① e5cc_8哪个参数设定地址
一、 概述
“黑凤梨”(BlackTech,T-APT-03)是一个长期活跃在亚洲地区的APT组织,其最早的活动可见于2011年,由2017年5月被国外安全公司进行披露。
近期,腾讯御见威胁情报中心抓获了一例该APT组织的最新攻击活动,该次攻击采用office文档为诱饵进行鱼叉攻击,通过最新的0day漏洞来投递载荷。载荷为代号为PLEAD的RAT木马,该木马主体是可直接执行的二进制代码(shellcode),精湛短小,非常容易免杀。
从2011年至今,腾讯御见威胁情报中心在跨度长达6年的时间内对该组织进行追踪,总共捕捉到数百个样本和c&c域名。
二、 载荷投递
1、 本次载荷投递
本次攻击采用鱼叉攻击的方式,诱饵文件为繁体的携带有最新office 0day的文档:
该恶意文档内嵌了一个PEPayload,两个OLE对象,OLE的对象的目的是拉起PE Payload。其中OLE1则包含了0day CVE-2018-0802的漏洞利用程序,OLE 2包含了CVE-2017-11882的漏洞利用程序,这两个漏洞均位于Microsoft Office的公式编辑器Eqnedt32.exe中。
(1) 漏洞分析
微软在11月份发布的补丁中,修复了CVE-2017-11882漏洞,通过二进制patch的方式对存在栈溢出的函数和调用者进行了长度校验,同时对Eqnedt32.exe增加了ASLR防护措施,增加了漏洞利用的难度。CVE-2017-11882栈溢出漏洞存在于Eqnedt32.exe处理公式中字体名字的过程中,由腾讯电脑管家报告的高危漏洞CVE-2018-0802同样也是一个栈溢出漏洞,也位于Eqnedt32.exe处理公式中字体名字的过程。
1) 关键数据结构
漏洞存在于Office的公式编辑器组件Eqnedit.exe(Equation Editor)中。Equation Editor和MathType都是Design Science开发的公式编辑软件,都采用MTEF(MathType’s Equation Format)格式来存储公式数据。Equation Editor生成的公式数据汇存放在Office 文档的一个OLEObject中,该object class为Equation.3,而obj data区存放的是公式的私有数据OLE Equation Objects。OLE Equation Objects包括两部分,头部是28字节的EQNOLEFILEHDR结构,其后则是MTEF数据:
MTEF数据则包括两部分,一部分是MTEF Header,一部分是描述公式内容的MTEF Byte Stream:
MTEFByte Stream包括一系列的记录records,每一个record以tagbyte开始,tagbyte的低4位描述该record的类型,高4位描述该record的属性。
2) 漏洞溢出分析
该漏洞发生在从MTEF Byte Stream中解析Font Record时出现栈溢出。下图是截获的样本中的Font Record二进制数据:
Font Record结构如下:
对照上图的二进制数据,tag type 是8,tface 为0×0,style为0×1,剩下的则是字体名字。
漏洞发生在sub_421E39函数中,它主要用来初始化一个结构体LOGFONT,该结构体定义如下:
其中字体名字lfFaceName是一个长度为0×20的字符数组。
函数sub_421E39代码如下:
在sub_421E39函数一开始,调用strcpy复制传入的字体名字,可以看到在这过程中,没有任何的长度校验,如果传入的字体名字长度超过0×20,那么这里将会产生溢出。
sub_421E39函数在sub_421774函数中被调用,这是sub_421774函数的部分代码:
从中可以看到,sub_421E39函数初始化的LOGFONT结构体是保存在栈上的,如果构造足够长的字体名字,那么sub_421E39函数里面的strcpy操作,将会溢出覆盖掉sub_421774函数的返回地址。
从代码中另外可以看到,CVE-2017-11882所在的漏洞函数,也同样会被sub_421774函数调用到。
(2) 漏洞利用分析
1) 触发漏洞前
在调用sub_421E39前查看当前的调试信息,栈上第一个参数正是字体名字,也是一段精心构造的shellcode。
2) 触发栈溢出
可以发现栈上的一个返回地址0x1d14e2被修改为了0x1d0025。
由于11月份修补的Eqnedt32.exe中增加了ASLR的防护措施,无法知道当前模块加载的基地址,但是可以利用相对地址不会改变这个特性,通过栈溢出就可以实现将栈上的地址0x1d14e2改为与其相对偏移0x14BD的一个地址,也即是将0x1d14e2的低16位修改为0×0025。
3) Shellcode
ret跳转到shellcode:
跳转到WinExec执行恶意PE:
而%tmp%\DAT9689.tmp是该文档内嵌并已经释放出来的一个恶意PE可执行文件。
2、 历史载荷投递分析
该组织最常使用鱼叉攻击,采用发内容紧贴热点话题的诱饵文件进行攻击。
该组织攻击者善于伪装,包括使用文档类图标、反转字符、双扩展名、漏洞利用等。伪装方式分布为:
(1) 伪装成文档图标,同正常文档打包在同一压缩包中,诱骗点击
(2) 使用特殊的unicode字符(RTLO)反转文件名实现伪装
(3) 使用双重文件名实现伪装(不显示扩展名的情况下极具欺骗性)
(4) 使用漏洞打包成恶意文档文件
三、 载荷分析
本次攻击使用的是一个代号为PLEAD的后门程序,该木马的核心功能以shellcode的形式存在,外壳实现的功能通常是分配一块内存,并将加密的shellcode解密到该内存中,完成后直接跳转到相应的内存块执行。为了对抗安全软件的查杀,外壳的代码千变万化,但核心的shellcode至今只发现了三个差异较大的版本:
版本
大小
出现时间
特点
版本1 6544 2012年 Shellcode中实现注入到ie中执行主功能代码
版本2 5912 2014年 直接执行主功能函数,去掉了注入ie的代码
版本3 3512 2015年 去掉了提示字符串等信息,精简大小
