF E8 ?? ?? ?? ?? 89 86 98 00 00 00 85 C0 0F 84 2C FE FF FF 8D 86 80 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 12 FE FF FF 8B 47 64 F6 40 34 08 75 0B E8 ?? ?? ?? ?? 89 86 90 00 00 00 8D 86 20 01 00 00 C7 86 08 01 00 00 00 40 00 00 6A 10 50 C7 86 04 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2A 8D 86 30 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 15 8D 86 50 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E 9C 00 00 00 00 40 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 90 FD FF FF 81 8E 9C 00 00 00 04 00 02 00 8B C6 5B 5F C7 86 0C 02 00 00 FF FF FF FF 5E C3 68 20 0A 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 6E FD FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 14 00 00 00 E8 ?? ?? ?? ?? 56 8B 74 24 1C 83 7E 18 00 75 26 68 95 06 00 00 68 ?? ?? ?? ?? 68 14 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF 5E 83 C4 14 C3 F6 46 28 02 74 0E C7 46 14 01 00 00 00 33 C0 5E 83 C4 14 C3 F7 86 30 01 00 00 00 01 00 00 74 47 E8 ?? ?? ?? ?? 85 C0 75 3E 8B 44 24 20 89 44 24 08 8B 44 24 24 89 44 24 0C 8B 46 04 89 74 24 04 C7 44 24 10 00 00 00 00 68 ?? ?? ?? ?? 8B 40 20 89 44 24 18 8D 44 24 08 50 56 E8 ?? ?? ?? ?? 83 C4 0C 5E 83 C4 14 C3 FF 74 24 24 8B 46 04 FF 74 24 24 56 8B 40 20 FF D0 83 C4 0C 5E 83 C4 14 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_0l_x86_3194c1f8 | |
| { | |
| meta: | |
| version = "1.1.0l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 14 00 00 00 E8 ?? ?? ?? ?? 56 8B 74 24 1C 83 7E 18 00 75 26 68 C9 06 00 00 68 ?? ?? ?? ?? 68 14 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF 5E 83 C4 14 C3 F6 46 28 01 74 18 68 CF 06 00 00 68 ?? ?? ?? ?? C7 46 14 01 00 00 00 68 CF 00 00 00 EB CB F7 86 30 01 00 00 00 01 00 00 74 47 E8 ?? ?? ?? ?? 85 C0 75 3E 8B 44 24 20 89 44 24 08 8B 44 24 24 89 44 24 0C 8B 46 04 89 74 24 04 C7 44 24 10 01 00 00 00 68 ?? ?? ?? ?? 8B 40 28 89 44 24 18 8D 44 24 08 50 56 E8 ?? ?? ?? ?? 83 C4 0C 5E 83 C4 14 C3 FF 74 24 24 8B 46 04 FF 74 24 24 56 8B 40 28 FF D0 83 C4 0C 5E 83 C4 14 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 5A 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 ED 78 05 83 FD 10 7E 14 6A 5B 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 80 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 6C 01 00 00 90 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 6A 00 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 E8 ?? ?? ?? ?? 83 C4 20 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 6A 00 6A 00 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 E8 ?? ?? ?? ?? 83 C4 20 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 04 00 00 00 E8 ?? ?? ?? ?? 53 8B 5C 24 1C 55 57 8B 7C 24 1C 8B EB 85 FF 0F 84 A9 03 00 00 56 8B 74 24 18 C7 07 00 00 00 00 83 7E 08 00 74 32 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 76 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 94 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E 5F 5D 5B 59 C3 8B 06 85 C0 75 32 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 7B 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 83 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E 5F 5D 5B 59 C3 83 78 44 00 0F 85 8A 02 00 00 8B 40 04 68 00 20 00 00 56 89 44 24 30 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 7B C7 44 24 20 00 00 00 00 85 DB 7E 39 81 FB F7 FF FF 7F 7D 0F 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 EB 58 81 E5 07 00 00 80 79 05 4D 83 CD F8 45 F7 DD 8B C3 99 1B ED 83 E2 07 03 C2 F7 DD C1 F8 03 03 E8 EB 36 75 04 33 ED EB 30 8D 44 24 20 50 8B C3 25 07 00 00 80 79 05 48 83 C8 F8 40 F7 D8 1B C0 F7 D8 50 8B C3 99 83 E2 07 03 C2 C1 F8 03 50 E8 ?? ?? ?? ?? 83 C4 0C 8B E8 8B 06 F7 40 10 00 00 10 00 74 67 83 7C 24 28 01 8B 4C 24 24 8B 54 24 1C 75 2D 55 51 52 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 14 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 9F 04 00 00 E9 2C 01 00 00 8B 06 8B 4C 24 24 8B 54 24 1C 8B 40 1C 53 51 52 56 FF D0 83 C4 10 85 C0 79 0E 5E C7 07 00 00 00 00 33 C0 5F 5D 5B 59 C3 89 07 B8 01 00 00 00 5E 5F 5D 5B 59 C3 85 DB 7F 13 5E C7 07 00 00 00 00 33 C0 5F 85 DB 5D 0F 94 C0 5B 59 C3 F7 46 60 00 01 00 00 74 19 53 FF 74 24 28 57 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 14 5E 5F 5D 5B 59 C3 8B 6C 24 28 83 FD 20 76 17 68 B4 04 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 68 00 8B 4C 24 24 8B 44 24 1C 0F 84 AF 00 00 00 3B C1 74 79 55 51 50 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 6A 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 23 CB 3B C8 76 32 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 C7 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 CA 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E 5F 5D 5B 59 C3 8B 4C 24 1C 8D 46 70 55 50 51 E8 ?? ?? ?? ?? 8B 44 24 28 83 C4 0C 8B 4C 24 24 03 C5 C7 44 24 20 01 00 00 00 EB 3A E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 BA 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 A2 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E 5F 5D 5B 59 C3 C7 44 24 20 00 00 00 00 53 51 57 50 56 89 44 24 3C E8 ?? ?? ?? ?? 83 C4 14 85 C0 0F 84 DB 00 00 00 83 FD 01 76 25 83 7E 0C 00 75 1F 29 2F C7 46 68 01 00 00 00 8B 07 03 44 24 28 55 50 8D 46 70 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 68 00 00 00 00 83 7C 24 20 00 0F 84 7E FE FF FF 01 2F B8 01 00 00 00 5E 5F 5D 5B 59 C3 56 E8 ?? ?? ?? ?? 8B 0E 83 C4 04 8B 49 58 85 C9 74 56 83 F8 01 7C 51 33 D2 83 F8 01 53 FF 74 24 28 0F 44 C2 03 C3 50 8D 44 24 1C 50 FF 74 24 2C FF B6 94 00 00 00 FF D1 83 C4 18 85 C0 0F 84 33 FE FF FF 8B 4C 24 10 81 F9 FF FF FF 7F 76 11 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 8D 04 00 00 EB 17 5E 89 0F 5F 5D 5B 59 C3 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 84 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 BD 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 5E 5F 5D 33 C0 5B 59 C3 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 70 04 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 02 01 0C 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5D 5B 59 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 04 00 00 00 E8 ?? ?? ?? ?? 56 8B 74 24 0C C7 44 24 04 00 00 00 00 83 7E 04 00 75 05 33 C0 5E 59 C3 57 56 E8 ?? ?? ?? ?? 8B F8 83 C4 04 85 FF 0F 88 BD 00 00 00 8B 46 04 83 78 40 00 75 69 83 FF 40 76 17 68 E5 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 46 04 53 FF 74 24 18 8B 40 1C 56 FF D0 8B 4C 24 24 83 C4 08 8B D8 85 C9 74 02 89 39 8B 4E 04 8B 49 24 85 C9 74 0E 56 FF D1 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 46 04 FF 70 2C FF 76 10 E8 ?? ?? ?? ?? 83 C4 08 8B C3 5B 5F 5E 59 C3 8B 40 54 85 C0 75 11 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 CB 01 00 00 EB 18 F7 46 0C 00 08 00 00 74 30 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 D0 01 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 BC 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 5F 33 C0 5E 59 C3 57 8D 4C 24 0C 51 FF 74 24 1C FF 76 1C FF D0 81 4E 0C 00 08 00 00 83 C4 10 8B 54 24 18 85 D2 74 06 8B 4C 24 08 89 0A 5F 5E 59 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { FF 74 24 0C 6A 00 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 4C 24 0C 85 C9 75 06 B8 01 00 00 00 C3 8B 44 24 04 F7 40 0C 00 08 00 00 74 2D E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 87 01 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 BD 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 C3 56 8B 70 14 85 F6 74 6A 8B 16 F7 C2 F0 C1 00 00 74 60 83 7E 18 00 74 5A 81 FA 80 00 00 00 75 0E 5E 89 4C 24 0C 89 44 24 04 E9 ?? ?? ?? ?? 81 FA 00 01 00 00 75 0E 5E 89 4C 24 0C 89 44 24 04 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 9C 01 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 BD 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E C3 8B 50 04 85 D2 74 36 83 7A 40 00 74 30 F7 40 0C 00 01 00 00 75 27 8B 52 50 85 D2 75 11 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 A6 01 00 00 EB B3 51 FF 74 24 10 FF 70 1C FF D2 83 C4 0C 5E C3 8B 50 18 85 D2 74 B8 5E 89 4C 24 0C 89 44 24 04 FF E2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 6A 00 6A 01 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 FF 74 24 20 E8 ?? ?? ?? ?? 83 C4 20 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 10 85 F6 0F 84 1F 01 00 00 8B 4C 24 08 C7 06 00 00 00 00 83 79 08 00 75 2E E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 E1 03 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 94 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E C3 8B 01 85 C0 75 2E E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 E6 03 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 83 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E C3 83 78 44 00 75 18 FF 74 24 18 FF 74 24 18 56 FF 74 24 18 51 E8 ?? ?? ?? ?? 83 C4 14 5E C3 8B 50 04 57 8B 78 58 85 FF 74 55 83 FA 01 7C 50 8B 44 24 1C 53 50 FF 74 24 20 33 DB 83 FA 01 0F 44 D3 03 D0 8D 44 24 28 52 50 FF 74 24 24 FF B1 94 00 00 00 FF D7 83 C4 18 5B 85 C0 74 1F 8B 4C 24 1C 81 F9 FF FF FF 7F 76 11 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 FA 03 00 00 EB 14 89 0E 5F 5E C3 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 F0 03 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 BD 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E C3 E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 DB 03 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 02 01 0C 00 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 04 00 00 00 E8 ?? ?? ?? ?? FF 74 24 08 E8 ?? ?? ?? ?? 83 C4 04 C7 04 24 00 00 00 00 85 C0 7E 53 8D 0C 24 51 50 8B 44 24 24 B9 ?? ?? ?? ?? 85 C0 0F 45 C8 51 FF 74 24 24 FF 74 24 24 FF 74 24 24 FF 74 24 24 6A 00 FF 74 24 28 E8 ?? ?? ?? ?? 83 C4 04 50 6A 00 68 ?? ?? ?? ?? 6A 00 E8 ?? ?? ?? ?? 8B 54 24 50 83 C4 30 85 D2 74 09 8B 0C 24 89 0A 59 C3 33 C0 59 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 67 02 00 00 85 F6 0F 88 5F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 51 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 85 40 02 00 00 85 ED 0F 84 EB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 1C 02 00 00 85 C0 0F 88 14 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F8 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 E3 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C6 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 B4 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 6A 00 FF 74 24 28 FF 74 24 28 FF 74 24 28 FF 74 24 28 FF 74 24 28 FF 74 24 28 FF 74 24 28 FF 74 24 28 E8 ?? ?? ?? ?? 83 C4 28 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { FF 74 24 04 6A 00 6A 00 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 85 F6 74 4C 8B 06 85 C0 75 04 8B C6 EB 11 84 C0 79 0B 56 E8 ?? ?? ?? ?? 83 C4 04 EB 02 33 C0 F6 06 80 74 0E 8B 46 0C 56 8B 40 2C FF D0 83 C4 04 5E C3 85 C0 74 1A 83 78 38 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 2E E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 4B 09 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 0F 01 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 18 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_3_5_0_x86_b4f56223 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 2E E8 ?? ?? ?? ?? 68 ?? ?? ?? ?? 68 71 0A 00 00 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 6A 00 68 0F 01 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 18 83 C8 FF C3 8D 4C 24 0C 51 6A 00 6A 00 50 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 5A 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 76 19 41 B8 5B 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 48 C7 44 24 38 00 00 00 00 C6 44 24 30 00 89 44 24 28 48 8B 44 24 70 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 C0 48 89 44 24 38 88 44 24 30 89 44 24 28 48 8B 44 24 70 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 4C 89 4C 24 20 53 55 57 41 54 41 55 41 56 41 57 B8 40 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 63 AC 24 A0 00 00 00 4D 8B F9 8B DD 4D 8B F0 4C 8B E2 48 8B F9 4D 85 C0 0F 84 12 04 00 00 48 89 B4 24 80 00 00 00 33 F6 41 89 30 39 71 10 74 27 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 76 04 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA 94 00 00 00 E9 9B 03 00 00 48 8B 01 48 85 C0 75 27 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 7B 04 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA 83 00 00 00 E9 6C 03 00 00 48 39 70 70 0F 85 E6 02 00 00 44 8B 78 04 BA 00 20 00 00 E8 ?? ?? ?? ?? 41 BD FF FF FF 7F 85 C0 74 38 85 ED 0F 8E B9 00 00 00 81 FD F7 FF FF 7F 7D 0F 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 EB 19 8B C5 8B DE 99 83 E2 07 03 C2 8B C8 83 E0 07 C1 F9 03 3B C2 0F 95 C3 03 D9 4C 8B 1F 41 F7 43 10 00 00 10 00 0F 84 07 01 00 00 4C 8B 94 24 98 00 00 00 41 83 FF 01 0F 85 CC 00 00 00 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D2 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 0F 84 8D 00 00 00 E8 ?? ?? ?? ?? BA 9F 04 00 00 4C 8D 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA A2 00 00 00 E9 89 02 00 00 75 07 8B DE E9 6E FF FF FF 8B C5 8B CE 99 83 E2 07 03 C2 8B D8 83 E0 07 C1 FB 03 3B C2 0F 95 C1 81 FB 00 00 00 80 0F 83 49 FF FF FF 85 DB 7E 0F 41 8B C5 2B C3 3B C8 0F 8E 38 FF FF FF 85 DB 79 0F B8 00 00 00 80 2B C3 3B C8 0F 8D 25 FF FF FF 85 DB 0F 84 1D FF FF FF C1 FB 1F 83 E3 01 41 03 DD E9 11 FF FF FF 4C 8B CD 4D 8B C2 49 8B D4 48 8B CF 41 FF 53 20 85 C0 79 08 41 89 36 E9 13 02 00 00 41 89 06 B8 01 00 00 00 E9 08 02 00 00 85 ED 7F 0E 41 89 36 40 0F 94 C6 8B C6 E9 F6 01 00 00 F7 47 70 00 01 00 00 74 1F 4C 8B 8C 24 98 00 00 00 4D 8B C6 49 8B D4 89 6C 24 20 48 8B CF E8 ?? ?? ?? ?? E9 CE 01 00 00 41 83 FF 20 76 19 41 B8 B4 04 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 39 B7 80 00 00 00 0F 84 AF 00 00 00 48 8B 84 24 98 00 00 00 4C 3B E0 0F 84 8F 00 00 00 49 63 CF 44 8B C6 49 8B D4 48 2B D0 48 8B C1 48 F7 D8 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 53 41 8D 47 FF 45 2B EF F7 D0 23 C5 41 3B C5 76 27 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA C7 04 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA CA 00 00 00 E9 11 01 00 00 48 8D 97 88 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 BB 01 00 00 00 EB 11 E8 ?? ?? ?? ?? BA BA 04 00 00 E9 40 FE FF FF 8B DE 4C 8B 8C 24 98 00 00 00 4D 8B C6 49 8B D4 89 6C 24 20 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 CE 00 00 00 41 83 FF 01 76 29 39 77 14 75 24 45 29 3E 48 8D 8F 88 00 00 00 C7 87 80 00 00 00 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 06 89 B7 80 00 00 00 85 DB 74 03 45 01 3E B8 01 00 00 00 E9 8A 00 00 00 E8 ?? ?? ?? ?? 48 8B 0F 4C 8B 91 98 00 00 00 4D 85 D2 0F 84 8F 00 00 00 83 F8 01 0F 8C 86 00 00 00 48 8B 8F B0 00 00 00 4C 8D 44 24 30 0F 44 C6 48 89 6C 24 28 4C 63 C8 49 8B D4 4C 03 CD 4C 89 7C 24 20 41 FF D2 85 C0 74 40 48 8B 4C 24 30 41 BD FF FF FF 7F 49 3B CD 76 48 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 8D 04 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA BD 00 00 00 45 33 C0 41 8D 48 06 E8 ?? ?? ?? ?? 