分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-shaapp03-1 2021-06-18 21:39:21 2021-06-18 21:39:36 15 秒

魔盾分数

0.05

正常的

文件详细信息

文件名 ComputerZ_x64.sys
文件大小 50328 字节
文件类型 PE32+ executable (native) x86-64, for MS Windows
MD5 6ba221afb17342a3c81245a4958516a2
SHA1 7c996d9ef7e47a3b197ff69798333dc29a04cc8a
SHA256 37d999df20c1a0b8ffaef9484c213a97b9987ed308b4ba07316a6013fbd31c60
SHA512 31bc500ce58a3774ffc47a5a84ce4a1c6195aed5f9078a116b6ef590f37c2242655b2ecce4e292b523f2aebb5dd60180b437fa1ab38f3a35f8878619ec8220d4
CRC32 B6718A9F
Ssdeep 768:MJuWHyDeopkvFj4w3t3sbYCDJaojOfM/MeKgrpPjqsoEQwUeT:M4HsJ4At3sxD8jE0expPjq/AtT
Yara 登录查看Yara规则
样本下载 提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

登录查看详细行为信息

PE 信息

初始地址 0x00010000
入口地址 0x00018064
声明校验值 0x0000ed2d
实际校验值 0x0000ed2d
最低操作系统版本要求 6.1
PDB路径 d:\build\core_lib\hardware_sys\amd64\ComputerZ.pdb
编译时间 2020-12-17 18:08:51
载入哈希 1427c5f0f4fb100e26a3911f8209504b

版本信息

LegalCopyright
InternalName
FileVersion
CompanyName
LegalTrademarks
Comments
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
66b24de401ff03030585a778bb4665338e87494c Thu Dec 17 21:13:28 2020
证书链 Certificate Chain 1
发行给 DigiCert Assured ID Root CA
发行人 DigiCert Assured ID Root CA
有效期 Mon Nov 10 080000 2031
SHA1 哈希 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43
证书链 Certificate Chain 2
发行给 DigiCert Assured ID Code Signing CA-1
发行人 DigiCert Assured ID Root CA
有效期 Tue Feb 10 200000 2026
SHA1 哈希 409aa4a74a0cda7c0fee6bd0bb8823d16b5f1875
证书链 Certificate Chain 3
发行给
发行人 DigiCert Assured ID Code Signing CA-1
有效期 Wed Nov 03 200000 2021
SHA1 哈希 660ab99a6d99603c37d86e79846106be25232990
证书链 Timestamp Chain 1
发行给 DigiCert Assured ID Root CA
发行人 DigiCert Assured ID Root CA
有效期 Mon Nov 10 080000 2031
SHA1 哈希 0563b8630d62d75abbc8ab1e4bdfb5a899b24d43
证书链 Timestamp Chain 2
发行给 DigiCert Assured ID CA-1
发行人 DigiCert Assured ID Root CA
有效期 Wed Nov 10 080000 2021
SHA1 哈希 19a09b5a36f4dd99727df783c17a51231a56c117
证书链 Timestamp Chain 3
发行给 DigiCert Timestamp Responder
发行人 DigiCert Assured ID CA-1
有效期 Tue Oct 22 080000 2024
SHA1 哈希 614d271d9102e30169822487fde5de00a352b01d

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00003fae 0x00004000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.34
.rdata 0x00005000 0x00000424 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ 3.55
.data 0x00006000 0x000001ec 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.30
.pdata 0x00007000 0x00000234 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_READ 2.59
INIT 0x00008000 0x000004b0 0x00000600 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 4.33
.rsrc 0x00009000 0x000003e0 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 3.45

覆盖

偏移量 0x00005c00
大小 0x00006898

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_VERSION 0x00009060 0x00000380 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 3.69 8086 relocatable (Microsoft)