外壳行为分析:
创建互斥量,防止重复运行:互斥量格式为将当前时间格式化为以下格式字符串:
1….%02d%02d%02d_%02d%02d…2,
如1….20180109_0945…2
shellcode存放在局部数组中,极难检测:
解密算法如下:
获取用户名、计算机名、本机IP地址、系统版本,加密发送到C2,使用http协议:
命令分发:
命令代码
功能
C 获取浏览器上网代理设置和安装软件列表信息
L 获取本地磁盘列表及类型
E 执行一条命令/文件,并通过管道取得执行结果返回(CMDShell)
P 并从指定URL重新下载文件到指定位置
G 上传指定文件
D 删除指定文件
A Sleep 指定时间
四、 总结
随着“互联网+”时代的来临,政府、企业把更多的业务向云端迁移,各行各业都在构建自己的大数据中心,数据价值凸显。在这种趋势下面,根据腾讯御见威胁情报中心的监测数据表明,政府、企业所面临的APT攻击变得越来越频繁和常见。腾讯企业安全针对APT防御方面提供了多种解决方案,腾讯御界、腾讯御点等产品均可以检测和防御本次APT攻击。
五、 参考资料
https://www.easyaq.com/news/661053968.shtml
http://blog.trendmicro.com/trendlabs-security-intelligence/following-trail-blacktech-cyber-espionage-campaigns/
附录:IOCs
Hash:
C2:
greeting.hopewill.com
beersale.servebeer.com
pictures.happyforever.com
cert.dynet.com
soo.dtdns.net
rio.onmypc.org
paperspot.wikaba.com
sysinfo.itemdb.com
asus0213.asuscomm.com
firstme.mysecondarydns.com
nspo.itaiwans.com
injure.ignorelist.com
dcns.sonicecation.com
seting.herbalsolo.com
kh7710103.qnoddns.org.cn
zing.youdontcare.com
moutain.onmypc.org
icst.compress.to
twcert.compress.to
festival.lflinkup.net
xuite.myMom.info
avira.justdied.com
showgirls.mooo.com
linenews.mypicture.info
zip.zyns.com
sushow.xxuz.com
applestore.dnset.com
superapple.sendsmtp.com
newspaper.otzo.com
yahoo.zzux.com
microsfot.ikwb.com
facebook.itsaol.com
amazon.otzo.com
cecs.ben-wan.com
av100.mynetav.net
rdec.compress.to
forums.toythieves.com
kukupy.chatnook.com
pictures.wasson.com
moea.crabdance.com
hinet.homenet.org
freeonshop.x24hr.com
blognews.onmypc.org
ametoy.acmetoy.com
usamovie.mylftv.com
timehigh.ddns.info
ikwb55.ikwb.com
dpp.edesizns.com
hehagame.Got-Game.org
wendy.uberleet.com
needjustword.bbsindex.com
front.fartit.com
accounts.fartit.com
177.135.177.54
18.163.14.217
60.249.208.167
220.133.73.13
220.134.10.17
122.147.248.69
220.132.50.81
111.249.102.102
118.163.14.217
59.124.71.29
220.134.98.3
61.219.96.18
114.27.132.233
123.110.131.86
61.58.90.63
122.117.107.178
114.39.59.244
61.222.32.205
60.251.199.226
61.56.11.42
61.58.90.11
123.110.131.86
210.67.101.84
210.242.211.175
211.23.191.4
203.74.123.121
59.125.7.185
59.125.132.175
59.120.169.51
125.227.241.2
125.227.225.181
118.163.168.223
1.170.118.233
dcns.chickenkiller.com
subnotes.ignorelist.com
mozila.strangled.net
boe.pixarworks.com
moc.mrface.com
su27.oCry.com
motc.linestw.com
ting.qpoe.com
blognews.ezua.com
nevery.b0ne.com
jog.punked.us
africa.themafia.info
tios.nsicscores.com
dream.wikaba.com
pcphoto.servehalflife.com
17ublog.1mb.com
effinfo.effers.com
edit.ctotw.tw
tw.chatnook.com
twnic.crabdance.com
asus.strangled.net
furniture.home.kg
newpower.jkub.com
cypd.slyip.com