33 C0 48 8B B4 24 80 00 00 00 48 83 C4 40 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 41 89 0E EB E3 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 84 04 00 00 EB B1 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 70 04 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 33 C0 BA 02 01 0C 00 41 8D 48 06 E8 ?? ?? ?? ?? 33 C0 48 83 C4 40 41 5F 41 5E 41 5D 41 5C 5F 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 48 89 6C 24 20 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 08 00 49 8B F8 48 8B EA 48 C7 44 24 30 00 00 00 00 48 8B D9 75 12 33 C0 48 8B 5C 24 40 48 8B 6C 24 48 48 83 C4 20 5F C3 E8 ?? ?? ?? ?? 85 C0 78 E5 48 89 74 24 38 48 63 F0 48 8B 43 08 48 83 78 68 00 75 6C 48 83 FE 40 76 19 41 B8 E5 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 43 08 48 8B D5 48 8B CB FF 50 28 8B E8 48 85 FF 74 02 89 37 48 8B 4B 08 48 8B 51 38 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 43 08 48 8B 4B 20 48 63 50 44 E8 ?? ?? ?? ?? 8B C5 E9 8E 00 00 00 4C 8B 90 90 00 00 00 4D 85 D2 75 0C E8 ?? ?? ?? ?? BA CB 01 00 00 EB 50 F7 43 18 00 08 00 00 74 0C E8 ?? ?? ?? ?? BA D0 01 00 00 EB 3B 48 8B 4B 38 4C 8D 44 24 30 4C 8B CE 48 8B D5 41 FF D2 81 4B 18 00 08 00 00 48 85 FF 74 43 48 8B 4C 24 30 BA FF FF FF FF 48 3B CA 77 04 89 0F EB 30 E8 ?? ?? ?? ?? BA DC 01 00 00 4C 8D 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 33 C0 BA BC 00 00 00 41 8D 48 06 E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 38 48 8B 5C 24 40 48 8B 6C 24 48 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 8B C8 45 33 C0 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4C 8B D2 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 44 8B 49 18 41 0F BA E1 0B 73 35 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 87 01 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 33 C0 BA BD 00 00 00 41 8D 48 06 E8 ?? ?? ?? ?? 33 C0 48 83 C4 28 C3 48 8B 41 28 48 85 C0 74 4C 8B 10 F7 C2 F0 C1 00 00 74 42 48 83 78 30 00 74 3B 81 FA 80 00 00 00 75 0C 49 8B D2 48 83 C4 28 E9 ?? ?? ?? ?? 81 FA 00 01 00 00 75 0C 49 8B D2 48 83 C4 28 E9 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 9C 01 00 00 EB 87 48 8B 41 08 48 85 C0 74 3E 48 83 78 68 00 74 37 41 0F BA E1 08 72 30 4C 8B 88 88 00 00 00 4D 85 C9 75 16 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA A6 01 00 00 E9 4E FF FF FF 48 8B 49 38 49 8B D2 48 83 C4 28 49 FF E1 48 8B 41 30 48 85 C0 0F 84 50 FF FF FF 49 8B D2 48 83 C4 28 48 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 70 48 C7 44 24 38 00 00 00 00 C6 44 24 30 00 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 49 8B D8 4D 8B D9 4C 63 44 24 60 48 8B FA 48 85 DB 0F 84 1A 01 00 00 45 33 C9 44 89 0B 44 39 49 10 75 27 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA E1 03 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA 94 00 00 00 E9 09 01 00 00 48 8B 01 48 85 C0 75 27 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA E6 03 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA 83 00 00 00 E9 DA 00 00 00 4C 39 48 70 75 20 44 89 44 24 20 4D 8B CB 4C 8B C3 E8 ?? ?? ?? ?? 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 4C 8B 90 98 00 00 00 8B 50 04 4D 85 D2 74 77 83 FA 01 7C 72 48 8B 89 B0 00 00 00 41 0F 44 D1 4C 63 CA 48 8B D7 4C 89 44 24 28 4D 03 C8 4C 8D 44 24 50 4C 89 5C 24 20 41 FF D2 85 C0 0F 84 80 00 00 00 48 8B 4C 24 50 48 81 F9 FF FF FF 7F 76 24 E8 ?? ?? ?? ?? BA FA 03 00 00 4C 8D 05 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA BD 00 00 00 EB 40 89 0B 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 E8 ?? ?? ?? ?? BA F0 03 00 00 EB C8 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA DB 03 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? BA 02 01 0C 00 45 33 C0 41 8D 48 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 41 56 41 57 B8 70 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 8B F1 49 63 D8 4C 8B FA 48 8B E9 E8 ?? ?? ?? ?? 48 C7 44 24 60 00 00 00 00 85 C0 0F 8E B3 00 00 00 48 89 B4 24 90 00 00 00 48 8B CD 48 8B B4 24 B8 00 00 00 48 89 BC 24 98 00 00 00 48 85 F6 48 63 F8 48 8D 05 ?? ?? ?? ?? 48 0F 44 F0 E8 ?? ?? ?? ?? 4C 8B C8 48 8D 15 ?? ?? ?? ?? 48 8D 44 24 60 45 33 C0 48 89 44 24 58 33 C9 48 8B 84 24 B0 00 00 00 48 89 7C 24 50 48 89 74 24 48 48 89 44 24 40 4C 89 74 24 38 48 89 5C 24 30 4C 89 7C 24 28 48 C7 44 24 20 00 00 00 00 E8 ?? ?? ?? ?? 48 8B 94 24 C0 00 00 00 48 8B BC 24 98 00 00 00 48 8B B4 24 90 00 00 00 48 85 D2 74 1A 8B 4C 24 60 89 0A 48 8B 9C 24 A0 00 00 00 48 83 C4 70 41 5F 41 5E 5D C3 33 C0 48 8B 9C 24 A0 00 00 00 48 83 C4 70 41 5F 41 5E 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 E0 4C 89 AC 24 68 01 00 00 44 8D 68 01 48 85 ED 0F 84 E0 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 30 02 00 00 85 C0 0F 88 28 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 0D 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 F6 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 DB 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 C9 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 58 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 C0 48 89 44 24 48 48 89 44 24 40 48 8B 84 24 98 00 00 00 48 89 44 24 38 8B 84 24 90 00 00 00 89 44 24 30 48 8B 84 24 88 00 00 00 48 89 44 24 28 8B 84 24 80 00 00 00 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 58 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4C 8B C1 33 D2 33 C9 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B D9 48 85 C9 74 4E 8B 01 85 C0 75 05 48 8B C1 EB 0D 84 C0 79 07 E8 ?? ?? ?? ?? EB 02 33 C0 F6 03 80 74 10 48 8B 43 18 48 8B CB 48 83 C4 20 5B 48 FF 60 48 48 85 C0 74 1C 48 83 78 70 00 75 08 48 8B CB E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? 33 C0 48 83 C4 20 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 36 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 4B 09 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 33 C0 BA 0F 01 00 00 41 8D 48 14 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 28 C3 4D 63 C0 4C 8D 4C 24 48 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 48 48 83 C4 28 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_3_5_0_x64_d6bb6522 | |
| { | |
| meta: | |
| version = "3.5.0" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 36 E8 ?? ?? ?? ?? 4C 8D 05 ?? ?? ?? ?? BA 71 0A 00 00 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 45 33 C0 BA 0F 01 00 00 41 8D 48 14 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 48 8D 44 24 58 4D 63 C0 45 33 C9 48 89 44 24 20 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 DC 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 E4 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 8E 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 F6 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 F7 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 1C 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 20 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 2D 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 13 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 03 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1v_x64_51b31296 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 C2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 DC 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 E4 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 8E 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 E7 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 F6 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 F7 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 1C 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 20 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 2D 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 13 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 03 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1v_x86_1ef7c104 | |
| { | |
| meta: | |
| version = "1.1.1v" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 C2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 DC 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 E4 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 8E 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 E7 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 F6 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 F7 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 1C 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 20 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 2D 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 13 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 03 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1u_x86_31e0c5fa | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 C2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 DC 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 E4 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 8E 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 F6 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 F7 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 1C 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 20 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 2D 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 13 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 03 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1u_x64_1bdd28f2 | |
| { | |
| meta: | |
| version = "1.1.1u" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 C2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 DC 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 E4 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 8E 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 F6 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 F7 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 1C 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 20 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 2D 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 13 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 03 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1t_x64_59074da5 | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 C2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 DC 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 E4 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 8E 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 E7 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 F6 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 F7 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 1C 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 20 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 2D 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 13 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 03 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1t_x86_b1af5e0a | |
| { | |
| meta: | |
| version = "1.1.1t" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 C2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 DC 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 E4 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 8E 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 E7 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 F6 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 F7 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 1C 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 20 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 2D 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 13 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 03 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1s_x86_f7c47378 | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 C2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 DC 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 E4 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 8E 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 F6 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 F7 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 1C 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 20 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 2D 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 13 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 03 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1s_x64_3fc1313d | |
| { | |
| meta: | |
| version = "1.1.1s" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 C2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CE 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 80 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E8 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E9 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0E 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 12 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1F 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 05 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F5 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1q_x86_b9e83bc3 | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B4 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CE 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D6 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 80 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D9 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E8 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E9 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0E 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 12 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1F 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 05 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F5 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1q_x64_8522c0df | |
| { | |
| meta: | |
| version = "1.1.1q" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B4 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CE 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D6 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 80 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D9 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E8 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E9 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0E 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 12 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1F 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 05 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F5 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1p_x64_373dc86a | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B4 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CE 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 80 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E8 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E9 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0E 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 12 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1F 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 05 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F5 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1p_x86_e901e881 | |