导入

库: ntoskrnl.exe:
0x15020 IofCompleteRequest
0x15030 IoCreateDevice
0x15038 _wcsicmp
0x15048 PsGetVersion
0x15068 RtlInitAnsiString
0x15080 RtlGetVersion
0x15090 KeInitializeEvent
0x150a0 IofCallDriver
0x150a8 MmUnmapIoSpace
0x150b0 MmMapIoSpace
0x150b8 SeTokenIsAdmin
0x150d8 KeBugCheckEx
0x150e0 IoDeleteDevice
0x150f0 MmIsAddressValid
库: HAL.dll:

.text
h.rdata
H.data
.pdata
HINIT
.rsrc
tP=l&
D$DA9E
d:\build\core_lib\hardware_sys\amd64\ComputerZ.pdb
IoDeleteSymbolicLink
RtlInitUnicodeString
IoDeleteDevice
RtlGetVersion
IofCompleteRequest
IoCreateSymbolicLink
IoCreateDevice
_wcsicmp
IoGetDeviceAttachmentBaseRef
PsGetVersion
ObfDereferenceObject
IoGetDeviceProperty
RtlAnsiStringToUnicodeString
RtlInitAnsiString
RtlFreeUnicodeString
IoGetDeviceObjectPointer
MmIsAddressValid
IoBuildDeviceIoControlRequest
KeInitializeEvent
KeWaitForSingleObject
IofCallDriver
MmUnmapIoSpace
MmMapIoSpace
SeTokenIsAdmin
SeReleaseSubjectContext
KeDelayExecutionThread
SeCaptureSubjectContext
KeBugCheckEx
ntoskrnl.exe
HalSetBusDataByOffset
HalGetBusDataByOffset
KeStallExecutionProcessor
HAL.dll
__C_specific_handler
Y<a "
\DosDevices\ComputerZ
\Device\ComputerZ
{4d36e97d-e325-11ce-bfc1-08002be10318}
VS_VERSION_INFO
StringFileInfo
080404b0
Comments
http://www.ludashi.com
CompanyName
ludashi.com
FileDescription
Ludashi System Driver
FileVersion
1.1020.1030.1217
InternalName
ComputerZ.Sys
LegalCopyright
(C) 2010-2020 www.ludashi.com
LegalTrademarks
OriginalFilename
ComputerZ.Sys
ProductName
ProductVersion
1.1020.1030.1217
VarFileInfo
Translation
没有防病毒引擎扫描信息!

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 13.643 seconds )

  • 10.894 Suricata
  • 1.466 VirusTotal
  • 0.356 Static
  • 0.331 NetworkAnalysis
  • 0.312 peid
  • 0.26 TargetInfo
  • 0.011 AnalysisInfo
  • 0.009 Strings
  • 0.002 BehaviorAnalysis
  • 0.002 Memory

Signatures ( 0.094 seconds )

  • 0.019 antiav_detectreg
  • 0.01 md_domain_bl
  • 0.009 md_url_bl
  • 0.007 anomaly_persistence_autorun
  • 0.007 antiav_detectfile
  • 0.005 infostealer_ftp
  • 0.004 ransomware_extensions
  • 0.004 ransomware_files
  • 0.003 infostealer_bitcoin
  • 0.003 infostealer_im
  • 0.002 tinba_behavior
  • 0.002 antianalysis_detectreg
  • 0.002 antivm_vbox_files
  • 0.002 geodo_banking_trojan
  • 0.002 disables_browser_warn
  • 0.002 infostealer_mail
  • 0.002 md_bad_drop
  • 0.001 rat_nanocore
  • 0.001 betabot_behavior
  • 0.001 cerber_behavior
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 browser_security
  • 0.001 modify_proxy
  • 0.001 maldun_malicious_drop_executable_file_to_temp_folder

Reporting ( 0.543 seconds )

  • 0.485 ReportHTMLSummary
  • 0.058 Malheur
Task ID 641025
Mongo ID 60cca22e7e769a1c5a7130db
Cuckoo release 1.4-Maldun