运行“Bar_Client.exe”后，在C:\Windows\System32下生成cnksetup.exe即Bar_Client.exe中的341资源。随后运行cnksetup.exe，在C:\Windows\System32\drivers下生成DrvStart.sys文件，在C:\Windows\System32生成annexpro.exe、cnk_kx.dat、IeImgSnd.dll、MainPro.exe、mfc80.dll、msvbvm60.dll、msvcp60.dll、msvcp80.dll、msvcp80.dll、msvcr80.dll、mswinsock.dll、mswnsock.dll、psapi.dll、settings.ini、Ulsd.exe、UnPack.exe、UnZip.exe、updater.exe等文件。


cnk_kx.dat是压缩文件，用pkzip方式压缩，包含MainPro.exe和annexpro.exe。
启动原理：


Windows启动时加载C:\Windows\System32\drivers下的驱动程序，即加载DrvStart.sys，DrvStart.sys负责在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下写入启动MainPro.exe和annexpro.exe项。



如果修改MainPro.exe和annexpro.exe文件，则通过解压cnk_kx.dat文件恢复MainPro.exe和annexpro.exe文件。