| { | |
| meta: | |
| version = "1.1.1p" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B4 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 DA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 06 8D 6B 07 C1 ED 03 85 DB 0F 88 C0 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 A6 01 00 00 8B 06 F7 40 10 00 00 10 00 74 75 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 39 2B CF 8B C5 F7 D8 3B C1 1B D2 F7 DA 3B CD 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 3B C5 1B C0 F7 D8 85 D0 74 0A 68 F0 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 00 02 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 13 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 06 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 93 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CE 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 80 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E8 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E9 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0E 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 12 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1F 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 05 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F5 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1o_x86_181eccdf | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B4 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 20 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 BC 24 80 00 00 00 49 8B F0 4D 8B EF 4C 8B F2 48 8B D9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 DA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 68 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 08 49 83 C5 07 49 C1 ED 03 48 89 7C 24 70 45 85 FF 0F 88 F8 01 00 00 75 16 48 8B 0B E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 E0 01 00 00 4C 8B 13 41 F7 42 10 00 00 10 00 74 71 33 FF 83 FD 01 75 41 8B D7 49 8B CE 49 2B CC 49 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 49 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 4D 85 ED 0F 95 C0 85 D0 74 0D C7 44 24 20 F0 01 00 00 E9 12 01 00 00 4D 8B CF 4D 8B C4 49 8B D6 48 8B CB 41 FF 52 20 85 C0 79 09 89 3E 33 C0 E9 7B 01 00 00 89 06 B8 01 00 00 00 E9 6F 01 00 00 F7 43 6C 00 01 00 00 74 1B 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? E9 4B 01 00 00 83 FD 20 76 19 41 B8 00 02 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7B 78 00 0F 84 BB 00 00 00 4D 3B F4 0F 84 8C 00 00 00 33 FF 49 8B CE 49 2B CC 8B D7 48 8B C5 48 F7 D8 48 3B C8 8B C7 0F 97 C2 48 3B CD 0F 92 C0 0B D0 8B C7 48 85 C9 0F 95 C0 23 D0 8B C7 85 ED 0F 95 C0 85 D0 75 57 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 13 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 93 80 00 00 00 4C 8B C5 49 8B CE E8 ?? ?? ?? ?? 4C 03 F5 41 BD 01 00 00 00 EB 2B C7 44 24 20 06 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 FF 44 8B EF 4D 8B CC 44 89 7C 24 20 4C 8B C6 49 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 DD 83 FD 01 76 26 83 7B 14 00 75 20 29 2E 48 8D 8B 80 00 00 00 C7 43 78 01 00 00 00 4C 8B C5 48 63 16 49 03 D6 E8 ?? ?? ?? ?? EB 03 89 7B 78 45 85 ED 74 02 01 2E B8 01 00 00 00 EB 0D 33 FF 45 85 FF 89 3E 40 0F 94 C7 8B C7 48 8B 7C 24 70 48 8B 6C 24 68 48 8B 5C 24 78 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 93 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CE 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D6 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 80 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D9 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E8 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E9 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0E 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 12 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1F 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 05 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F5 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1o_x64_f41a3f1f | |
| { | |
| meta: | |
| version = "1.1.1o" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B4 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 D8 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 A6 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 8C 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 EE 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 FE 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 11 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 04 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 B7 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 13 01 00 00 8B 07 3B 02 0F 84 09 01 00 00 85 FF 0F 84 EA 00 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 8E 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 70 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 39 3E 74 6F 6A 01 56 E8 ?? ?? ?? ?? 83 C4 08 89 3E F7 46 08 00 01 00 00 75 59 83 7F 28 00 74 53 8B 47 14 68 8B 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 31 68 8D 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 49 FF FF FF C7 46 04 00 00 00 00 EB A4 8B 3E 85 FF 75 9E 6A 7F 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 29 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 0F FF FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 92 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CD 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D5 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 7F 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D8 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E7 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E8 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0D 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 11 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1E 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 04 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F5 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1n_x86_790a5ea2 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B4 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 57 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 4C 63 BC 24 80 00 00 00 4D 8B F0 41 8B DF 4C 8B E2 48 8B F9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 D8 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 47 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 68 45 85 FF 0F 88 08 02 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 F0 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7A 33 F6 83 FD 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 EE 01 00 00 E9 1B 01 00 00 4D 8B CF 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 84 01 00 00 41 89 06 B8 01 00 00 00 E9 77 01 00 00 F7 47 6C 00 01 00 00 74 1B 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 53 01 00 00 83 FD 20 76 19 41 B8 FE 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 C2 00 00 00 4D 3B E5 0F 84 93 00 00 00 33 F6 48 63 CD 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 ED 0F 9F C0 44 85 C0 75 56 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 11 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4E 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 97 80 00 00 00 4C 8B C5 49 8B CC E8 ?? ?? ?? ?? 4C 03 E5 BB 01 00 00 00 EB 2A C7 44 24 20 04 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 69 33 F6 8B DE 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7F 14 00 75 21 41 29 2E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 41 01 2E B8 01 00 00 00 EB 0E 33 F6 45 85 FF 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 B7 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 92 01 00 00 8B 00 39 07 0F 84 88 01 00 00 48 85 FF 0F 84 41 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 D9 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 70 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 39 3B 0F 84 CB 00 00 00 BA 01 00 00 00 48 8B CB E8 ?? ?? ?? ?? F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 8B 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 8D 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 6A FF FF FF 48 8B 3B 48 85 FF 0F 85 5E FF FF FF BA 80 00 00 00 C7 44 24 20 7F 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 80 FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 92 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CD 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D5 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 7F 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D8 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E7 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E8 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0D 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 11 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1E 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 04 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F5 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1n_x64_313c6215 | |
| { | |
| meta: | |
| version = "1.1.1n" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B4 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 8B 4F 04 8B 5C 24 18 85 C9 74 18 8B 17 85 D2 74 12 85 DB 0F 84 5B 01 00 00 8B 03 3B 02 0F 84 51 01 00 00 85 DB 0F 84 22 01 00 00 83 3F 00 75 09 85 C9 75 05 39 4F 60 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 66 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 3B FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 25 56 E8 ?? ?? ?? ?? 6A 71 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5D 5B C3 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 15 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 5E FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 C1 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 D8 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 A6 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 8C 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 EE 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 FE 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 11 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 04 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 92 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CD 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D5 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 7F 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D8 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E7 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E8 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0D 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 11 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1E 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 04 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F5 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1m_x86_a3ea4390 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B4 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 48 8B 49 08 45 33 E4 48 89 5C 24 50 48 85 C9 74 1B 48 8B 07 48 85 C0 74 13 48 85 F6 0F 84 3C 01 00 00 8B 00 39 02 0F 84 32 01 00 00 48 85 F6 0F 84 11 01 00 00 4C 39 27 75 0B 48 85 C9 75 06 4C 39 67 70 74 12 8B 5F 6C 48 8B CF E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 66 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 32 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 2A 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 12 48 8B CD E8 ?? ?? ?? ?? C7 44 24 20 71 00 00 00 EB AC 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 6B FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 2A FF FF FF 4C 39 27 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 18 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 B5 FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 8E FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 DF FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 57 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 4C 63 BC 24 80 00 00 00 4D 8B F0 41 8B DF 4C 8B E2 48 8B F9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 D8 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 47 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 68 45 85 FF 0F 88 08 02 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 F0 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7A 33 F6 83 FD 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 EE 01 00 00 E9 1B 01 00 00 4D 8B CF 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 84 01 00 00 41 89 06 B8 01 00 00 00 E9 77 01 00 00 F7 47 6C 00 01 00 00 74 1B 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 53 01 00 00 83 FD 20 76 19 41 B8 FE 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 C2 00 00 00 4D 3B E5 0F 84 93 00 00 00 33 F6 48 63 CD 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 ED 0F 9F C0 44 85 C0 75 56 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 11 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4E 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 97 80 00 00 00 4C 8B C5 49 8B CC E8 ?? ?? ?? ?? 4C 03 E5 BB 01 00 00 00 EB 2A C7 44 24 20 04 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 69 33 F6 8B DE 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7F 14 00 75 21 41 29 2E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 41 01 2E B8 01 00 00 00 EB 0E 33 F6 45 85 FF 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 92 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CD 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D5 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 7F 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D8 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E7 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E8 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0D 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 11 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1E 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 04 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F5 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1m_x64_fcebaf50 | |
| { | |
| meta: | |
