比较分析...

分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-1 2016-05-28 15:09:48 2016-05-28 15:12:18 150 秒

魔盾分数

2.0

正常的

文件详细信息

文件名 zlib1.dll
文件大小 59904 字节
文件类型 PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5 89f6488524eaa3e5a66c5f34f3b92405
SHA1 330f9f6da03ae96dfa77dd92aae9a294ead9c7f7
SHA256 bd29d2b1f930e4b660adf71606d1b9634188b7160a704a8d140cadafb46e1e56
SHA512 cfe72872c89c055d59d4de07a3a14cd84a7e0a12f166e018748b9674045b694793b6a08863e791be4f9095a34471fd6abe76828dc8c653be8c66923a5802b31e
CRC32 0296B7A0
Ssdeep 1536:ZfU1BgfZqvECHUhUMPZVmnToIfxIOjIOG8TI:ZfzfZR2UhUMPZVSTBfbFG6I
Yara 登录查看Yara规则
样本下载 提交漏报
登录查看威胁特征

运行截图

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
dns.msftncsi.com 未知 A 131.107.255.255
dns.msftncsi.com 未知 AAAA fd3e:4f5a:5b81::1

摘要

登录查看详细行为信息

PE 信息

初始地址 0x215b0000
入口地址 0x215ba18b
声明校验值 0x0001ade5
实际校验值 0x0001ade5
最低操作系统版本要求 4.0
编译时间 2011-06-10 18:38:29
导出DLL库名称 zlib1.dll

版本信息

LegalCopyright
InternalName
FileVersion
Comments
ProductName
ProductVersion
FileDescription
OriginalFilename
Translation

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x000093b4 0x00009400 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.66
.rdata 0x0000b000 0x000046ed 0x00004800 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 6.66
.data 0x00010000 0x00000074 0x00000200 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.55
.rsrc 0x00011000 0x00000398 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.06
.reloc 0x00012000 0x0000038e 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 4.96

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_VERSION 0x00011060 0x00000338 LANG_ENGLISH SUBLANG_ENGLISH_US 3.46 data

导入

库: MSVCR71.dll:
0x215bb008 _errno
0x215bb00c fclose
0x215bb010 free
0x215bb014 _vsnprintf
0x215bb018 fflush
0x215bb01c fseek
0x215bb020 fputc
0x215bb024 malloc
0x215bb028 strerror
0x215bb02c clearerr
0x215bb030 fread
0x215bb034 fprintf
0x215bb038 _fdopen
0x215bb03c fopen
0x215bb040 sprintf
0x215bb044 _initterm
0x215bb048 _adjust_fdiv
0x215bb04c __CppXcptFilter
0x215bb050 _except_handler3
0x215bb054 __dllonexit
0x215bb058 _onexit
0x215bb05c ftell
0x215bb060 fwrite
库: KERNEL32.dll:

导出

序列 地址 名称
1 0x215b1000 adler32
2 0x215b1300 compress
3 0x215b1250 compress2
4 0x215b1320 compressBound
5 0x215b1630 crc32
6 0x215b1880 deflate
7 0x215b17a0 deflateBound
8 0x215b21c0 deflateCopy
9 0x215b20f0 deflateEnd
10 0x215b31c0 deflateInit2_
11 0x215b3400 deflateInit_
12 0x215b30e0 deflateParams
13 0x215b1760 deflatePrime
14 0x215b3040 deflateReset
15 0x215b1650 deflateSetDictionary
16 0x215b1340 get_crc_table
17 0x215b3cc0 gzclearerr
18 0x215b3b50 gzclose
19 0x215b3f60 gzdopen
20 0x215b3ab0 gzeof
21 0x215b3ba0 gzerror
22 0x215b3a00 gzflush
23 0x215b4260 gzgetc
24 0x215b4290 gzgets
25 0x215b3f40 gzopen
26 0x215b3840 gzprintf
27 0x215b38c0 gzputc
28 0x215b38f0 gzputs
29 0x215b3fa0 gzread
30 0x215b3a40 gzrewind
31 0x215b42f0 gzseek
32 0x215b3430 gzsetparams
33 0x215b4490 gztell
34 0x215b3720 gzungetc
35 0x215b3770 gzwrite
36 0x215b56e0 inflate
37 0x215b4570 inflateBack
38 0x215b5430 inflateBackEnd
39 0x215b44b0 inflateBackInit_
40 0x215b6fe0 inflateCopy
41 0x215b6d10 inflateEnd
42 0x215b54d0 inflateInit2_
43 0x215b55a0 inflateInit_
44 0x215b5470 inflateReset
45 0x215b6d60 inflateSetDictionary
46 0x215b6eb0 inflateSync
47 0x215b6fb0 inflateSyncPoint
48 0x215b9070 uncompress
49 0x215b9140 zError
50 0x215b9130 zlibCompileFlags
51 0x215b9120 zlibVersion
.text
`.rdata
@.data
.rsrc
@.reloc
F(h0%
S[!xS[!
F(h0%
N(Uh0%
Fast decoding Code from Chris Anderson
invalid literal/length code
invalid distance code
invalid distance too far back
1.2.3
deflate 1.2.3 Copyright 1995-2005 Jean-loup Gailly
,[!
,[!
,[!1.2.3
%c%c%c%c%c%c%c%c%c%c
<fd:%d>
invalid distance too far back
invalid distance code
invalid literal/length code
too many length or distance symbols
invalid distances set
invalid bit length repeat
invalid literal/lengths set
invalid code lengths set
invalid stored block lengths
invalid block type
incorrect length check
incorrect data check
header crc mismatch
unknown header flags set
incorrect header check
invalid window size
unknown compression method
inflate 1.2.3 Copyright 1995-2005 Mark Adler
[!incompatible version
buffer error
insufficient memory
data error
stream error
file error
stream end
need dictionary
fwrite
fread
_errno
fclose
_vsnprintf
fflush
fseek
fputc
malloc
strerror
clearerr
ftell
fprintf
_fdopen
fopen
sprintf
MSVCR71.dll
_initterm
_adjust_fdiv
__CppXcptFilter
_except_handler3
__dllonexit
_onexit
DisableThreadLibraryCalls
KERNEL32.dll
zlib1.dll
adler32
compress
compress2
compressBound
crc32
deflate
deflateBound
deflateCopy
deflateEnd
deflateInit2_
deflateInit_
deflateParams
deflatePrime
deflateReset
deflateSetDictionary
get_crc_table
gzclearerr
gzclose
gzdopen
gzeof
gzerror
gzflush
gzgetc
gzgets
gzopen
gzprintf
gzputc
gzputs
gzread
gzrewind
gzseek
gzsetparams
gztell
gzungetc
gzwrite
inflate
inflateBack
inflateBackEnd
inflateBackInit_
inflateCopy
inflateEnd
inflateInit2_
inflateInit_
inflateReset
inflateSetDictionary
inflateSync
inflateSyncPoint
uncompress
zError
zlibCompileFlags
zlibVersion
0$0(0<0
VS_VERSION_INFO
StringFileInfo
040904E4
FileDescription
zlib data compression library
FileVersion
1.2.3
InternalName
zlib1.dll
LegalCopyright
(C) 1995-2004 Jean-loup Gailly & Mark Adler
OriginalFilename
zlib1.dll
ProductName
ProductVersion
1.2.3
Comments
DLL support by Alessandro Iacopetti & Gilles Vollant
VarFileInfo
Translation
防病毒引擎/厂商 病毒名/规则匹配 病毒库日期
Bkav 未发现病毒 20160527
MicroWorld-eScan 未发现病毒 20160527
nProtect 未发现病毒 20160527
CMC 未发现病毒 20160523
CAT-QuickHeal 未发现病毒 20160527
McAfee 未发现病毒 20160528
Malwarebytes 未发现病毒 20160527
VIPRE 未发现病毒 20160527
K7AntiVirus 未发现病毒 20160527
BitDefender 未发现病毒 20160527
K7GW 未发现病毒 20160527
TheHacker 未发现病毒 20160527
Baidu 未发现病毒 20160527
Cyren 未发现病毒 20160527
Symantec 未发现病毒 20160527
TotalDefense 未发现病毒 20160527
TrendMicro-HouseCall 未发现病毒 20160527
Avast 未发现病毒 20160527
ClamAV 未发现病毒 20160527
Kaspersky 未发现病毒 20160527
Alibaba 未发现病毒 20160527
NANO-Antivirus 未发现病毒 20160527
ViRobot 未发现病毒 20160527
SUPERAntiSpyware 未发现病毒 20160527
Tencent 未发现病毒 20160528
Ad-Aware 未发现病毒 20160527
Sophos 未发现病毒 20160527
Comodo 未发现病毒 20160527
F-Secure 未发现病毒 20160527
DrWeb 未发现病毒 20160527
Zillya 未发现病毒 20160527
TrendMicro 未发现病毒 20160527
McAfee-GW-Edition 未发现病毒 20160527
Emsisoft 未发现病毒 20160527
F-Prot 未发现病毒 20160527
Jiangmin 未发现病毒 20160527
Avira 未发现病毒 20160527
Antiy-AVL 未发现病毒 20160527
Kingsoft 未发现病毒 20160528
Microsoft 未发现病毒 20160527
Arcabit 未发现病毒 20160527
AegisLab 未发现病毒 20160527
GData 未发现病毒 20160527
AhnLab-V3 未发现病毒 20160527
ALYac 未发现病毒 20160527
AVware 未发现病毒 20160527
VBA32 未发现病毒 20160527
Panda 未发现病毒 20160527
Zoner 未发现病毒 20160527
ESET-NOD32 未发现病毒 20160527
Rising 未发现病毒 20160527
Yandex 未发现病毒 20160526
Ikarus 未发现病毒 20160527
Fortinet 未发现病毒 20160527
AVG 未发现病毒 20160527
Baidu-International 未发现病毒 20160527
Qihoo-360 未发现病毒 20160528