tabf.garrarufaworld.com
wordhasword.darktech.org
techlaw.linestw.com
techlawilo.effers.com
support.bonbonkids.hk
zany.strangled.net
flog.pgp.com.mx
job.jobical.com
picture.diohwm.com
npa.dynamicdns.org.uk
webmail.24-7.ro
docsedit.cleansite.us
fastnews.ezua.com
INetGIS.faceboktw.com
teacher.yahoomit.com
idb.jamescyoung.com
picture.brogrammer.org
idb.jamescyoung.com
picture.brogrammer.org
movieonline.redirectme.net
formosa.happyforever.com
mirdc.happyforever.com
webey.sbfhome.net
cust.compradecedines.com.ar
cwb.soportetechmdp.com.ar
tw.shop.tm
music.ftp.sh
forums.happyforever.com
专
② 如何调出UltraEdit-32中的函数,在昨侧显示,便于查看
View-->views/lists--->Function list
肯定是你的位置被隐藏了,方法1:
四处找找,在隐藏位置附近时,鼠标会变成拖动,操作至正常位置。
方法2,找到配置文件,直接修改位置坐标。
配置文件在c:\windows\UEDIT32.INI
这是我配置文件的内容,你拷过去,重建一个文件,记得要将以前文件备份。
[Settings]
Language File=C:\Program Files\UltraEdit\wordfile.txt
Spell Directory=C:\PROGRA~1\ULTRAE~1\
MousePos=0
Days to expire=-1
WindowPos=2,3,0,0,-1,-1,333,352,1029,779
Status Bar=5
Tool Bar=5
LineNumOff=0
Large Icons=0
Show Codes=0
Minimize on File Close=0
Minimize to SysTray=0
AlwaysOnTop=0
Save Filter=1
Column Marker 1 On=0
Column Marker 2 On=0
Replace All From Top=1
Ruler On=0
Fix Left Pane=0
Vertical Line Numbers=0
Hex Columns=16
MacroWarning=1
UseSpaces1=0
UseSpaces2=0
UseSpaces3=0
UseSpaces4=0
UseSpaces5=0
UseSpaces6=0
UseSpaces7=0
UseSpaces8=0
UseSpaces9=0
UseSpaces10=0
UseSpaces11=0
Force OEM=0
Version=V7.20
NoAutoSaveNewFiles=0
NoAutoSaveFTPFiles=1
NoDragDrop=0
IgnoreFileChange=0
AutoFileChange=0
Backup=0
BackupTime=0
Multiple Instances=0
Auto Indent=1
Last File=C:\WINDOWS\UEDIT32.INI
Auto Detect Unix=1
Auto Convert Unix=1
Default Read Only=0
Save File Format as Input=1
Use Windows Default Dir=0
Filter=1
FindInFiles-Use Windows=1
File Open Uses Active File=1
Save Bookmarks=1
Num Recent Files=4
Custom Colors=0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0
ShowCmd=3
FileListonFileMenu=0
Trim Spaces on Exit=0
Correct Syntax=1
Syntax Highlighting=1
Wrap Type1=0
Wrap Column1=80
InputConvert1=0
File Extensions1=Default
Auto Complete File1=
Wrap Type2=0
Wrap Column2=80
InputConvert2=0
File Extensions2=
Auto Complete File2=
Wrap Type3=0
Wrap Column3=80
InputConvert3=0
File Extensions3=
Auto Complete File3=
Wrap Type4=0
Wrap Column4=80
InputConvert4=0
File Extensions4=
Auto Complete File4=
Wrap Type5=0
Wrap Column5=80
InputConvert5=0
File Extensions5=
Auto Complete File5=
Wrap Type6=0
Wrap Column6=80
InputConvert6=0
File Extensions6=
Auto Complete File6=
Wrap Type7=0
Wrap Column7=80
InputConvert7=0
File Extensions7=
Auto Complete File7=
Wrap Type8=0
Wrap Column8=80
InputConvert8=0
File Extensions8=