| version = "1.1.1m" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B4 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 62 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 71 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 57 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 4C 63 BC 24 80 00 00 00 4D 8B F0 41 8B DF 4C 8B E2 48 8B F9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 D8 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 47 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 68 45 85 FF 0F 88 08 02 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 F0 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7A 33 F6 83 FD 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 EE 01 00 00 E9 1B 01 00 00 4D 8B CF 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 84 01 00 00 41 89 06 B8 01 00 00 00 E9 77 01 00 00 F7 47 6C 00 01 00 00 74 1B 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 53 01 00 00 83 FD 20 76 19 41 B8 FE 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 C2 00 00 00 4D 3B E5 0F 84 93 00 00 00 33 F6 48 63 CD 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 ED 0F 9F C0 44 85 C0 75 56 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 11 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4E 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 97 80 00 00 00 4C 8B C5 49 8B CC E8 ?? ?? ?? ?? 4C 03 E5 BB 01 00 00 00 EB 2A C7 44 24 20 04 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 69 33 F6 8B DE 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7F 14 00 75 21 41 29 2E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 41 01 2E B8 01 00 00 00 EB 0E 33 F6 45 85 FF 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 92 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 CB 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 D3 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 7D 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 D6 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 E5 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 E6 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 0B 0C 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 0F 0C 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 1C 0C 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 02 0C 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F3 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1l_x64_fde07d30 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 62 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 71 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 D8 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 A6 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 8C 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 EE 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 FE 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 11 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 04 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 92 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 CB 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 D3 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 7D 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 E5 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 E6 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 0B 0C 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 0F 0C 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 1C 0C 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 02 0C 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F3 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1l_x86_eeaf4518 | |
| { | |
| meta: | |
| version = "1.1.1l" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 62 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 71 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 D8 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 A6 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 8C 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 EE 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 FE 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 11 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 04 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 92 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 A9 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 53 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 AC 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 BB 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 BC 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 E1 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 E5 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 F2 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 D8 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 F3 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1k_x86_2f58a614 | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 B2 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 62 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 71 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 57 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 4C 63 BC 24 80 00 00 00 4D 8B F0 41 8B DF 4C 8B E2 48 8B F9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 D8 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 47 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 68 45 85 FF 0F 88 08 02 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 F0 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7A 33 F6 83 FD 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 EE 01 00 00 E9 1B 01 00 00 4D 8B CF 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 84 01 00 00 41 89 06 B8 01 00 00 00 E9 77 01 00 00 F7 47 6C 00 01 00 00 74 1B 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 53 01 00 00 83 FD 20 76 19 41 B8 FE 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 C2 00 00 00 4D 3B E5 0F 84 93 00 00 00 33 F6 48 63 CD 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 ED 0F 9F C0 44 85 C0 75 56 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 11 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4E 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 97 80 00 00 00 4C 8B C5 49 8B CC E8 ?? ?? ?? ?? 4C 03 E5 BB 01 00 00 00 EB 2A C7 44 24 20 04 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 69 33 F6 8B DE 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7F 14 00 75 21 41 29 2E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 41 01 2E B8 01 00 00 00 EB 0E 33 F6 45 85 FF 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 92 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 A1 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 A9 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 53 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 AC 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 BB 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 BC 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 E1 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 E5 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 F2 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 D8 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 F3 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1k_x64_e8ba2bdc | |
| { | |
| meta: | |
| version = "1.1.1k" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 B2 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 62 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 71 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 81 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 84 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 90 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 95 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9E 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A2 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B6 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 57 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 4C 63 BC 24 80 00 00 00 4D 8B F0 41 8B DF 4C 8B E2 48 8B F9 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 D8 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 47 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 68 45 85 FF 0F 88 08 02 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 F0 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7A 33 F6 83 FD 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 EE 01 00 00 E9 1B 01 00 00 4D 8B CF 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 84 01 00 00 41 89 06 B8 01 00 00 00 E9 77 01 00 00 F7 47 6C 00 01 00 00 74 1B 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 53 01 00 00 83 FD 20 76 19 41 B8 FE 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 C2 00 00 00 4D 3B E5 0F 84 93 00 00 00 33 F6 48 63 CD 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 ED 0F 9F C0 44 85 C0 75 56 8D 4D FF B8 FF FF FF 7F F7 D1 2B C5 41 23 CF 3B C8 76 27 BA A6 00 00 00 C7 44 24 20 11 02 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4E 06 44 8D 42 12 E8 ?? ?? ?? ?? 33 C0 E9 AB 00 00 00 48 8D 97 80 00 00 00 4C 8B C5 49 8B CC E8 ?? ?? ?? ?? 4C 03 E5 BB 01 00 00 00 EB 2A C7 44 24 20 04 02 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 69 33 F6 8B DE 4D 8B CD 44 89 7C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7F 14 00 75 21 41 29 2E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 41 01 2E B8 01 00 00 00 EB 0E 33 F6 45 85 FF 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 92 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 99 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 A1 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 4B 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A4 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B3 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B4 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D9 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DD 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 EA 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 D0 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 ED 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1j_x64_87899050 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AC 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 62 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 71 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 81 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 84 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 90 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 95 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9E 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A2 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B6 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 D8 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 A6 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 8C 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 EE 01 00 00 E9 DC 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 FE 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 79 3B E8 74 50 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 41 8D 4F FF B8 FF FF FF 7F F7 D1 2B C7 23 CB 3B C8 76 11 68 11 02 00 00 68 ?? ?? ?? ?? 68 B8 00 00 00 EB 2D 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 04 02 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 92 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 99 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 4B 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A4 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B3 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B4 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DD 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 EA 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 D0 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 ED 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1j_x86_4c0b5e08 | |
| { | |
| meta: | |
| version = "1.1.1j" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AC 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 CA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 83 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 69 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 E0 01 00 00 E9 B9 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 F0 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 56 3B E8 74 2D 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 F6 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 84 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 99 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 4B 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A4 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B3 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B4 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DD 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 EA 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 D0 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 ED 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1i_x86_fd10e678 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AC 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 57 41 54 41 55 41 56 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 48 63 AC 24 80 00 00 00 4D 8B F0 8B DD 4C 8B E2 48 8B F9 74 32 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 48 8B 01 BA 00 20 00 00 4C 89 7C 24 68 44 8B 78 04 E8 ?? ?? ?? ?? 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 60 85 ED 0F 88 CA 01 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 B2 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7B 33 F6 41 83 FF 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 E0 01 00 00 E9 DC 00 00 00 4C 8B CD 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 44 01 00 00 41 89 06 B8 01 00 00 00 E9 37 01 00 00 F7 47 6C 00 01 00 00 74 1A 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 14 01 00 00 41 83 FF 20 76 19 41 B8 F0 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 83 00 00 00 4D 3B E5 74 58 33 F6 49 63 CF 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 1A 48 8D 97 80 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 8D 5E 01 EB 2A C7 44 24 20 F6 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 F6 8B DE 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DF 41 83 FF 01 76 27 83 7F 14 00 75 21 45 29 3E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 45 01 3E B8 01 00 00 00 EB 0D 33 F6 85 ED 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 60 4C 8B 7C 24 68 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 84 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 99 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 A1 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 4B 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A4 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B3 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B4 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D9 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DD 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 EA 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 D0 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 ED 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1i_x64_da37bd89 | |
