恶意软件分析 & URL链接扫描免费在线病毒分析平台

分析任务

分析类型	虚拟机标签	开始时间	结束时间	持续时间
文件 (Windows)	win7-sp1-x64-shaapp03-2	2024-04-18 12:12:16	2024-04-18 12:12:40	24 秒

魔盾分数

0.05

正常的

文件详细信息

文件名	TTEDriver.sys
文件大小	22168 字节
文件类型	PE32 executable (native) Intel 80386, for MS Windows
MD5	a3fed7ccb68a06f3c5a276054958c3dd
SHA1	0f3dcb987312c309012c518a729d09f90458a44e
SHA256	b8b05fb73f4d0407ae73ccc082361e1fc0415c52c5f9327a4b62b0041717b269
SHA512	6501f26f67a34a1edc32651091350f8cad82df01e87e11042c2fdeeb0186e766143968814a3eba31998acd8e19d0402a080af714c38f56f28b74065e27356ade
CRC32	8CAE749B
Ssdeep	384:GE73v/6sRxAMqW5TeTBG5s4NgrrsQnRPYjE8pMU:PfXErrsQnm48p9
Yara	登录查看Yara规则
	找不到该样本提交漏报

登录查看威胁特征

运行截图

没有可用的屏幕截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

摘要

登录查看详细行为信息

PE 信息

初始地址	0x00400000
入口地址	0x00401140
声明校验值	0x0000cb52
实际校验值	0x0000cb52
最低操作系统版本要求	10.0
PDB路径	C:\Users\WLX\Desktop\tte-windriver\TTE Driver\Debug\TTEDriver.pdb
编译时间	2024-04-17 15:55:55
载入哈希	d2526a50340acedbc38a7725aded18f7

微软证书验证 (Sign Tool)

SHA1	时间戳	有效性	错误
f7f3d758665d822021e8beb427a697b8de13fb51	None	否	A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

证书链	Certificate Chain 1
发行给	WDKTestCert WLX,133438146968901694
发行人	WDKTestCert WLX,133438146968901694
有效期	Mon Nov 07 080000 2033
SHA1 哈希	c7d6ad7d7c52440cc595fe3bebfbb8f8daee3f1c

PE 数据组成

名称	虚拟地址	虚拟大小	原始数据大小	特征	熵(Entropy)
.text	0x00001000	0x00003cf8	0x00003e00	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	6.05
.rdata	0x00005000	0x000003f0	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ	4.02
.data	0x00006000	0x00000cb8	0x00000200	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_NOT_PAGED\|IMAGE_SCN_MEM_READ\|IMAGE_SCN_MEM_WRITE	0.59
INIT	0x00007000	0x000002a0	0x00000400	IMAGE_SCN_CNT_CODE\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_EXECUTE\|IMAGE_SCN_MEM_READ	3.88
.reloc	0x00008000	0x00000250	0x00000400	IMAGE_SCN_CNT_INITIALIZED_DATA\|IMAGE_SCN_MEM_DISCARDABLE\|IMAGE_SCN_MEM_READ	4.32

覆盖

偏移量	0x00005000
大小	0x00000698

导入

库: ntoskrnl.exe:

• 0x40501c KeTickCount

• 0x405020 KeSetEvent

• 0x405024 KeClearEvent

• 0x405028 KeWaitForSingleObject

• 0x40502c memset

• 0x405030 ExFreePoolWithTag

• 0x405034 MmMapIoSpace

• 0x405038 MmUnmapIoSpace

• 0x40503c KeBugCheckEx

• 0x405040 _allmul

• 0x405044 ExAllocatePoolWithTag

• 0x405048 KeQueryTimeIncrement

• 0x40504c RtlCopyUnicodeString

• 0x405050 KeDelayExecutionThread

• 0x405054 KeInitializeEvent

• 0x405058 memcpy

• 0x40505c DbgPrint

库: HAL.dll:

• 0x405000 KeGetCurrentIrql

库: WDFLDR.SYS:

• 0x405008 WdfVersionUnbind

• 0x40500c WdfVersionBind

• 0x405010 WdfVersionUnbindClass

• 0x405014 WdfVersionBindClass

.text
h.rdata
H.data
b.reloc
,;5L`@
"hZI@
hgTyMh
QhnK@
PhBK@
PhrJ@
DEVICE_EXTENSION
C:\Users\WLX\Desktop\tte-windriver\TTE Driver\Debug\TTEDriver.pdb
.text
.text$mn
.text$s
.idata$5
.00cfg
.gfids
.rdata
.rdata$voltmd
.rdata$zzzdbg
.data
.kmdfclassbind$a
.kmdfclassbind$c
.kmdfclassbind$d
.kmdftypeinit$a
.kmdftypeinit$c
.idata$2
.idata$3
.idata$4
.idata$6
DbgPrint
KeInitializeEvent
KeDelayExecutionThread
KeQueryTimeIncrement
ExAllocatePoolWithTag
_allmul
memset
KeTickCount
KeSetEvent
KeClearEvent
KeWaitForSingleObject
memcpy
ExFreePoolWithTag
MmMapIoSpace
MmUnmapIoSpace
KeBugCheckEx
ntoskrnl.exe
KeGetCurrentIrql
HAL.dll
RtlCopyUnicodeString
WdfVersionUnbind
WdfVersionBind
WdfVersionBindClass
WdfVersionUnbindClass
WDFLDR.SYS
6"626
d0\1h1p1
0 040L0
0!0*010
KmdfLibrary

没有防病毒引擎扫描信息!

下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49157	23.219.206.42	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	50785	192.168.122.1	53

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

源地址	源端口	目标地址	目标端口
192.168.122.202	49157	23.219.206.42	80

UDP

源地址	源端口	目标地址	目标端口
192.168.122.202	50785	192.168.122.1	53

HTTP 请求

URI	HTTP数据
URL专业沙箱检测 -> http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip	GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: / If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件

抱歉! 没有任何文件投放。

没有发现相似的分析.

HTML 总结报告 (需15-60分钟同步)	下载

Processing ( 13.222 seconds )

11.275 Suricata
0.952 NetworkAnalysis
0.337 Static
0.331 TargetInfo
0.309 peid
0.012 AnalysisInfo
0.002 BehaviorAnalysis
0.002 Memory
0.002 Strings

Signatures ( 1.519 seconds )

1.41 proprietary_url_bl
0.023 antiav_detectreg
0.01 antiav_detectfile
0.009 proprietary_domain_bl
0.006 anomaly_persistence_autorun
0.005 infostealer_ftp
0.004 antianalysis_detectreg
0.004 geodo_banking_trojan
0.004 network_http
0.004 ransomware_extensions
0.004 ransomware_files
0.003 tinba_behavior
0.003 antivm_vbox_files
0.003 infostealer_bitcoin
0.003 infostealer_im
0.002 rat_nanocore
0.002 antivm_parallels_keys
0.002 disables_browser_warn
0.002 infostealer_mail
0.001 network_tor
0.001 betabot_behavior
0.001 shifu_behavior
0.001 cerber_behavior
0.001 antianalysis_detectfile
0.001 antidbg_devices
0.001 antivm_generic_diskreg
0.001 banker_zeus_mutex
0.001 bot_drive
0.001 bot_drive2
0.001 browser_addon
0.001 browser_security
0.001 modify_proxy
0.001 proprietary_malicious_drop_executable_file_to_temp_folder
0.001 proprietary_bad_drop
0.001 network_cnc_http

Reporting ( 0.5 seconds )

0.463 ReportHTMLSummary
0.037 Malheur


Task ID	744078
Mongo ID	66209df37e769a7c1b16eacf
Cuckoo release	1.4-Maldun