Auto Complete File8=
Wrap Type9=0
Wrap Column9=80
InputConvert9=0
File Extensions9=
Auto Complete File9=
Wrap Type10=0
Wrap Column10=80
InputConvert10=0
File Extensions10=
Auto Complete File10=
Wrap Type11=0
Wrap Column11=80
InputConvert11=0
File Extensions11=
Auto Complete File11=
Macro Directory=
Default Save Directory=
Default Backup Directory=
No Temp=0
SlimDialog=0
Absolute Home=0
TitleNameOnly=0
Left Delims=" ,{}<>"'"
Right Delims=" ,{}<>"'"
[TagList]
TagListFilename=C:\Program Files\UltraEdit\taglist.txt
[Open Files]
Open File0=
Remember Files=0
[File Types]
0=*.*
1=*.TXT
2=*.DOC
3=*.BAT
4=*.INI
5=*.C;*.CPP
6=*.H;*.HPP
7=*.HTML;*.HTM;*.JAVA;*.JAV
8=
9=
[File Desc]
0=All Files, (*.*)
1=Text Files, (*.TXT)
2=Doc Files, (*.DOC)
3=Batch Files, (*.BAT)
4=INI Files, (*.INI)
5='C' Files, (*.C, *.CPP)
6=Header Files, (*.H, *.HPP)
7=HTML/Java Files, (*.HTML, *.JAVA, *.HTM, *.JAV)
8=
9=
[ToolBarState1-v61-Summary]
Bars=13
ScreenCX=1024
ScreenCY=768
[MDI Tabs]
HDocked Size=2163448
VDocked Size=2163195
Float Size=2818877
Dock Horz=1
[Output Window]
HDocked Size=656120
VDocked Size=8389126
Float Size=8389126
Dock Horz=1
[File View]
HDocked Size=43974853
VDocked Size=42795149
Float Size=43974853
Open Files - Names Only=0
Current Select=Open Files\
[Macro List Dock]
HDocked Size=13828251
VDocked Size=13828251
Float Size=13828251
Dock Horz=0
[Tag List Dock]
HDocked Size=13828251
VDocked Size=42795163
Float Size=13828251
Dock Horz=0
[Function List]
HDocked Size=12583055
VDocked Size=42795300
Float Size=12583055
Dock Horz=0
[Find/Replace in Files]
MatchCase=0
MatchWord=0
RegularExpression=0
SearchSubs=1
UseOutputWindow=1
FilesToSearch=0
[PageSetup]
DisableHeaderSeparator=0
DisableFooterSeparator=0
PrintLineNumbers=0
PrintWrap=1
Print2Pages=0
PrintSyntax=0
Header=
Footer=
[Font]
Height=-13
Weight=400
PitchAndFamily=49
FaceName=Courier New
CharSetDef=0
CharSet=0
[Paragraph Formatting]
HangingIndent=0
HangingIndentColumn=4
LeftMargin=4
Right Margin=80
Align=0
MarginType=0
[Project]
LastProject=
[Print Settings]
Orientation=1
Paper=1
[Func List]
Window Pos=0,1,0,0,-1,-1,186,207,668,460
[FixedFont]
Height=-13
Weight=400
PitchAndFamily=49
FaceName=Courier New
CharSetDef=0
CharSet=0
[Language 1 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 2 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 3 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 4 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 5 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 6 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 7 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 8 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 9 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[Language 10 Colors]