| { | |
| meta: | |
| version = "1.1.1i" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AC 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 57 41 54 41 55 41 56 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 48 63 AC 24 80 00 00 00 4D 8B F0 8B DD 4C 8B E2 48 8B F9 74 32 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 48 8B 01 BA 00 20 00 00 4C 89 7C 24 68 44 8B 78 04 E8 ?? ?? ?? ?? 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 60 85 ED 0F 88 CA 01 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 B2 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7B 33 F6 41 83 FF 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 E0 01 00 00 E9 DC 00 00 00 4C 8B CD 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 44 01 00 00 41 89 06 B8 01 00 00 00 E9 37 01 00 00 F7 47 6C 00 01 00 00 74 1A 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 14 01 00 00 41 83 FF 20 76 19 41 B8 F0 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 83 00 00 00 4D 3B E5 74 58 33 F6 49 63 CF 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 1A 48 8D 97 80 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 8D 5E 01 EB 2A C7 44 24 20 F6 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 F6 8B DE 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DF 41 83 FF 01 76 27 83 7F 14 00 75 21 45 29 3E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 45 01 3E B8 01 00 00 00 EB 0D 33 F6 85 ED 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 60 4C 8B 7C 24 68 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 84 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 99 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 A1 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 4B 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A4 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B3 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B4 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D9 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DD 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 EA 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 D0 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 ED 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1h_x64_caea11f5 | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AC 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 CA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 83 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 69 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 E0 01 00 00 E9 B9 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 F0 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 56 3B E8 74 2D 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 F6 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 84 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 99 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 4B 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A4 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B3 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B4 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D9 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DD 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 EA 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 D0 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 ED 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1h_x86_646553ef | |
| { | |
| meta: | |
| version = "1.1.1h" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AC 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 57 41 54 41 55 41 56 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 48 63 AC 24 80 00 00 00 4D 8B F0 8B DD 4C 8B E2 48 8B F9 74 32 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 48 8B 01 BA 00 20 00 00 4C 89 7C 24 68 44 8B 78 04 E8 ?? ?? ?? ?? 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 60 85 ED 0F 88 CA 01 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 B2 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7B 33 F6 41 83 FF 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 E0 01 00 00 E9 DC 00 00 00 4C 8B CD 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 44 01 00 00 41 89 06 B8 01 00 00 00 E9 37 01 00 00 F7 47 6C 00 01 00 00 74 1A 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 14 01 00 00 41 83 FF 20 76 19 41 B8 F0 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 83 00 00 00 4D 3B E5 74 58 33 F6 49 63 CF 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 1A 48 8D 97 80 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 8D 5E 01 EB 2A C7 44 24 20 F6 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 F6 8B DE 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DF 41 83 FF 01 76 27 83 7F 14 00 75 21 45 29 3E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 45 01 3E B8 01 00 00 00 EB 0D 33 F6 85 ED 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 60 4C 8B 7C 24 68 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 84 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 96 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 9E 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 48 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A1 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B0 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B1 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D6 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DA 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 CD 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 EB 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1g_x64_a3167bfe | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AA 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 CA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 83 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 69 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 E0 01 00 00 E9 B9 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 F0 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 56 3B E8 74 2D 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 F6 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 84 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 96 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 9E 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 48 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B0 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B1 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DA 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 E7 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 CD 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 EB 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1g_x86_eceb3589 | |
| { | |
| meta: | |
| version = "1.1.1g" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AA 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 CA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 83 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 69 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 E0 01 00 00 E9 B9 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 F0 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 56 3B E8 74 2D 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 F6 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 84 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 96 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 9E 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 48 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B0 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B1 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DA 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 E7 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 CD 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 EB 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1f_x86_e17b9194 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AA 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 57 41 54 41 55 41 56 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 48 63 AC 24 80 00 00 00 4D 8B F0 8B DD 4C 8B E2 48 8B F9 74 32 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 48 8B 01 BA 00 20 00 00 4C 89 7C 24 68 44 8B 78 04 E8 ?? ?? ?? ?? 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 60 85 ED 0F 88 CA 01 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 B2 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7B 33 F6 41 83 FF 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 E0 01 00 00 E9 DC 00 00 00 4C 8B CD 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 44 01 00 00 41 89 06 B8 01 00 00 00 E9 37 01 00 00 F7 47 6C 00 01 00 00 74 1A 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 14 01 00 00 41 83 FF 20 76 19 41 B8 F0 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 83 00 00 00 4D 3B E5 74 58 33 F6 49 63 CF 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 1A 48 8D 97 80 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 8D 5E 01 EB 2A C7 44 24 20 F6 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 F6 8B DE 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DF 41 83 FF 01 76 27 83 7F 14 00 75 21 45 29 3E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 45 01 3E B8 01 00 00 00 EB 0D 33 F6 85 ED 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 60 4C 8B 7C 24 68 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 84 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 96 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 9E 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 48 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A1 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B0 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B1 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D6 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DA 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 CD 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 EB 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1f_x64_a54b5c13 | |
| { | |
| meta: | |
| version = "1.1.1f" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AA 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 55 57 41 54 41 55 41 56 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E9 48 63 AC 24 80 00 00 00 4D 8B F0 8B DD 4C 8B E2 48 8B F9 74 32 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 CA 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 48 8B 01 BA 00 20 00 00 4C 89 7C 24 68 44 8B 78 04 E8 ?? ?? ?? ?? 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 48 89 74 24 60 85 ED 0F 88 CA 01 00 00 75 16 48 8B 0F E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 07 0F 85 B2 01 00 00 4C 8B 17 41 F7 42 10 00 00 10 00 74 7B 33 F6 41 83 FF 01 75 48 48 63 CB 44 8B C6 48 8B C1 49 8B D4 48 F7 D8 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 E0 01 00 00 E9 DC 00 00 00 4C 8B CD 4D 8B C5 49 8B D4 48 8B CF 41 FF 52 20 85 C0 79 0A 41 89 36 33 C0 E9 44 01 00 00 41 89 06 B8 01 00 00 00 E9 37 01 00 00 F7 47 6C 00 01 00 00 74 1A 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? E9 14 01 00 00 41 83 FF 20 76 19 41 B8 F0 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7F 78 00 0F 84 83 00 00 00 4D 3B E5 74 58 33 F6 49 63 CF 44 8B C6 48 8B C1 48 F7 D8 49 8B D4 49 2B D5 48 3B D0 8B C6 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C6 48 85 D2 0F 95 C0 44 23 C0 8B C6 45 85 FF 0F 9F C0 44 85 C0 75 1A 48 8D 97 80 00 00 00 4D 8B C7 49 8B CC E8 ?? ?? ?? ?? 4D 03 E7 8D 5E 01 EB 2A C7 44 24 20 F6 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 68 33 F6 8B DE 4D 8B CD 89 6C 24 20 4D 8B C6 49 8B D4 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 DF 41 83 FF 01 76 27 83 7F 14 00 75 21 45 29 3E 48 8D 8F 80 00 00 00 C7 47 78 01 00 00 00 4D 8B C7 49 63 16 49 03 D4 E8 ?? ?? ?? ?? EB 03 89 77 78 85 DB 74 03 45 01 3E B8 01 00 00 00 EB 0D 33 F6 85 ED 41 89 36 40 0F 94 C6 8B C6 48 8B 74 24 60 4C 8B 7C 24 68 48 8B 5C 24 70 48 83 C4 30 41 5E 41 5D 41 5C 5F 5D C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 84 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 89 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 97 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 56 41 57 B8 70 01 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 50 01 00 00 4C 8B BC 24 D0 01 00 00 45 33 F6 49 63 D8 49 8B F9 48 8B EA 48 8B F1 45 8B E6 4D 85 C9 74 1B 4C 3B 09 74 11 48 85 D2 74 05 45 85 C0 79 07 33 C0 E9 52 02 00 00 4C 89 09 EB 08 48 8B 39 48 85 FF 74 EC 48 8B CF E8 ?? ?? ?? ?? A8 02 75 E0 4C 89 AC 24 68 01 00 00 41 BD 01 00 00 00 48 85 ED 0F 84 DE 01 00 00 48 8B CF 45 8B E5 E8 ?? ?? ?? ?? 3D 90 00 00 00 0F 8F 2E 02 00 00 3B C3 7D 4F 48 8B 4E 08 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 13 02 00 00 48 8B 4E 08 4C 8B C3 48 8B D5 E8 ?? ?? ?? ?? 85 C0 0F 84 FC 01 00 00 48 8B 4E 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 E1 01 00 00 8B 5C 24 20 EB 20 81 FB 90 00 00 00 0F 87 CF 01 00 00 4C 8B C3 48 8D 4C 24 30 48 8B D5 E8 ?? ?? ?? ?? 89 5C 24 20 81 FB 90 00 00 00 74 1A 41 B8 90 00 00 00 8B C3 48 8D 4C 24 30 44 2B C3 48 03 C8 33 D2 E8 ?? ?? ?? ?? 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 BB 80 00 00 00 66 0F 1F 44 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 48 8B CB 0F B6 44 0C 30 34 36 88 84 0C C0 00 00 00 48 FF C1 48 81 F9 90 00 00 00 7C E6 48 8B 4E 10 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 D2 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 10 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 0F 84 AE 00 00 00 66 0F 6F 15 ?? ?? ?? ?? 49 8B C6 0F 1F 40 00 66 66 0F 1F 84 00 00 00 00 00 F3 0F 6F 44 04 30 F3 0F 6F 4C 04 40 66 0F EF C2 F3 0F 7F 84 04 C0 00 00 00 66 0F EF CA F3 0F 7F 8C 04 D0 00 00 00 48 83 C0 20 48 3B C3 7C D1 90 0F B6 44 1C 30 34 5C 88 84 1C C0 00 00 00 48 FF C3 48 81 FB 90 00 00 00 7C E6 48 8B 4E 18 4D 8B C7 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 38 48 8B CF E8 ?? ?? ?? ?? 48 8B 4E 18 48 8D 94 24 C0 00 00 00 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 56 10 48 8B 4E 08 E8 ?? ?? ?? ?? 85 C0 45 0F 45 F5 45 85 E4 74 21 BA 90 00 00 00 48 8D 4C 24 30 E8 ?? ?? ?? ?? BA 90 00 00 00 48 8D 8C 24 C0 00 00 00 E8 ?? ?? ?? ?? 