进程树

rundll32.exe, PID: 1276, 上一级进程 PID: 2152
下载PCAP包

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

源地址 源端口 目标地址 目标端口
192.168.122.70 51435 192.168.122.1 53
192.168.122.70 53391 192.168.122.1 53
192.168.122.70 55256 192.168.122.1 53
192.168.122.70 60614 192.168.122.1 53
192.168.122.70 62263 192.168.122.1 53
192.168.122.70 63780 192.168.122.1 53
192.168.122.70 138 192.168.122.255 138
192.168.122.70 5355 192.168.122.69 53197
192.168.122.70 54531 224.0.0.252 5355
192.168.122.70 57195 239.255.255.250 1900
192.168.122.70 123 40.118.103.7 123

域名解析 (可点击查询WPING实时安全评级)

域名 安全评级 响应
dns.msftncsi.com 未知 A 131.107.255.255
dns.msftncsi.com 未知 AAAA fd3e:4f5a:5b81::1

TCP

无TCP连接纪录.

UDP

源地址 源端口 目标地址 目标端口
192.168.122.70 51435 192.168.122.1 53
192.168.122.70 53391 192.168.122.1 53
192.168.122.70 55256 192.168.122.1 53
192.168.122.70 60614 192.168.122.1 53
192.168.122.70 62263 192.168.122.1 53
192.168.122.70 63780 192.168.122.1 53
192.168.122.70 138 192.168.122.255 138
192.168.122.70 5355 192.168.122.69 53197
192.168.122.70 54531 224.0.0.252 5355
192.168.122.70 57195 239.255.255.250 1900
192.168.122.70 123 40.118.103.7 123

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)		 下载

Processing ( 6.611 seconds )

  • 1.781 VirusTotal
  • 1.757 Static
  • 1.214 peid
  • 0.954 TargetInfo
  • 0.347 BehaviorAnalysis
  • 0.241 NetworkAnalysis
  • 0.187 Debug
  • 0.07 AnalysisInfo
  • 0.031 Strings
  • 0.026 config_decoder
  • 0.002 Dropped
  • 0.001 ProcessMemory

Signatures ( 0.756 seconds )

  • 0.083 infostealer_bitcoin
  • 0.073 antiav_detectreg
  • 0.069 infostealer_ftp
  • 0.061 infostealer_im
  • 0.057 modify_uac_prompt
  • 0.051 vawtrak_behavior
  • 0.039 shifu_behavior
  • 0.037 antiav_detectfile
  • 0.032 virus
  • 0.029 persistence_autorun
  • 0.028 bot_drive2
  • 0.024 reads_self
  • 0.024 antivm_generic_services
  • 0.022 antidbg_devices
  • 0.02 prevents_safeboot
  • 0.016 antivm_vbox_acpi
  • 0.016 antivm_vmware_keys
  • 0.009 infostealer_mail
  • 0.007 antianalysis_detectreg
  • 0.005 browser_security
  • 0.004 tinba_behavior
  • 0.004 antidbg_windows
  • 0.004 antivm_vbox_files
  • 0.004 geodo_banking_trojan
  • 0.004 disables_browser_warn
  • 0.004 network_torgateway
  • 0.003 stealth_timeout
  • 0.003 bot_drive
  • 0.002 betabot_behavior
  • 0.002 kibex_behavior
  • 0.002 modify_proxy
  • 0.002 ransomware_files
  • 0.001 network_tor
  • 0.001 antivm_generic_scsi
  • 0.001 antianalysis_detectfile
  • 0.001 antivm_generic_diskreg
  • 0.001 banker_zeus_mutex
  • 0.001 bot_athenahttp
  • 0.001 bot_madness
  • 0.001 browser_addon
  • 0.001 darkcomet_regkeys
  • 0.001 disables_system_restore
  • 0.001 modify_security_center_warnings
  • 0.001 rat_pcclient
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications

Reporting ( 1088.253 seconds )

  • 1079.882 Malheur
  • 4.534 ReportHTMLSummary
  • 3.837 ReportPDF
Task ID 12755
Mongo ID 5749491b4d3bd00ca56a3735
Cuckoo release 1.4-Maldun