Colors=0,8421376,8421376,8421504,255,16711680,255,33023,32768,4210816,16711680,16711680,16711680,
Colors Back=16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,16777215,
Colors Auto Back=1,1,1,1,1,1,1,1,1,1,1,1,1,
Font Style=0,0,0,0,0,0,0,0,0,0,0,0,0,
[FavoriteFiles]
0=D:\work\old_machine\others\record\2006\April\060413\mem.txt
[Find in File History]
0=D:\work\customer\Amoi\CI_Ref_from_Gary\DvB_FTA\DvB_FTA\
FileName_0=*.*
1=D:\work\ref\Reference_Design\SupraTVI78_Ref\middleware\
FileName_1=
2=D:\work\old_machine\July\
FileName_2=
3=C:\work\p4force\Ref\Reference_Design\SupraTV_I68_NewRef\EWOSDSOURCE\
FileName_3=
4=C:\work\p4force\Ref\Tools_Utils\idev_Src_I78\
FileName_4=
5=C:\work\p4force\Ref\Tools_Utils\
FileName_5=
6=E:\SOFT\NEWSOFT\ZA\FG\
FileName_6=
7=
FileName_7=
8=
FileName_8=
9=
FileName_9=
[Tools]
Tool Cmd0=""
Tool Dir0=""
Tool Menu0=""
Capture0=1
Capture Mode0=0
WinProg0=0
SaveAllFiles0=0
Tool Cmd1=""
Tool Dir1=""
Tool Menu1=""
Capture1=1
Capture Mode1=0
WinProg1=0
SaveAllFiles1=0
Tool Cmd2=""
Tool Dir2=""
Tool Menu2=""
Capture2=1
Capture Mode2=0
WinProg2=0
SaveAllFiles2=0
Tool Cmd3=""
Tool Dir3=""
Tool Menu3=""
Capture3=1
Capture Mode3=0
WinProg3=0
SaveAllFiles3=0
Tool Cmd4=""
Tool Dir4=""
Tool Menu4=""
Capture4=1
Capture Mode4=0
WinProg4=0
SaveAllFiles4=0
Tool Cmd5=""
Tool Dir5=""
Tool Menu5=""
Capture5=1
Capture Mode5=0
WinProg5=0
SaveAllFiles5=0
Tool Cmd6=""
Tool Dir6=""
Tool Menu6=""
Capture6=1
Capture Mode6=0
WinProg6=0
SaveAllFiles6=0
Tool Cmd7=""
Tool Dir7=""
Tool Menu7=""
Capture7=1
Capture Mode7=0
WinProg7=0
SaveAllFiles7=0
Tool Cmd8=""
Tool Dir8=""
Tool Menu8=""
Capture8=1
Capture Mode8=0
WinProg8=0
SaveAllFiles8=0
Tool Cmd9=""
Tool Dir9=""
Tool Menu9=""
Capture9=1
Capture Mode9=0
WinProg9=0
SaveAllFiles9=0
[FTP Account -]
Account Address=
User Name=anonymous
User Account=
Save Password=1
Password=33
Initial Dir=
Use Proxy=0
Proxy Server=
Proxy Port=21
Cache Password=0
Path Leading Char=/
Path Separator Char=/
Server Type=0
Transfer Mode=0
Passive Mode=0
Current Dir=
[FTP Account - xoceco]
Account Address=ftp://ftp.xoceco.com.cn/
User Name=
User Account=rdtemp
Save Password=1
Password=0b0b050e0b4f0501
Initial Dir=
Use Proxy=0
Proxy Server=
Proxy Port=21
Cache Password=0
Path Leading Char=/
Path Separator Char=/
Server Type=0
Transfer Mode=1
Passive Mode=0
Current Dir=
[FTP Accounts]
0=xoceco
1=
Last Account=xoceco
Close On Exit=1
Col Width 0=140
Col Width 1=120
Col Width 2=75
[ASCII Table]
Window Pos=0,1,0,0,-1,-1,0,38,437,333
[ToolBarState1-v61-Bar0]