41 8B C6 4C 8B AC 24 68 01 00 00 48 8B 8C 24 50 01 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 70 01 00 00 41 5F 41 5E 41 5C 5F 5E 5D 5B C3 33 C0 EB D2 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 96 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 9E 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 48 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 A1 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 B0 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 B1 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 D6 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 DA 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 E7 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 CD 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 EB 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1e_x64_64f7e36a | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AA 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 8B 5C 24 18 55 56 8B 74 24 10 8B EB 83 7E 08 00 74 24 68 CA 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 43 07 99 83 E2 07 8D 2C 02 C1 FD 03 85 DB 0F 88 83 01 00 00 75 18 FF 36 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 04 83 F8 07 0F 85 69 01 00 00 8B 06 F7 40 10 00 00 10 00 74 5B 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 1F 55 57 51 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0A 68 E0 01 00 00 E9 B9 00 00 00 8B 06 8B 4C 24 18 8B 40 18 53 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 F7 46 5C 00 01 00 00 74 1B 53 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 F0 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 6C 24 18 74 56 3B E8 74 2D 57 50 55 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 55 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 EF C7 44 24 24 01 00 00 00 EB 2D 68 F6 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 53 8B 5C 24 20 50 53 55 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 23 83 7E 0C 00 75 1D 29 3B C7 46 64 01 00 00 00 8B 03 03 C5 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 02 01 3B 5F 5E 5D B8 01 00 00 00 5B C3 8B 44 24 1C 5F 5E 5D C7 00 00 00 00 00 33 C0 85 DB 5B 0F 94 C0 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 84 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 89 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 6A 10 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 0F 84 CD 00 00 00 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 0E 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 3C 83 3E 00 74 37 FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 20 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 0E 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 FF 76 08 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? FF 76 08 C7 06 00 00 00 00 E8 ?? ?? ?? ?? FF 76 0C E8 ?? ?? ?? ?? FF 76 04 E8 ?? ?? ?? ?? 68 A3 00 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 24 5F 33 C0 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 30 01 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 2C 01 00 00 8B 84 24 44 01 00 00 53 8B 9C 24 38 01 00 00 55 8B AC 24 40 01 00 00 56 8B B4 24 48 01 00 00 57 8B BC 24 50 01 00 00 89 44 24 14 C7 44 24 18 00 00 00 00 85 FF 74 18 3B 3B 74 10 85 ED 0F 84 57 02 00 00 85 F6 0F 88 4F 02 00 00 89 3B EB 0A 8B 3B 85 FF 0F 84 41 02 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 0F 85 30 02 00 00 85 ED 0F 84 DB 01 00 00 57 C7 44 24 1C 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 0F 8F 0C 02 00 00 3B C6 7D 50 FF 74 24 14 57 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 F0 01 00 00 56 55 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DB 01 00 00 8D 44 24 10 50 8D 44 24 20 50 FF 73 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 BE 01 00 00 8B 74 24 10 EB 1F 81 FE 90 00 00 00 0F 87 AC 01 00 00 56 8D 44 24 20 55 50 E8 ?? ?? ?? ?? 83 C4 0C 89 74 24 10 81 FE 90 00 00 00 74 19 B8 90 00 00 00 2B C6 50 8D 44 24 20 03 C6 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 0F 28 0D ?? ?? ?? ?? 33 C9 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 1E 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 36 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 8B 6C 24 14 55 57 FF 73 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 D9 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 84 B7 00 00 00 0F 28 0D ?? ?? ?? ?? 33 C9 66 0F 1F 44 00 00 0F 10 44 0C 1C 66 0F EF C1 0F 11 84 0C AC 00 00 00 0F 10 44 0C 2C 66 0F EF C1 0F 11 84 0C BC 00 00 00 83 C1 20 81 F9 80 00 00 00 7C D3 81 F9 90 00 00 00 7D 21 66 66 66 0F 1F 84 00 00 00 00 00 8A 44 0C 1C 34 5C 88 84 0C AC 00 00 00 41 81 F9 90 00 00 00 7C EA 55 57 FF 73 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 41 57 E8 ?? ?? ?? ?? 50 8D 84 24 B4 00 00 00 50 FF 73 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 23 FF 73 08 FF 73 04 E8 ?? ?? ?? ?? 33 DB 83 C4 08 85 C0 B9 01 00 00 00 0F 45 D9 83 7C 24 18 00 74 28 EB 02 33 DB 8D 44 24 1C 68 90 00 00 00 50 E8 ?? ?? ?? ?? 8D 84 24 B4 00 00 00 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 10 8B C3 EB 02 33 C0 8B 8C 24 3C 01 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 30 01 00 00 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 96 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 9E 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 48 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 A1 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 B0 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 B1 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 D6 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 DA 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 E7 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 CD 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 EB 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1e_x86_6b86577f | |
| { | |
| meta: | |
| version = "1.1.1e" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AA 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 55 8B 6C 24 1C 8B DD 56 8B 74 24 10 83 7E 08 00 74 24 68 C3 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 8B 06 F7 40 10 00 00 10 00 74 74 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 38 2B CF 8B C3 F7 D8 3B C1 1B D2 F7 DA 3B CB 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 85 DB 0F 9F C0 85 D0 74 0A 68 CE 01 00 00 E9 D3 00 00 00 8B 06 8B 4C 24 18 8B 40 18 55 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 85 ED 7F 16 8B 44 24 1C 5F 5E C7 00 00 00 00 00 33 C0 85 ED 5D 0F 94 C0 5B C3 F7 46 5C 00 01 00 00 74 1B 55 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 E3 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 5C 24 18 74 56 3B D8 74 2D 57 50 53 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 53 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 DF C7 44 24 24 01 00 00 00 EB 2D 68 E9 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 55 8B 6C 24 20 50 55 53 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 25 83 7E 0C 00 75 1F 29 7D 00 C7 46 64 01 00 00 00 8B 45 00 03 C3 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 03 01 7D 00 5F 5E 5D B8 01 00 00 00 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 56 8B 74 24 0C 57 6A 02 56 E8 ?? ?? ?? ?? 8B 4E 04 83 C4 08 8B 7C 24 14 85 C9 74 18 8B 16 85 D2 74 12 85 FF 0F 84 37 01 00 00 8B 07 3B 02 0F 84 2D 01 00 00 85 FF 0F 84 0A 01 00 00 51 E8 ?? ?? ?? ?? 8B 5C 24 1C 83 C4 04 85 DB 74 2E 53 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2D 6A 58 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 33 C0 5B C3 FF 37 E8 ?? ?? ?? ?? 83 C4 04 8B D8 85 DB 0F 84 AE 00 00 00 FF 37 53 E8 ?? ?? ?? ?? 8B F8 83 C4 08 85 FF 75 27 6A 64 68 ?? ?? ?? ?? 68 86 00 00 00 68 80 00 00 00 6A 06 E8 ?? ?? ?? ?? 53 E8 ?? ?? ?? ?? 83 C4 18 33 C0 5F 5E 5B C3 89 5E 04 8B 06 3B C7 0F 84 8D 00 00 00 85 C0 74 21 8B 40 28 85 C0 74 1A 6A 7B 68 ?? ?? ?? ?? 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 C7 46 0C 00 00 00 00 F7 46 08 00 01 00 00 89 3E 75 5D 83 7F 28 00 74 57 8B 47 14 68 81 00 00 00 89 46 14 68 ?? ?? ?? ?? FF 77 28 E8 ?? ?? ?? ?? 83 C4 0C 89 46 0C 85 C0 75 35 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 E9 29 FF FF FF C7 46 04 00 00 00 00 EB 84 8B 3E 85 FF 0F 85 7A FF FF FF 6A 73 68 ?? ?? ?? ?? 68 8B 00 00 00 E9 05 FF FF FF 8B 46 10 85 C0 74 22 56 6A 00 6A 07 68 F8 00 00 00 6A FF 50 E8 ?? ?? ?? ?? 83 C4 18 85 C0 7F 09 83 F8 FE 0F 85 EB FE FF FF F7 46 08 00 01 00 00 74 09 5F 5E B8 01 00 00 00 5B C3 8B 06 56 8B 40 10 FF D0 83 C4 04 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 75 06 B8 01 00 00 00 C3 89 44 24 0C 8B 44 24 04 89 44 24 04 8B 40 14 FF E0 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 01 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 75 21 68 7D 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A7 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 C3 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 85 C0 56 57 68 87 00 00 00 68 ?? ?? ?? ?? BF ?? ?? ?? ?? 68 A4 00 00 00 0F 45 F8 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 18 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 19 56 E8 ?? ?? ?? ?? 83 C4 04 33 F6 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5F 5E C3 85 F6 74 EE 8B 4C 24 10 8B 54 24 14 85 C9 75 0C 85 D2 B8 ?? ?? ?? ?? 0F 45 C1 8B C8 6A 00 FF 74 24 10 52 51 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 C1 83 3E 00 74 BC FF 74 24 1C FF 74 24 1C FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 A5 FF 74 24 24 57 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 93 56 E8 ?? ?? ?? ?? 83 C4 04 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 48 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 44 53 8B 5C 24 58 56 8B 74 24 54 57 8B 7C 24 5C 83 3E 00 74 6B 8D 44 24 0C 50 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 52 FF 76 0C FF 76 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 40 FF 74 24 0C 8D 44 24 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 5F 5E B8 01 00 00 00 5B 8B 4C 24 44 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 8B 4C 24 50 33 C0 5F 5E 5B 33 CC E8 ?? ?? ?? ?? 83 C4 48 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 9C 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 84 24 98 00 00 00 8B 84 24 B0 00 00 00 53 8B 9C 24 AC 00 00 00 55 8B AC 24 AC 00 00 00 56 8B B4 24 AC 00 00 00 57 8B BC 24 BC 00 00 00 89 44 24 14 C7 44 24 10 00 00 00 00 85 FF 74 1C 3B 3E 74 0C 85 ED 0F 84 83 00 00 00 85 DB 78 7F C7 44 24 10 01 00 00 00 89 3E EB 06 8B 3E 85 FF 74 6D 57 E8 ?? ?? ?? ?? 83 C4 04 A8 02 75 60 85 ED 0F 84 65 01 00 00 57 C7 44 24 14 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 3D 90 00 00 00 7F 40 3B C3 7D 57 FF 74 24 14 57 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 28 53 55 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 17 8D 6E 10 55 8D 46 14 50 FF 76 04 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 37 33 C0 8B 8C 24 A8 00 00 00 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 81 C4 9C 00 00 00 C3 81 FB 90 00 00 00 77 DD 53 8D 46 14 55 50 E8 ?? ?? ?? ?? 8D 6E 10 83 C4 0C 89 5D 00 8B 4D 00 81 F9 90 00 00 00 74 18 B8 90 00 00 00 2B C1 50 8D 46 14 03 C1 6A 00 50 E8 ?? ?? ?? ?? 83 C4 0C 8B 5C 24 10 33 C9 66 90 8A 44 0E 14 34 36 88 44 0C 18 41 81 F9 90 00 00 00 7C ED 8B 6C 24 14 55 57 FF 76 08 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8C 00 00 00 57 E8 ?? ?? ?? ?? 50 8D 44 24 20 50 FF 76 08 E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 71 33 C9 0F 1F 80 00 00 00 00 8A 44 0E 14 34 5C 88 44 0C 18 41 81 F9 90 00 00 00 7C ED 55 57 FF 76 0C E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 44 57 E8 ?? ?? ?? ?? 50 8D 44 24 20 50 FF 76 0C E8 ?? ?? ?? ?? 83 C4 10 85 C0 74 29 FF 76 08 FF 76 04 E8 ?? ?? ?? ?? 33 ED 83 C4 08 85 C0 B9 01 00 00 00 0F 45 E9 EB 0F 8B 5C 24 10 85 DB 74 DC E9 44 FF FF FF 33 ED 85 DB 74 12 8D 44 24 18 68 90 00 00 00 50 E8 ?? ?? ?? ?? 83 C4 08 8B C5 E9 C9 FE FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 38 00 75 03 33 C0 C3 FF 74 24 0C FF 74 24 0C FF 70 04 E8 ?? ?? ?? ?? 83 C4 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 60 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 5C 8B 44 24 6C 55 8B AC 24 84 00 00 00 56 8B 74 24 6C 57 8B BC 24 84 00 00 00 57 89 44 24 24 C7 44 24 20 01 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 18 85 C0 78 50 E8 ?? ?? ?? ?? 89 44 24 0C 85 C0 74 43 85 F6 75 09 BE ?? ?? ?? ?? 33 C9 EB 17 8B 4C 24 74 83 F9 FF 75 0E 8B CE 8D 51 01 8A 01 41 84 C0 75 F9 2B CA 6A 00 57 8B 7C 24 14 51 56 57 E8 ?? ?? ?? ?? 83 C4 14 85 C0 75 1D 57 E8 ?? ?? ?? ?? 83 C4 04 5F 5E 33 C0 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 E8 ?? ?? ?? ?? 8B F0 89 74 24 24 85 F6 74 D4 8B 8C 24 88 00 00 00 53 85 C9 0F 84 D1 01 00 00 BA 01 00 00 00 3B 4C 24 1C 8B D9 8B C2 88 54 24 17 0F 4F 5C 24 1C C1 E8 18 88 44 24 14 8B C2 C1 E8 10 88 44 24 15 8B C2 C1 E8 08 57 56 88 44 24 1E E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 DE 01 00 00 FF B4 24 80 00 00 00 FF 74 24 28 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C2 01 00 00 6A 04 8D 44 24 18 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 92 01 00 00 53 8D 44 24 30 50 55 E8 ?? ?? ?? ?? BF 01 00 00 00 83 C4 0C 89 7C 24 18 39 BC 24 84 00 00 00 0F 8E F8 00 00 00 FF 74 24 10 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 31 01 00 00 FF 74 24 1C 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 17 01 00 00 6A 00 8D 44 24 30 50 56 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 FF 00 00 00 33 F6 85 DB 0F 8E 91 00 00 00 83 FB 20 72 69 8D 4D FF 8D 44 1C 2B 03 CB 3B E8 77 08 8D 44 24 2C 3B C8 73 54 8B C3 25 1F 00 00 80 79 05 48 83 C8 E0 40 8B D3 8D 7C 24 2C 2B D0 8B CD 8B C5 F7 D8 03 F8 8D 44 04 3C 0F 1F 00 0F 10 01 83 C6 20 8D 49 20 0F 10 4C 0F E0 66 0F EF C8 0F 11 49 E0 0F 10 4C 08 E0 0F 10 41 F0 66 0F EF C8 0F 11 49 F0 3B F2 7C D5 8B 7C 24 18 3B F3 7D 1F 8D 7C 24 2C 8B D3 2B FD 8D 04 2E 2B D6 8A 0C 07 8D 40 01 30 48 FF 83 EA 01 75 F2 8B 7C 24 18 8B 74 24 28 47 89 7C 24 18 3B BC 24 84 00 00 00 0F 8C 08 FF FF FF 8B 8C 24 8C 00 00 00 03 EB 8B 54 24 20 2B CB 8B 7C 24 10 42 89 8C 24 8C 00 00 00 89 54 24 20 85 C9 0F 85 34 FE FF FF 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 83 C4 08 B8 01 00 00 00 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? FF 74 24 14 E8 ?? ?? ?? ?? 83 C4 08 33 C0 5B 5F 5E 5D 8B 4C 24 5C 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 56 E8 ?? ?? ?? ?? 57 E8 ?? ?? ?? ?? 8B 4C 24 74 83 C4 08 33 C0 5B 5F 5E 5D 33 CC E8 ?? ?? ?? ?? 83 C4 60 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 57 8B 7C 24 0C 33 F6 85 FF 75 23 68 60 0B 00 00 68 ?? ?? ?? ?? 68 C4 00 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 5F 33 C0 5E C3 6A 00 6A 00 68 00 00 20 00 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 74 E6 53 E8 ?? ?? ?? ?? 85 C0 79 48 68 68 0B 00 00 68 ?? ?? ?? ?? 68 0D 01 00 00 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 68 12 0C 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 56 E8 ?? ?? ?? ?? 83 C4 04 33 C0 5B 5F 5E C3 68 6B 0B 00 00 68 ?? ?? ?? ?? 68 50 02 00 00 E8 ?? ?? ?? ?? 8B F0 83 C4 0C 85 F6 74 B9 89 3E C7 86 B4 00 00 00 00 00 00 00 C7 86 B8 00 00 00 00 00 00 00 C7 86 B0 00 00 00 04 00 00 00 C7 46 24 02 00 00 00 C7 46 18 00 50 00 00 8B 47 60 FF D0 89 46 28 C7 46 64 01 00 00 00 E8 ?? ?? ?? ?? 89 86 18 02 00 00 85 C0 75 31 68 7A 0B 00 00 68 ?? ?? ?? ?? 6A 41 68 A9 00 00 00 6A 14 E8 ?? ?? ?? ?? 68 7B 0B 00 00 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 20 33 C0 5B 5F 5E C3 C7 86 BC 00 00 00 00 90 01 00 C7 86 D0 00 00 00 00 00 00 00 E8 ?? ?? ?? ?? 89 86 C0 00 00 00 85 C0 0F 84 15 FF FF FF 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 08 89 46 14 85 C0 0F 84 F8 FE FF FF E8 ?? ?? ?? ?? 89 46 10 85 C0 0F 84 E8 FE FF FF E8 ?? ?? ?? ?? 89 86 08 01 00 00 85 C0 0F 84 D5 FE FF FF 68 ?? ?? ?? ?? 56 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 84 BF FE FF FF FF B6 C0 00 00 00 8D 46 08 68 ?? ?? ?? ?? 50 8D 5E 04 53 FF 76 0C FF 36 E8 ?? ?? ?? ?? 83 C4 18 85 C0 0F 84 BB 01 00 00 FF 33 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 8E A9 01 00 00 E8 ?? ?? ?? ?? 89 86 00 01 00 00 85 C0 0F 84 72 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 90 00 00 00 85 C0 75 14 68 A0 0B 00 00 68 ?? ?? ?? ?? 68 F2 00 00 00 E9 53 FE FF FF 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 04 89 86 94 00 00 00 85 C0 75 14 68 A4 0B 00 00 68 ?? ?? ?? ?? 68 F3 00 00 00 E9 28 FE FF FF E8 ?? ?? ?? ?? 89 86 A4 00 00 00 85 C0 0F 84 09 FE FF FF E8 ?? ?? ?? ?? 89 86 A8 00 00 00 85 C0 0F 84 F6 FD FF FF 8D 86 8C 00 00 00 50 56 6A 01 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 DC FD FF FF 68 B1 0B 00 00 68 ?? ?? ?? ?? 6A 40 E8 ?? ?? ?? ?? 83 C4 0C 89 86 48 01 00 00 85 C0 0F 84 BA FD FF FF 8B 47 64 F6 40 30 08 75 0B E8 ?? ?? ?? ?? 89 86 9C 00 00 00 8D 86 38 01 00 00 C7 86 18 01 00 00 00 40 00 00 6A 10 50 C7 86 14 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 2C 6A 20 FF B6 48 01 00 00 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7E 18 8B 86 48 01 00 00 83 C0 20 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 7F 0A 81 8E AC 00 00 00 00 40 00 00 8D 86 90 01 00 00 6A 20 50 E8 ?? ?? ?? ?? 83 C4 08 85 C0 0F 8E 2E FD FF FF 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 0F 84 1D FD FF FF 81 8E AC 00 00 00 04 00 12 00 56 C7 86 58 01 00 00 FF FF FF FF C7 86 20 02 00 00 00 00 00 00 C7 86 24 02 00 00 00 40 00 00 C7 86 40 02 00 00 02 00 00 00 E8 ?? ?? ?? ?? 83 C4 04 8B C6 5B 5F 5E C3 68 97 0B 00 00 68 ?? ?? ?? ?? 68 A1 00 00 00 E9 D4 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 83 7E 18 00 75 09 56 E8 ?? ?? ?? ?? 83 C4 04 56 E8 ?? ?? ?? ?? 83 C4 04 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 EB 06 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 DF 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1d_x86_3944d5be | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 0C 85 C0 79 22 68 AA 07 00 00 68 ?? ?? ?? ?? 68 0F 01 00 00 68 D0 00 00 00 6A 14 E8 ?? ?? ?? ?? 83 C4 14 83 C8 FF C3 8D 4C 24 0C 51 50 FF 74 24 10 FF 74 24 10 E8 ?? ?? ?? ?? 83 C4 10 85 C0 0F 4F 44 24 0C C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 41 57 B8 B0 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 4C 8B B4 24 20 01 00 00 33 C0 4C 8B BC 24 28 01 00 00 8B D8 89 44 24 24 49 8B F9 89 44 24 20 4C 8B EA 4C 89 4C 24 30 48 8B E9 4C 89 44 24 38 48 89 4C 24 40 E8 ?? ?? ?? ?? 48 8B CD 8B F0 E8 ?? ?? ?? ?? 8B E8 83 FE 40 7E 19 41 B8 56 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 FD 10 7E 19 41 B8 57 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 FF 75 07 8B C6 E9 BE 01 00 00 E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 0F 84 92 01 00 00 45 33 C0 49 8B D5 48 8B C8 E8 ?? ?? ?? ?? 85 C0 0F 84 7C 01 00 00 4C 89 A4 24 A8 00 00 00 44 8B A4 24 18 01 00 00 66 90 8B C3 FF C3 89 5C 24 28 85 C0 74 1A 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 3C 01 00 00 4C 63 84 24 10 01 00 00 48 8B CF 48 8B 54 24 30 E8 ?? ?? ?? ?? 85 C0 0F 84 1F 01 00 00 48 8B 44 24 38 48 85 C0 74 19 41 B8 08 00 00 00 48 8B D0 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 FC 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 E2 00 00 00 BB 01 00 00 00 44 3B E3 76 57 66 0F 1F 44 00 00 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 BC 00 00 00 44 8B 44 24 20 48 8D 54 24 50 48 8B CF E8 ?? ?? ?? ?? 85 C0 0F 84 A2 00 00 00 4C 8D 44 24 20 48 8B CF 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 88 00 00 00 FF C3 41 3B DC 72 AF 44 8B 44 24 20 33 C0 85 F6 74 20 0F 1F 40 00 41 3B C0 74 17 4D 85 F6 74 0B 0F B6 54 04 50 41 88 16 49 FF C6 FF C0 83 EE 01 75 E4 85 ED 74 21 41 3B C0 74 1C 41 3B C0 74 17 4D 85 FF 74 0B 0F B6 54 04 50 41 88 17 49 FF C7 FF C0 83 ED 01 75 E4 85 F6 75 04 85 ED 74 1B 45 33 C0 49 8B D5 48 8B CF E8 ?? ?? ?? ?? 85 C0 74 17 8B 5C 24 28 E9 AC FE FF FF 48 8B 4C 24 40 E8 ?? ?? ?? ?? 89 44 24 24 4C 8B A4 24 A8 00 00 00 48 8B CF E8 ?? ?? ?? ?? BA 40 00 00 00 48 8D 4C 24 50 E8 ?? ?? ?? ?? 8B 44 24 24 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B0 00 00 00 41 5F 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 6C 24 10 48 89 74 24 18 48 89 7C 24 20 41 54 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 8B 44 24 78 4D 8B F9 49 8B E8 48 8B F2 48 8B F9 83 F8 FF 75 06 44 8B 71 10 EB 10 85 C0 41 BE 01 00 00 00 44 0F 44 F0 44 89 71 10 45 33 E4 48 89 5C 24 50 4C 39 61 08 74 1B 48 8B 01 48 85 C0 74 13 48 85 F6 0F 84 26 01 00 00 8B 00 39 02 0F 84 1C 01 00 00 48 85 F6 0F 84 FB 00 00 00 4C 39 21 74 0F 8B 59 6C E8 ?? ?? ?? ?? 44 89 77 10 89 5F 6C 48 85 ED 74 35 48 8B CD E8 ?? ?? ?? ?? 85 C0 75 33 C7 44 24 20 61 00 00 00 41 B8 86 00 00 00 B9 06 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 51 75 E8 ?? ?? ?? ?? 33 C0 E9 2A 02 00 00 8B 0E E8 ?? ?? ?? ?? 48 8B E8 48 85 ED 74 22 8B 16 48 8B CD E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0A C7 44 24 20 70 00 00 00 EB B4 48 89 6F 08 EB 04 4C 89 67 08 48 89 37 48 63 46 30 85 C0 74 32 48 8B C8 48 8D 15 ?? ?? ?? ?? 41 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 89 47 70 48 85 C0 75 18 4C 89 27 44 8D 40 41 C7 44 24 20 83 00 00 00 E9 73 FF FF FF 4C 89 67 70 8B 46 08 83 67 6C 01 89 47 68 48 8B 07 F6 40 10 40 74 3C 45 33 C9 45 33 C0 33 D2 48 8B CF E8 ?? ?? ?? ?? 85 C0 75 28 4C 89 27 C7 44 24 20 8F 00 00 00 E9 32 FF FF FF 4C 39 21 75 13 C7 44 24 20 94 00 00 00 41 B8 83 00 00 00 E9 20 FF FF FF 48 8B 07 8B 48 04 83 F9 10 77 0A B8 02 01 01 00 0F A3 C8 72 19 41 B8 9D 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? F6 47 6C 01 75 2F 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 3D 02 00 01 00 75 13 C7 44 24 20 A1 00 00 00 41 B8 AA 00 00 00 E9 BD FE FF FF 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 48 8B 5C 24 70 A8 10 0F 85 A5 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B C8 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 F8 05 0F 87 96 FE FF FF 48 8D 15 ?? ?? ?? ?? 8B 8C 82 ?? ?? ?? ?? 48 03 CA FF E1 44 89 67 58 48 8B CF E8 ?? ?? ?? ?? 83 F8 10 7E 19 41 B8 B5 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 4C 63 C0 48 8D 4F 18 48 8B D3 E8 ?? ?? ?? ?? 48 8B CF E8 ?? ?? ?? ?? 48 8D 57 18 EB 14 44 89 67 58 48 85 DB 74 17 48 8B CF E8 ?? ?? ?? ?? 48 8B D3 48 8D 4F 28 4C 63 C0 E8 ?? ?? ?? ?? 4D 85 FF 75 09 48 8B 07 F6 40 10 20 74 1A 48 8B 07 45 8B CE 4C 8B C3 49 8B D7 48 8B CF FF 50 18 85 C0 0F 84 E7 FD FF FF 48 8B 0F B8 01 00 00 00 44 89 67 14 44 89 67 78 8B 51 04 FF CA 89 57 7C 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 8B 7C 24 68 48 83 C4 30 41 5F 41 5E 41 5C C3 66 90 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 8B 44 24 60 89 44 24 20 74 0A E8 ?? ?? ?? ?? 48 83 C4 38 C3 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 00 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 18 56 41 54 41 55 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 4D 8B E1 4C 63 AC 24 80 00 00 00 4D 8B F0 41 8B DD 4C 8B FA 48 8B F1 74 33 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 C3 01 00 00 8D 50 76 8D 48 D6 44 8D 40 64 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 48 8B 01 BA 00 20 00 00 48 89 6C 24 60 8B 68 04 E8 ?? ?? ?? ?? 85 C0 74 0E 41 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 4C 8B 16 48 89 7C 24 68 41 F7 42 10 00 00 10 00 74 75 33 FF 83 FD 01 75 48 48 63 CB 44 8B C7 48 8B C1 49 8B D7 48 F7 D8 49 2B D4 48 3B D0 8B C7 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C7 48 85 D2 0F 95 C0 44 23 C0 8B C7 85 DB 0F 9F C0 44 85 C0 74 0D C7 44 24 20 CE 01 00 00 E9 EE 00 00 00 4D 8B CD 4D 8B C4 49 8B D7 48 8B CE 41 FF 52 20 85 C0 79 0A 41 89 3E 33 C0 E9 47 01 00 00 41 89 06 E9 3A 01 00 00 45 85 ED 7F 13 33 FF 45 85 ED 41 89 3E 40 0F 94 C7 8B C7 E9 27 01 00 00 F7 46 6C 00 01 00 00 74 1B 4D 8B CC 44 89 6C 24 20 4D 8B C6 49 8B D7 48 8B CE E8 ?? ?? ?? ?? E9 03 01 00 00 83 FD 20 76 19 41 B8 E3 01 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 7E 78 00 0F 84 82 00 00 00 4D 3B FC 74 57 33 FF 48 63 CD 44 8B C7 48 8B C1 48 F7 D8 49 8B D7 49 2B D4 48 3B D0 8B C7 41 0F 97 C0 48 3B D1 0F 92 C0 44 0B C0 8B C7 48 85 D2 0F 95 C0 44 23 C0 8B C7 85 ED 0F 9F C0 44 85 C0 75 1A 48 8D 96 80 00 00 00 4C 8B C5 49 8B CF E8 ?? ?? ?? ?? 4C 03 FD 8D 5F 01 EB 2A C7 44 24 20 E9 01 00 00 BA A6 00 00 00 4C 8D 0D ?? ?? ?? ?? B9 06 00 00 00 44 8D 42 FC E8 ?? ?? ?? ?? 33 C0 EB 59 33 FF 8B DF 4D 8B CC 44 89 6C 24 20 4D 8B C6 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 85 C0 74 DE 83 FD 01 76 27 83 7E 14 00 75 21 41 29 2E 48 8D 8E 80 00 00 00 C7 46 78 01 00 00 00 4C 8B C5 49 63 16 49 03 D7 E8 ?? ?? ?? ?? EB 03 89 7E 78 85 DB 74 03 41 01 2E B8 01 00 00 00 48 8B 7C 24 68 48 8B 6C 24 60 48 8B 5C 24 70 48 83 C4 30 41 5F 41 5E 41 5D 41 5C 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 01 49 8B F8 48 8B F2 48 8B D9 83 78 08 40 7E 19 41 B8 AD 00 00 00 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 8B 03 48 8B D6 48 8B CB FF 50 20 8B F0 48 85 FF 74 08 48 8B 0B 8B 51 08 89 17 48 8B 0B 48 8B 51 30 48 85 D2 74 12 48 8B CB FF D2 BA 02 00 00 00 48 8B CB E8 ?? ?? ?? ?? 48 8B 03 48 8B 4B 18 48 63 50 3C E8 ?? ?? ?? ?? 48 8B 5C 24 30 8B C6 48 8B 74 24 38 48 83 C4 20 5F C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 74 24 10 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B FA 49 8B F0 8D 50 D2 48 8B D9 E8 ?? ?? ?? ?? 48 8B 4B 08 48 85 C9 74 1B 48 8B 03 48 85 C0 74 13 48 85 FF 0F 84 B6 01 00 00 8B 00 39 07 0F 84 AC 01 00 00 48 85 FF 0F 84 65 01 00 00 E8 ?? ?? ?? ?? 48 85 F6 74 3E 48 8B CE E8 ?? ?? ?? ?? 85 C0 75 3C BA 80 00 00 00 C7 44 24 20 58 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 8B 0F E8 ?? ?? ?? ?? 48 8B F0 48 85 F6 0F 84 FD 00 00 00 8B 17 48 8B CE E8 ?? ?? ?? ?? 48 8B F8 48 85 C0 75 3A BA 80 00 00 00 C7 44 24 20 64 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 06 44 8D 42 06 E8 ?? ?? ?? ?? 48 8B CE E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 89 73 08 48 8B 03 48 3B C7 0F 84 EC 00 00 00 48 85 C0 74 29 48 63 48 3C 85 C9 74 21 48 8B D1 4C 8D 05 ?? ?? ?? ?? 48 8B 4B 18 41 B9 7B 00 00 00 E8 ?? ?? ?? ?? 48 C7 43 18 00 00 00 00 F7 43 10 00 01 00 00 48 89 3B 0F 85 AE 00 00 00 83 7F 3C 00 0F 84 A4 00 00 00 48 8B 47 18 48 8D 15 ?? ?? ?? ?? 48 89 43 28 41 B8 81 00 00 00 48 63 4F 3C E8 ?? ?? ?? ?? 48 89 43 18 48 85 C0 75 7D 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 83 00 00 00 BA 80 00 00 00 8D 48 06 44 8D 40 41 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 C7 43 08 00 00 00 00 E9 46 FF FF FF 48 8B 3B 48 85 FF 0F 85 3A FF FF FF BA 80 00 00 00 C7 44 24 20 73 00 00 00 4C 8D 0D ?? ?? ?? ?? 8D 4F 06 44 8D 42 0B E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 4B 20 48 85 C9 74 2E 48 89 5C 24 28 41 B9 07 00 00 00 41 B8 F8 00 00 00 C7 44 24 20 00 00 00 00 83 CA FF E8 ?? ?? ?? ?? 85 C0 7F 09 83 F8 FE 0F 85 5C FE FF FF F7 43 10 00 01 00 00 74 15 B8 01 00 00 00 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F C3 48 8B 03 48 8B CB 48 8B 5C 24 40 48 8B 74 24 48 48 83 C4 30 5F 48 FF 60 10 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestUpdate_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 4D 85 C0 75 09 41 8D 40 01 48 83 C4 28 C3 48 83 C4 28 48 FF 61 28 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptInit_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 60 C7 44 24 28 01 00 00 00 48 89 44 24 20 E8 ?? ?? ?? ?? 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_EncryptUpdate_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 83 79 10 00 75 25 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 7D 01 00 00 8D 50 6F 44 8D 40 5C 8D 48 CE E8 ?? ?? ?? ?? 33 C0 48 83 C4 38 C3 48 83 C4 38 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 57 41 56 41 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 44 24 78 48 8D 35 ?? ?? ?? ?? 41 8B E8 48 85 C0 41 B8 87 00 00 00 48 8B FA 4C 8B F9 48 8D 15 ?? ?? ?? ?? 4D 8B F1 48 0F 45 F0 41 8D 48 31 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 39 48 8B C8 E8 ?? ?? ?? ?? 85 C0 75 2D 48 8B CB E8 ?? ?? ?? ?? 33 DB 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 50 48 8B 6C 24 58 48 8B 74 24 60 48 83 C4 30 41 5F 41 5E 5F C3 48 85 DB 74 D8 48 85 FF 75 10 85 ED 48 8D 05 ?? ?? ?? ?? 48 0F 45 C7 48 8B F8 4D 8B CF 48 C7 44 24 20 00 00 00 00 44 8B C5 48 8B D7 48 8B CB E8 ?? ?? ?? ?? 85 C0 74 A5 48 83 3B 00 74 9F 4C 8B 44 24 70 49 8B D6 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 8A 4C 8B 84 24 80 00 00 00 48 8B D6 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 6F FF FF FF 48 8B CB E8 ?? ?? ?? ?? 48 8B C6 E9 69 FF FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Final_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 56 57 B8 80 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 44 24 70 48 83 39 00 49 8B F0 48 8B FA 48 8B D9 74 59 48 8B 49 08 4C 8D 44 24 20 48 8D 54 24 30 E8 ?? ?? ?? ?? 85 C0 74 42 48 8B 53 18 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 31 44 8B 44 24 20 48 8D 54 24 30 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 74 1A 48 8B 4B 08 4C 8B C6 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 07 B8 01 00 00 00 EB 02 33 C0 48 8B 4C 24 70 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 80 00 00 00 5F 5E 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Init_ex_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 54 41 55 41 56 41 57 B8 C8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 B0 00 00 00 4C 8B A4 24 30 01 00 00 33 ED 49 63 F0 49 8B F9 4C 8B F2 48 8B D9 44 8B FD 44 8D 6D 01 4D 85 C9 74 17 4C 3B 09 74 0A 48 85 D2 74 7E 45 85 C0 78 79 45 8B FD 4C 89 09 EB 08 48 8B 39 48 85 FF 74 69 48 8B CF E8 ?? ?? ?? ?? A8 02 75 5D 4D 85 F6 0F 84 BE 00 00 00 48 8B CF 45 8B FD E8 ?? ?? ?? ?? 3D 90 00 00 00 7F 42 3B C6 7D 64 48 8B 4B 08 4D 8B C4 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 2B 48 8B 4B 08 4C 8B C6 49 8B D6 E8 ?? ?? ?? ?? 85 C0 74 18 48 8B 4B 08 4C 8D 73 20 4D 8B C6 48 8D 53 24 E8 ?? ?? ?? ?? 85 C0 75 44 33 C0 48 8B 8C 24 B0 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 C8 00 00 00 41 5F 41 5E 41 5D 41 5C 5F 5E 5D 5B C3 81 FE 90 00 00 00 77 D2 4C 8B C6 48 8D 4B 24 49 8B D6 E8 ?? ?? ?? ?? 4C 8D 73 20 41 89 36 41 8B 0E 81 F9 90 00 00 00 74 24 8B C1 41 B8 90 00 00 00 44 2B C1 33 D2 48 8D 4B 24 48 03 C8 E8 ?? ?? ?? ?? EB 09 45 85 FF 0F 84 CE 00 00 00 48 8D 4C 24 20 48 8B C3 48 2B C1 48 8B D5 48 8D 70 24 4C 8D 70 25 90 48 8D 4C 24 20 48 03 CA 48 83 C2 02 0F B6 04 0E 34 36 88 01 41 0F B6 04 0E 34 36 88 41 01 48 81 FA 90 00 00 00 7C D9 48 8B 4B 10 4D 8B C4 48 8B D7 E8 ?? ?? ?? ?? 85 C0 0F 84 8C 00 00 00 48 8B CF E8 ?? ?? ?? ?? 