BarID=59392
XPos=-2
YPos=-2
Docking=1
MRUDockID=59419
MRUDockLeftPos=-2
MRUDockTopPos=-2
MRUDockRightPos=807
MRUDockBottomPos=29
MRUFloatStyle=8192
MRUFloatXPos=67
MRUFloatYPos=63
[ToolBarState1-v61-Bar1]
BarID=59393
[ToolBarState1-v61-Bar2]
BarID=59419
Bars=5
Bar#0=0
Bar#1=65679
Bar#2=0
Bar#3=59392
Bar#4=0
[ToolBarState1-v61-Bar3]
BarID=59422
Bars=3
Bar#0=0
Bar#1=152
Bar#2=0
[ToolBarState1-v61-Bar4]
BarID=59420
Bars=3
Bar#0=0
Bar#1=205
Bar#2=0
[ToolBarState1-v61-Bar5]
BarID=59421
Bars=7
Bar#0=0
Bar#1=427
Bar#2=0
Bar#3=32973
Bar#4=0
Bar#5=32975
Bar#6=0
[ToolBarState1-v61-Bar6]
BarID=143
Visible=0
XPos=-2
YPos=-2
Docking=1
MRUDockID=59419
MRUDockLeftPos=-2
MRUDockTopPos=27
MRUDockRightPos=1022
MRUDockBottomPos=60
MRUFloatStyle=8196
MRUFloatXPos=-416
MRUFloatYPos=193
[ToolBarState1-v61-Bar7]
BarID=152
Visible=0
XPos=-2
YPos=6
Docking=1
MRUDockID=59422
MRUDockLeftPos=-2
MRUDockTopPos=6
MRUDockRightPos=1022
MRUDockBottomPos=16
MRUFloatStyle=4
MRUFloatXPos=-2147483648
MRUFloatYPos=0
[ToolBarState1-v61-Bar8]
BarID=205
XPos=-2
YPos=-2
Docking=1
MRUDockID=59420
MRUDockLeftPos=-2
MRUDockTopPos=-2
MRUDockRightPos=139
MRUDockBottomPos=651
MRUFloatStyle=4
MRUFloatXPos=-2147483648
MRUFloatYPos=0
[ToolBarState1-v61-Bar9]
BarID=427
Visible=0
XPos=6
YPos=-2
Docking=1
MRUDockID=59421
MRUDockLeftPos=6
MRUDockTopPos=-2
MRUDockRightPos=298
MRUDockBottomPos=651
MRUFloatStyle=4
MRUFloatXPos=-2147483648
MRUFloatYPos=0
[ToolBarState1-v61-Bar10]
BarID=32973
Visible=0
XPos=266
YPos=-2
Docking=1
MRUDockID=59421
MRUDockLeftPos=266
MRUDockTopPos=-2
MRUDockRightPos=421
MRUDockBottomPos=651
MRUFloatStyle=4
MRUFloatXPos=-2147483648
MRUFloatYPos=150
[ToolBarState1-v61-Bar11]
BarID=32975
Visible=0
XPos=-2
YPos=-2
Docking=1
MRUDockID=0
MRUDockLeftPos=0
MRUDockTopPos=0
MRUDockRightPos=20
MRUDockBottomPos=57650
MRUFloatStyle=4
MRUFloatXPos=-2147483648
MRUFloatYPos=-1
[ToolBarState1-v61-Bar12]
BarID=59423
Horz=1
Floating=1
XPos=-412
YPos=213
Bars=3
Bar#0=0
Bar#1=143
Bar#2=0
[Find/Replace]
FindString="views"
ReplaceString="Idev_avix"
MatchCase=0
Direction=1
RegularExpression=0
MatchWord=0
ReplaceMode=0
ListLines=1
SearchSubDir=1
AllowRewind=1
UnixRE=0
Select Word=1
Find Selected=1
Close After Replace=0
SearchHexAscii=0
[Find History]
0="views"
1="0"
2="DRV_WRITEIO"
3="CI_DATA_REG"
4="DRV_Ioctl"
5="DRV_Ioctl"
6="CI_SIZE_MS_REG"
7="DRV_TSIGNAL"
8="CI_COM_STAT_REG"
9="CI_SIZE_LS_REG"
[Replace History]
0="Idev_avix"
1=" "
2="."
[Recent File List]
File1=C:\WINDOWS\UEDIT32.INI
File2=C:\Program Files\UltraEdit\SSCE4332.DLL
File3=C:\Program Files\UltraEdit\ue32ctmn.dll
File4=C:\Program Files\UltraEdit\uedit32.REG