48 8B 4B 10 48 8D 54 24 20 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 6F 48 8B D5 66 90 48 8D 4C 24 20 48 03 CA 48 83 C2 02 0F B6 04 0E 34 5C 88 01 41 0F B6 04 0E 34 5C 88 41 01 48 81 FA 90 00 00 00 7C D9 48 8B 4B 18 4D 8B C4 48 8B D7 E8 ?? ?? ?? ?? 85 C0 74 30 48 8B CF E8 ?? ?? ?? ?? 48 8B 4B 18 48 8D 54 24 20 4C 63 C0 E8 ?? ?? ?? ?? 85 C0 74 13 48 8B 53 10 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 41 0F 45 ED 45 85 FF 74 0F BA 90 00 00 00 48 8D 4C 24 20 E8 ?? ?? ?? ?? 8B C5 E9 93 FE FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_HMAC_Update_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 28 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 39 00 75 07 33 C0 48 83 C4 28 C3 48 8B 49 08 48 83 C4 28 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_PKCS5_PBKDF2_HMAC_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 55 56 57 41 55 41 56 B8 B8 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 8B 05 ?? ?? ?? ?? 48 33 C4 48 89 84 24 90 00 00 00 48 8B AC 24 18 01 00 00 48 8B F1 48 8B BC 24 28 01 00 00 41 BE 01 00 00 00 48 8B CD 44 89 4C 24 38 4C 89 44 24 40 8B DA 44 89 74 24 34 E8 ?? ?? ?? ?? 4C 63 E8 85 C0 79 07 33 C0 E9 C2 02 00 00 4C 89 BC 24 A8 00 00 00 E8 ?? ?? ?? ?? 4C 8B F8 48 85 C0 74 55 48 85 F6 75 0B 48 8D 35 ?? ?? ?? ?? 33 DB EB 12 83 FB FF 75 0D 48 83 CB FF 48 FF C3 80 3C 1E 00 75 F7 4C 8B CD 48 C7 44 24 20 00 00 00 00 44 8B C3 48 8B D6 49 8B CF E8 ?? ?? ?? ?? 85 C0 74 0D E8 ?? ?? ?? ?? 48 8B F0 48 85 C0 75 0F 49 8B CF E8 ?? ?? ?? ?? 33 C0 E9 49 02 00 00 8B 84 24 20 01 00 00 4C 89 A4 24 B0 00 00 00 85 C0 0F 84 15 02 00 00 44 8B A4 24 10 01 00 00 0F 1F 84 00 00 00 00 00 41 3B C5 44 88 74 24 33 8B D8 49 8B D7 41 0F 4F DD 41 8B C6 C1 E8 18 48 8B CE 88 44 24 30 41 8B C6 C1 E8 10 88 44 24 31 41 8B C6 C1 E8 08 88 44 24 32 E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 B2 01 00 00 4C 63 44 24 38 48 8B 54 24 40 E8 ?? ?? ?? ?? 85 C0 0F 84 98 01 00 00 41 B8 04 00 00 00 48 8D 54 24 30 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 7D 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 65 01 00 00 4C 63 F3 48 8D 54 24 50 4D 8B C6 48 8B CF E8 ?? ?? ?? ?? BD 01 00 00 00 44 3B E5 0F 8E 1F 01 00 00 0F 1F 00 49 8B D7 48 8B CE E8 ?? ?? ?? ?? 48 8B CE 85 C0 0F 84 2E 01 00 00 4D 8B C5 48 8D 54 24 50 E8 ?? ?? ?? ?? 85 C0 0F 84 16 01 00 00 45 33 C0 48 8D 54 24 50 48 8B CE E8 ?? ?? ?? ?? 85 C0 0F 84 FE 00 00 00 45 33 C0 85 DB 0F 8E 97 00 00 00 83 FB 20 0F 82 8E 00 00 00 8D 43 FF 48 63 C8 48 8D 44 24 50 48 03 C1 48 8D 14 39 48 3B F8 77 0A 48 8D 44 24 50 48 3B D0 73 6D 8B CB 81 E1 1F 00 00 80 7D 07 FF C9 83 C9 E0 FF C1 8B C3 4C 8D 4C 24 50 2B C1 4C 8D 54 24 60 48 63 D0 48 8B CF 48 8B C7 48 F7 D8 4C 03 C8 4C 03 D0 0F 1F 80 00 00 00 00 F3 0F 6F 01 49 83 C0 20 F3 41 0F 6F 0C 09 48 8D 49 20 66 0F EF C8 F3 0F 7F 49 E0 F3 41 0F 6F 4C 0A E0 F3 0F 6F 41 F0 66 0F EF C8 F3 0F 7F 49 F0 4C 3B C2 7C CB 4D 3B C6 7D 27 4C 8D 4C 24 50 49 8B D6 4C 2B CF 49 8D 04 38 49 2B D0 0F 1F 40 00 41 0F B6 0C 01 30 08 48 8D 40 01 48 83 EA 01 75 EF FF C5 41 3B EC 0F 8C E4 FE FF FF 8B 84 24 20 01 00 00 49 03 FE FF 44 24 34 2B C3 89 84 24 20 01 00 00 85 C0 74 1E 44 8B 74 24 34 E9 0F FE FF FF 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? 33 C0 EB 15 48 8B CE E8 ?? ?? ?? ?? 49 8B CF E8 ?? ?? ?? ?? B8 01 00 00 00 4C 8B A4 24 B0 00 00 00 4C 8B BC 24 A8 00 00 00 48 8B 8C 24 90 00 00 00 48 33 CC E8 ?? ?? ?? ?? 48 81 C4 B8 00 00 00 41 5E 41 5D 5F 5E 5D 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_CTX_new_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 48 89 5C 24 10 48 89 6C 24 18 57 B8 30 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 33 ED 48 8B F9 8B DD 48 85 C9 75 30 8D 50 79 C7 44 24 20 60 0B 00 00 44 8D 42 1B 4C 8D 0D ?? ?? ?? ?? 8D 48 E4 E8 ?? ?? ?? ?? 33 C0 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 33 D2 B9 00 00 20 00 E8 ?? ?? ?? ?? 85 C0 74 DE 48 89 74 24 40 E8 ?? ?? ?? ?? 85 C0 79 65 BA A9 00 00 00 C7 44 24 20 68 0B 00 00 4C 8D 0D ?? ?? ?? ?? B9 14 00 00 00 44 8D 42 64 E8 ?? ?? ?? ?? C7 44 24 20 12 0C 00 00 41 B8 41 00 00 00 4C 8D 0D ?? ?? ?? ?? BA A9 00 00 00 B9 14 00 00 00 E8 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 33 C0 48 8B 74 24 40 48 8B 5C 24 48 48 8B 6C 24 50 48 83 C4 30 5F C3 41 B8 6B 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 E8 03 00 00 E8 ?? ?? ?? ?? 48 8B D8 48 85 C0 74 9E 48 89 38 48 89 A8 28 01 00 00 C7 80 24 01 00 00 04 00 00 00 C7 40 48 02 00 00 00 48 C7 40 30 00 50 00 00 FF 97 B8 00 00 00 89 43 4C C7 83 94 00 00 00 01 00 00 00 E8 ?? ?? ?? ?? 48 89 83 80 03 00 00 48 85 C0 75 3A 4C 8D 0D ?? ?? ?? ?? C7 44 24 20 7A 0B 00 00 BA A9 00 00 00 8D 48 14 44 8D 40 41 E8 ?? ?? ?? ?? 41 B8 7B 0B 00 00 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? E9 49 FF FF FF 48 C7 83 30 01 00 00 00 90 01 00 89 AB 58 01 00 00 E8 ?? ?? ?? ?? 48 89 83 38 01 00 00 48 85 C0 0F 84 F7 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 43 28 48 85 C0 0F 84 D7 FE FF FF E8 ?? ?? ?? ?? 48 89 43 20 48 85 C0 0F 84 C5 FE FF FF E8 ?? ?? ?? ?? 48 89 83 A8 01 00 00 48 85 C0 0F 84 B0 FE FF FF 48 8D 15 ?? ?? ?? ?? 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 99 FE FF FF 48 8B 83 38 01 00 00 4C 8D 4B 10 48 8B 53 18 4C 8D 43 08 48 8B 0B 48 89 44 24 28 48 8D 05 ?? ?? ?? ?? 48 89 44 24 20 E8 ?? ?? ?? ?? 48 85 C0 0F 84 CD 01 00 00 48 8B 4B 08 E8 ?? ?? ?? ?? 85 C0 0F 8E BC 01 00 00 E8 ?? ?? ?? ?? 48 89 83 98 01 00 00 48 85 C0 0F 84 3E FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 E8 00 00 00 48 85 C0 75 13 C7 44 24 20 A0 0B 00 00 41 B8 F2 00 00 00 E9 21 FE FF FF 48 8D 0D ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 89 83 F0 00 00 00 48 85 C0 75 13 C7 44 24 20 A4 0B 00 00 41 B8 F3 00 00 00 E9 F6 FD FF FF E8 ?? ?? ?? ?? 48 89 83 10 01 00 00 48 85 C0 0F 84 D3 FD FF FF E8 ?? ?? ?? ?? 48 89 83 18 01 00 00 48 85 C0 0F 84 BE FD FF FF 4C 8D 83 E0 00 00 00 48 8B D3 B9 01 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 84 A2 FD FF FF 41 B8 B1 0B 00 00 48 8D 15 ?? ?? ?? ?? B9 40 00 00 00 E8 ?? ?? ?? ?? 48 89 83 18 02 00 00 48 85 C0 0F 84 7B FD FF FF 48 8B 87 C0 00 00 00 F6 40 60 08 75 0C E8 ?? ?? ?? ?? 48 89 83 00 01 00 00 48 8D 8B 08 02 00 00 48 C7 83 C8 01 00 00 00 40 00 00 BA 10 00 00 00 48 C7 83 C0 01 00 00 00 40 00 00 E8 ?? ?? ?? ?? 85 C0 7E 2E 48 8B 8B 18 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 7E 19 48 8B 8B 18 02 00 00 BA 20 00 00 00 48 83 C1 20 E8 ?? ?? ?? ?? 85 C0 7F 0A 81 8B 20 01 00 00 00 40 00 00 48 8D 8B A0 02 00 00 BA 20 00 00 00 E8 ?? ?? ?? ?? 85 C0 0F 8E E6 FC FF FF 48 8B CB E8 ?? ?? ?? ?? 85 C0 0F 84 D6 FC FF FF 81 8B 20 01 00 00 04 00 12 00 48 8B CB C7 83 38 02 00 00 FF FF FF FF 89 AB 90 03 00 00 C7 83 94 03 00 00 00 40 00 00 48 C7 83 C8 03 00 00 02 00 00 00 E8 ?? ?? ?? ?? 48 8B C3 E9 C5 FC FF FF C7 44 24 20 97 0B 00 00 41 B8 A1 00 00 00 E9 92 FC FF FF } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_connect_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { 40 53 B8 20 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 48 83 79 30 00 48 8B D9 75 05 E8 ?? ?? ?? ?? 48 8B CB 48 83 C4 20 5B E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_read_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA DF 00 00 00 C7 44 24 20 EB 06 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 30 E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_SSL_write_1_1_1d_x64_98c6ba0f | |
| { | |
| meta: | |
| version = "1.1.1d" | |
| compiler = "MSVC 2015" | |
| arch = "x64" | |
| strings: | |
| $a = { B8 38 00 00 00 E8 ?? ?? ?? ?? 48 2B E0 45 85 C0 79 28 BA D0 00 00 00 C7 44 24 20 AA 07 00 00 4C 8D 0D ?? ?? ?? ?? 8D 48 DC 44 8D 42 3F E8 ?? ?? ?? ?? 83 C8 FF 48 83 C4 38 C3 4D 63 C0 4C 8D 4C 24 58 E8 ?? ?? ?? ?? 85 C0 0F 4F 44 24 58 48 83 C4 38 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_BytesToKey_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { B8 68 00 00 00 E8 ?? ?? ?? ?? A1 ?? ?? ?? ?? 33 C4 89 44 24 64 8B 44 24 74 53 55 8B 6C 24 74 56 8B 74 24 7C 89 44 24 28 8B 84 24 90 00 00 00 57 8B BC 24 88 00 00 00 89 44 24 18 8B 84 24 98 00 00 00 55 89 6C 24 34 89 74 24 24 89 7C 24 2C 89 44 24 20 C7 44 24 18 00 00 00 00 C7 44 24 14 00 00 00 00 C7 44 24 28 00 00 00 00 E8 ?? ?? ?? ?? 55 8B D8 E8 ?? ?? ?? ?? 83 C4 08 8B E8 83 FB 40 7E 14 6A 56 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 FD 10 7E 14 6A 57 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 FF 75 15 5F 5E 5D 8B C3 5B 8B 4C 24 64 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 E8 ?? ?? ?? ?? 8B F8 85 FF 0F 84 84 01 00 00 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 70 01 00 00 0F 1F 44 00 00 8B 4C 24 14 8B C1 41 89 4C 24 14 85 C0 74 1A FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 42 01 00 00 FF B4 24 8C 00 00 00 FF 74 24 2C 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 26 01 00 00 8B 44 24 2C 85 C0 74 14 6A 08 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 0A 01 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 EF 00 00 00 BE 01 00 00 00 39 B4 24 90 00 00 00 76 5C 66 0F 1F 44 00 00 6A 00 FF 74 24 24 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 C4 00 00 00 FF 74 24 10 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 AA 00 00 00 8D 44 24 10 50 8D 44 24 38 50 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 84 8F 00 00 00 46 3B B4 24 90 00 00 00 72 AA 8B 54 24 10 33 C0 85 DB 74 1D 8B 74 24 18 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 EB 01 75 EB 89 74 24 18 85 ED 74 28 3B C2 74 24 8B 74 24 1C 0F 1F 80 00 00 00 00 3B C2 74 11 85 F6 74 07 8A 4C 04 34 88 0E 46 40 83 ED 01 75 EB 89 74 24 1C 85 DB 75 04 85 ED 74 1A 8B 74 24 20 6A 00 56 57 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 0F 85 A7 FE FF FF EB 10 FF 74 24 30 E8 ?? ?? ?? ?? 83 C4 04 89 44 24 24 57 E8 ?? ?? ?? ?? 8D 44 24 38 6A 40 50 E8 ?? ?? ?? ?? 8B 8C 24 80 00 00 00 83 C4 0C 8B 44 24 24 5F 5E 5D 5B 33 CC E8 ?? ?? ?? ?? 83 C4 68 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherInit_ex_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 18 53 55 56 57 8B 7C 24 14 83 F8 FF 75 05 8B 6F 08 EB 0D 85 C0 BD 01 00 00 00 0F 44 E8 89 6F 08 83 7F 04 00 8B 5C 24 18 74 18 8B 0F 85 C9 74 12 85 DB 0F 84 31 01 00 00 8B 03 3B 01 0F 84 27 01 00 00 85 DB 0F 84 F8 00 00 00 83 3F 00 74 12 8B 77 5C 57 E8 ?? ?? ?? ?? 83 C4 04 89 6F 08 89 77 5C 8B 74 24 1C 85 F6 74 2C 56 E8 ?? ?? ?? ?? 83 C4 04 85 C0 75 2B 6A 61 68 ?? ?? ?? ?? 68 86 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 FF 33 E8 ?? ?? ?? ?? 83 C4 04 8B F0 85 F6 74 1A FF 33 56 E8 ?? ?? ?? ?? 8B D8 83 C4 08 85 DB 75 04 6A 70 EB BE 89 77 04 EB 07 C7 47 04 00 00 00 00 89 1F 8B 43 20 85 C0 74 3B 68 80 00 00 00 68 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 83 C4 0C 89 47 60 85 C0 75 28 68 83 00 00 00 68 ?? ?? ?? ?? 6A 41 6A 7B 6A 06 89 07 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 C7 47 60 00 00 00 00 8B 43 08 83 67 5C 01 89 47 58 8B 07 F6 40 10 40 74 46 6A 00 6A 00 6A 00 57 E8 ?? ?? ?? ?? 83 C4 10 85 C0 75 33 89 07 68 8F 00 00 00 E9 36 FF FF FF 83 3F 00 75 22 68 94 00 00 00 68 ?? ?? ?? ?? 68 83 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 8B 07 8B 40 04 83 F8 01 74 21 83 F8 08 74 1C 83 F8 10 74 17 68 9D 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C F6 47 5C 01 75 3D 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 3D 02 00 01 00 75 22 68 A1 00 00 00 68 ?? ?? ?? ?? 68 AA 00 00 00 6A 7B 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5F 5E 5D 5B C3 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 8B 74 24 2C 83 C4 08 A8 10 0F 85 94 00 00 00 57 E8 ?? ?? ?? ?? 50 E8 ?? ?? ?? ?? 25 07 00 0F 00 83 C4 08 83 F8 05 0F 87 7F FE FF FF FF 24 85 ?? ?? ?? ?? C7 47 50 00 00 00 00 57 E8 ?? ?? ?? ?? 83 C4 04 83 F8 10 7E 17 68 B5 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 8D 47 10 56 50 E8 ?? ?? ?? ?? 83 C4 10 57 E8 ?? ?? ?? ?? 50 8D 47 10 50 EB 13 C7 47 50 00 00 00 00 85 F6 74 14 57 E8 ?? ?? ?? ?? 50 56 8D 47 20 50 E8 ?? ?? ?? ?? 83 C4 10 8B 4C 24 20 85 C9 75 08 8B 07 F6 40 10 20 74 16 8B 07 55 56 51 8B 40 14 57 FF D0 83 C4 10 85 C0 0F 84 E2 FD FF FF 8B 0F B8 01 00 00 00 C7 47 0C 00 00 00 00 C7 47 64 00 00 00 00 8B 49 04 49 89 4F 68 5F 5E 5D 5B C3 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_CipherUpdate_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 8B 44 24 04 83 78 08 00 74 09 89 44 24 04 E9 ?? ?? ?? ?? 89 44 24 04 E9 ?? ?? ?? ?? } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptInit_ex_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 6A 00 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 FF 74 24 18 E8 ?? ?? ?? ?? 83 C4 18 C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DecryptUpdate_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 53 55 8B 6C 24 1C 8B DD 56 8B 74 24 10 83 7E 08 00 74 24 68 C3 01 00 00 68 ?? ?? ?? ?? 68 94 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 33 C0 5E 5D 5B C3 8B 06 57 68 00 20 00 00 56 8B 78 04 E8 ?? ?? ?? ?? 83 C4 08 85 C0 74 0D 8D 45 07 99 83 E2 07 8D 1C 02 C1 FB 03 8B 06 F7 40 10 00 00 10 00 74 74 8B 4C 24 18 83 FF 01 8B 7C 24 20 75 38 2B CF 8B C3 F7 D8 3B C1 1B D2 F7 DA 3B CB 1B C0 F7 D8 0B D0 33 C0 85 C9 0F 95 C0 23 D0 33 C0 85 DB 0F 9F C0 85 D0 74 0A 68 CE 01 00 00 E9 D3 00 00 00 8B 06 8B 4C 24 18 8B 40 18 55 57 51 56 FF D0 8B C8 83 C4 10 8B 44 24 1C 85 C9 79 0D 5F 5E 5D C7 00 00 00 00 00 33 C0 5B C3 5F 5E 5D 89 08 B8 01 00 00 00 5B C3 85 ED 7F 16 8B 44 24 1C 5F 5E C7 00 00 00 00 00 33 C0 85 ED 5D 0F 94 C0 5B C3 F7 46 5C 00 01 00 00 74 1B 55 FF 74 24 24 FF 74 24 24 FF 74 24 24 56 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 5B C3 83 FF 20 76 17 68 E3 01 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 83 7E 64 00 8B 44 24 20 8B 5C 24 18 74 56 3B D8 74 2D 57 50 53 E8 ?? ?? ?? ?? 83 C4 0C 85 C0 75 1E 57 8D 46 6C 50 53 E8 ?? ?? ?? ?? 8B 44 24 2C 83 C4 0C 03 DF C7 44 24 24 01 00 00 00 EB 2D 68 E9 01 00 00 68 ?? ?? ?? ?? 68 A2 00 00 00 68 A6 00 00 00 6A 06 E8 ?? ?? ?? ?? 83 C4 14 5F 5E 5D 33 C0 5B C3 C7 44 24 24 00 00 00 00 55 8B 6C 24 20 50 55 53 56 E8 ?? ?? ?? ?? 83 C4 14 85 C0 74 DC 83 FF 01 76 25 83 7E 0C 00 75 1F 29 7D 00 C7 46 64 01 00 00 00 8B 45 00 03 C3 57 50 8D 46 6C 50 E8 ?? ?? ?? ?? 83 C4 0C EB 07 C7 46 64 00 00 00 00 83 7C 24 24 00 74 03 01 7D 00 5F 5E 5D B8 01 00 00 00 5B C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestFinal_ex_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: | |
| $a = { 56 8B 74 24 08 57 8B 06 83 78 08 40 7E 17 68 AD 00 00 00 68 ?? ?? ?? ?? 68 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 74 24 10 56 8B 40 18 FF D0 8B 54 24 1C 83 C4 08 8B F8 85 D2 74 07 8B 0E 8B 49 08 89 0A 8B 06 8B 40 20 85 C0 74 0E 56 FF D0 6A 02 56 E8 ?? ?? ?? ?? 83 C4 0C 8B 06 FF 70 28 FF 76 0C E8 ?? ?? ?? ?? 83 C4 08 8B C7 5F 5E C3 } | |
| condition: | |
| any of them | |
| } | |
| rule OpenSSL_EVP_DigestInit_ex_1_1_1c_x86_b8061cd6 | |
| { | |
| meta: | |
| version = "1.1.1c" | |
| compiler = "MSVC 2015" | |
| arch = "x86" | |
| strings: |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment