分析任务

分析类型 虚拟机标签 开始时间 结束时间 持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2019-04-21 17:42:06 2019-04-21 17:44:25 139 秒

魔盾分数

5.75

可疑的

文件详细信息

文件名 小咖过实名验证.exe
文件大小 536200 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
MD5 e7532e18702e49d2f299fac8bfb105e1
SHA1 dea455814c2c8a30cfd0aaa8aa652c6f2e16b87b
SHA256 024a6bb660605e10345ea9d96e1ffc227fd7c293a16a009bca49c7dd522368f9
SHA512 e91bf8ce30d0aaa100059f593fa5d27c302c01ef4bffab50f8c6aea25a587ffd1b3954c0398a068267ecddb3b545cb41fd54b66802aff27455f4e55cf6ceb238
CRC32 F3DC78AC
Ssdeep 12288:cHBhNwfdcaOgfeXVM29R7w7CwlGk7Zl6mfX:5dlkVMB7lGk7j6mP
Yara
  • Detected 32bit PE signature
  • Detected Console program signature
  • Detected Entropy signature
  • Detected Overlay signature
  • Detected Digital Signature
  • Detected Rich Signature
  • Create a new process
  • Detected take screenshot function
  • Run a keylogger
  • Affect system registries
  • Change registries to affect system
  • Affect private profile
  • Affect private profile
  • Affect hook table
  • Detects malicious behaviors from a small size app
  • Detected no presence of any attachment
  • Detected no presence of any image
  • Detected the presence of an or several urls
样本下载 提交漏报

特征低危险等级 中危险等级 高危险等级

二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.93, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0007b000, virtual_size: 0x0007ade6
魔盾安全Yara规则检测结果 - 安全告警
Informational: Detected Entropy signature
Informational: Detected Overlay signature
Informational: Detected Rich Signature
Warning: Create a new process
Warning: Detected take screenshot function
Warning: Run a keylogger
Warning: Affect system registries
Warning: Affect private profile
Warning: Affect hook table
Critical: Detects malicious behaviors from a small size app
Informational: Detected no presence of any attachment
Informational: Detected no presence of any image
Informational: Detected the presence of an or several urls
可执行文件可能使用VMProtect打包
section: {u'name': u'.vmp0', u'characteristics': u'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ', u'virtual_address': u'0x00141000', u'size_of_data': u'0x00000000', u'entropy': u'0.00', u'virtual_size': u'0x0000302c', u'characteristics_raw': u'0x60000060'}
重置WinSock配置
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xeb\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xe9\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
data: unknown
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f \x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf0\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xea\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
data: C:\Windows\system32\ESPI11.dll
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
data: C:\Windows\system32\ESPI11.dll\x00ll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 &\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf2\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x003\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f \x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf0\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 &\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xe0\xa9`\x9dz3\xd0\x11\xbd\x88\x00\x00\xc0\x82\xe6\x9a\xf2\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00q\x00o\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x003\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xeb\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x06\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xea\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x02\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf7\xff\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00
key: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
data: %SystemRoot%\system32\mswsock.dll\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00f\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\xe9\x03\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00s\x00h\x00t\x00c\x00p\x00i\x00p\x00.\x00d\x00l\x00l\x00,\x00-\x006\x000\x001\x000\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00

运行截图


访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.


摘要

C:\
C:\Users\test\AppData\Local\Temp\xiaoka.dll
C:\Windows\System32\ESPI11.dll
C:\Windows\System32\mswsock.dll
C:\Users\test\AppData\Local\Temp\user32.dll
C:\Users\test\AppData\Local\Temp
C:\Users
C:\Users\test
C:\Users\test\AppData
C:\Users\test\AppData\Local
C:\Windows\System32\ESPI11.dll
C:\Users\test\AppData\Local\Temp\xiaoka.dll
C:\Windows\System32\mswsock.dll
C:\Users\test\AppData\Local\Temp\xiaoka.dll
C:\Windows\System32\ESPI11.dll
C:\Users\test\AppData\Local\Temp\xiaoka.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\xiaoka.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DisableUNCCheck
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\EnableExtensions
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DelayedExpansion
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DefaultColor
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\CompletionChar
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\PathCompletionChar
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language Groups
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting\WMR
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR\Disable
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\UseFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions\xiaoka.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DisableUNCCheck
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\EnableExtensions
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DelayedExpansion
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\DefaultColor
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\CompletionChar
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\PathCompletionChar
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor\AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Locale\00000804
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language Groups\a
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\Windows Error Reporting\WMR\Disable
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1008
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\1010
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010\PackedCatalogItem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\WinSock2\ESPI11\FileName
kernel32.dll.IsProcessorFeaturePresent
cryptbase.dll.SystemFunction036
d3d9.dll.Direct3DCreate9
xiaoka.dll.SetPara
xiaoka.dll.GetNPMVersion
espi11.dll.SetPara
mswsock.dll.WSPStartup
user32.dll.FindWindowA
kernel32.dll.SetThreadUILanguage
kernel32.dll.CopyFileExW
kernel32.dll.IsDebuggerPresent
kernel32.dll.SetConsoleInputExeNameW
cmd /c title \xe5\xb0\x8f\xe5\x92\x96
ESPI_GMEM_MUTEX 1.0

PE 信息

初始地址 0x00400000
入口地址 0x005b3b90
声明校验值 0x00090244
实际校验值 0x00090244
最低操作系统版本要求 4.0
编译时间 2019-04-21 17:16:44
载入哈希 a6ae79bd1da5f27167c8b68ae13b7019

微软证书验证 (Sign Tool)

SHA1 时间戳 有效性 错误
4578a676090fe6d9306d1dd9b67a1aa17f810abc Sun Apr 21 17:19:25 2019
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
证书链 Certificate Chain 1
发行给
发行人
有效期 Wed Jan 01 000000 2025
SHA1 哈希 ca0e4c35fbec225c5eab16b0e853d1d23206884d
证书链 Timestamp Chain 1
发行给 Thawte Timestamping CA
发行人 Thawte Timestamping CA
有效期 Fri Jan 01 075959 2021
SHA1 哈希 be36a4562fb2ee05dbb3d32323adf445084ed656
证书链 Timestamp Chain 2
发行给 Symantec Time Stamping Services CA - G2
发行人 Thawte Timestamping CA
有效期 Thu Dec 31 075959 2020
SHA1 哈希 6c07453ffdda08b83707c09b82fb3d15f35336b1
证书链 Timestamp Chain 3
发行给 Symantec Time Stamping Services Signer - G4
发行人 Symantec Time Stamping Services CA - G2
有效期 Wed Dec 30 075959 2020
SHA1 哈希 65439929b67973eb192d6ff243e6767adf0834e4

PE 数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x0009798e 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.rdata 0x00099000 0x0003ef5c 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 0.00
.data 0x000d8000 0x0005f9ca 0x00000000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 0.00
.rsrc 0x00138000 0x000087c0 0x00005000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.81
.vmp0 0x00141000 0x0000302c 0x00000000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 0.00
.vmp1 0x00145000 0x0007ade6 0x0007b000 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 7.93
.reloc 0x001c0000 0x00000030 0x00001000 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ 0.10

资源

名称 偏移量 大小 语言 子语言 熵(Entropy) 文件类型
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_BITMAP 0x0013e8e4 0x00000144 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_MENU 0x0013ea34 0x00000284 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_MENU 0x0013ea34 0x00000284 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_DIALOG 0x0013fc7c 0x0000018c LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_STRING 0x001406c4 0x00000024 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x00140710 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x00140710 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None
RT_GROUP_CURSOR 0x00140710 0x00000022 LANG_CHINESE SUBLANG_CHINESE_SIMPLIFIED 0.00 None

导入

库: WINMM.dll:
0x548ce1 midiStreamOut
0x548ce9 midiStreamProperty
0x548ced midiStreamOpen
0x548cfd waveOutWrite
0x548d01 waveOutPause
0x548d05 waveOutReset
0x548d09 waveOutClose
0x548d0d waveOutGetNumDevs
0x548d11 midiStreamStop
0x548d15 midiOutReset
0x548d19 midiStreamClose
0x548d1d midiStreamRestart
0x548d21 waveOutOpen
库: WS2_32.dll:
0x548d29 htons
0x548d2d WSAAsyncSelect
0x548d31 closesocket
0x548d35 send
0x548d39 select
0x548d3d WSAStartup
0x548d41 inet_ntoa
0x548d45 recvfrom
0x548d49 ioctlsocket
0x548d4d recv
0x548d51 getpeername
0x548d55 accept
0x548d59 ntohs
0x548d5d WSACleanup
库: RASAPI32.dll:
0x548d69 RasHangUpA
库: KERNEL32.dll:
0x548d71 UnmapViewOfFile
0x548d75 MapViewOfFile
0x548d79 CreateFileMappingA
0x548d81 GetCurrentProcess
0x548d85 MultiByteToWideChar
0x548d89 WideCharToMultiByte
0x548d8d Process32Next
0x548d91 Process32First
0x548d99 SetFilePointer
0x548d9d GetFileSize
0x548da1 TerminateProcess
0x548da5 OpenProcess
0x548da9 SetLastError
0x548dad OpenFileMappingA
0x548db5 GetVersion
0x548dc5 GetSystemInfo
0x548dcd lstrcmpiA
0x548dd1 RtlUnwind
0x548dd5 GetStartupInfoA
0x548dd9 GetOEMCP
0x548ddd GetCPInfo
0x548de1 GetProcessVersion
0x548de5 SetErrorMode
0x548de9 GlobalFlags
0x548ded GetCurrentThread
0x548df1 GetFileTime
0x548df5 TlsGetValue
0x548df9 LocalReAlloc
0x548dfd TlsSetValue
0x548e01 TlsFree
0x548e05 GlobalHandle
0x548e09 TlsAlloc
0x548e0d LocalAlloc
0x548e11 lstrcmpA
0x548e15 GlobalGetAtomNameA
0x548e19 GlobalAddAtomA
0x548e1d GlobalFindAtomA
0x548e21 GlobalDeleteAtom
0x548e25 SetEndOfFile
0x548e29 UnlockFile
0x548e2d LockFile
0x548e31 FlushFileBuffers
0x548e35 DuplicateHandle
0x548e39 lstrcpynA
0x548e41 LocalFree
0x548e45 ReleaseMutex
0x548e49 GetSystemDirectoryA
0x548e4d CreateSemaphoreA
0x548e51 ResumeThread
0x548e55 ReleaseSemaphore
0x548e61 GetProfileStringA
0x548e65 WriteFile
0x548e69 ReadFile
0x548e71 CreateFileA
0x548e75 SetEvent
0x548e79 FindResourceA
0x548e7d LoadResource
0x548e81 LockResource
0x548e85 GetModuleFileNameA
0x548e89 GetCurrentThreadId
0x548e8d ExitProcess
0x548e91 GlobalSize
0x548e95 GlobalFree
0x548ea1 lstrcatA
0x548ea5 lstrlenA
0x548ea9 WinExec
0x548ead lstrcpyA
0x548eb1 FindNextFileA
0x548eb5 GlobalReAlloc
0x548eb9 HeapFree
0x548ebd HeapReAlloc
0x548ec1 GetProcessHeap
0x548ec5 HeapAlloc
0x548ec9 GetFullPathNameA
0x548ecd FreeLibrary
0x548ed1 LoadLibraryA
0x548ed5 GetLastError
0x548ed9 GetVersionExA
0x548ee1 CreateThread
0x548ee5 CreateEventA
0x548ee9 Sleep
0x548ef1 GlobalAlloc
0x548ef5 GlobalLock
0x548ef9 GlobalUnlock
0x548efd GetTempPathA
0x548f01 FindFirstFileA
0x548f05 FindClose
0x548f09 InterlockedExchange
0x548f0d GetFileAttributesA
0x548f11 DeleteFileA
0x548f15 CopyFileA
0x548f21 GetModuleHandleA
0x548f25 GetProcAddress
0x548f29 MulDiv
0x548f2d GetCommandLineA
0x548f31 GetTickCount
0x548f35 CreateProcessA
0x548f39 WaitForSingleObject
0x548f3d CloseHandle
0x548f41 GetSystemTime
0x548f45 GetLocalTime
0x548f49 RaiseException
0x548f4d HeapSize
0x548f51 GetACP
0x548f55 SetStdHandle
0x548f59 GetFileType
0x548f71 SetHandleCount
0x548f75 GetStdHandle
0x548f7d HeapDestroy
0x548f81 HeapCreate
0x548f85 VirtualFree
0x548f8d LCMapStringA
0x548f91 LCMapStringW
0x548f95 VirtualAlloc
0x548f99 IsBadWritePtr
0x548fa1 GetStringTypeA
0x548fa5 GetStringTypeW
0x548fa9 CompareStringA
0x548fad CompareStringW
0x548fb1 IsBadReadPtr
0x548fb5 IsBadCodePtr
库: USER32.dll:
0x548fbd SetTimer
0x548fc1 KillTimer
0x548fc5 WinHelpA
0x548fc9 LoadBitmapA
0x548fcd CopyRect
0x548fd5 ScreenToClient
0x548fd9 GetMessagePos
0x548fdd SetWindowRgn
0x548fe5 GetWindow
0x548fe9 ReleaseCapture
0x548fed GetCapture
0x548ff1 SetCapture
0x548ff5 GetScrollRange
0x548ff9 SetScrollRange
0x548ffd SetScrollPos
0x549001 SetRect
0x549005 InflateRect
0x549009 GetActiveWindow
0x54900d SetFocus
0x549011 IsIconic
0x549015 PeekMessageA
0x549019 SetMenu
0x54901d GetMenu
0x549021 DeleteMenu
0x549025 GetSystemMenu
0x549029 DefWindowProcA
0x54902d GetClassInfoA
0x549031 IsZoomed
0x549035 PostQuitMessage
0x54903d GetKeyState
0x549045 IsWindowEnabled
0x549049 ShowWindow
0x549051 LoadImageA
0x549059 ClientToScreen
0x54905d EnableMenuItem
0x549061 IntersectRect
0x549065 DestroyIcon
0x549069 PtInRect
0x54906d OffsetRect
0x549071 IsWindowVisible
0x549075 EnableWindow
0x549079 RedrawWindow
0x54907d GetWindowLongA
0x549081 SetWindowLongA
0x549085 GetSysColor
0x549089 GetSubMenu
0x54908d SetCursorPos
0x549091 LoadCursorA
0x549095 GetSysColorBrush
0x549099 LoadStringA
0x5490a1 GetMenuState
0x5490a5 SetMenuItemBitmaps
0x5490a9 CheckMenuItem
0x5490ad MoveWindow
0x5490b1 IsDialogMessageA
0x5490b5 ScrollWindowEx
0x5490b9 SendDlgItemMessageA
0x5490bd MapWindowPoints
0x5490c1 AdjustWindowRectEx
0x5490c5 GetScrollPos
0x5490c9 RegisterClassA
0x5490cd GetMenuItemCount
0x5490d1 GetMenuItemID
0x5490d5 CreateWindowExA
0x5490d9 SetWindowsHookExA
0x5490dd CallNextHookEx
0x5490e1 GetClassLongA
0x5490e5 SetPropA
0x5490e9 UnhookWindowsHookEx
0x5490ed GetPropA
0x5490f1 SetCursor
0x5490f5 GetDC
0x5490f9 FillRect
0x5490fd IsRectEmpty
0x549101 ReleaseDC
0x549105 IsChild
0x549109 DestroyMenu
0x54910d SetForegroundWindow
0x549111 GetWindowRect
0x549115 EqualRect
0x549119 UpdateWindow
0x54911d ValidateRect
0x549121 InvalidateRect
0x549125 GetClientRect
0x549129 GetFocus
0x54912d GetParent
0x549131 GetTopWindow
0x549135 PostMessageA
0x549139 IsWindow
0x54913d SetParent
0x549141 DestroyCursor
0x549145 SendMessageA
0x549149 SetWindowPos
0x54914d MessageBoxA
0x549151 GetCursorPos
0x549155 GetSystemMetrics
0x549159 EmptyClipboard
0x54915d SetClipboardData
0x549161 OpenClipboard
0x549165 GetClipboardData
0x549169 CloseClipboard
0x54916d wsprintfA
0x549171 WaitForInputIdle
0x549175 GetDlgCtrlID
0x54917d CreateMenu
0x549181 ModifyMenuA
0x549185 AppendMenuA
0x549189 CreatePopupMenu
0x54918d DrawIconEx
0x54919d SetRectEmpty
0x5491a1 DispatchMessageA
0x5491a5 GetMessageA
0x5491a9 WindowFromPoint
0x5491ad DrawFocusRect
0x5491b1 DrawEdge
0x5491b5 DrawFrameControl
0x5491b9 TranslateMessage
0x5491bd GetForegroundWindow
0x5491c1 UnregisterClassA
0x5491c5 GetDesktopWindow
0x5491c9 GetClassNameA
0x5491d1 FindWindowA
0x5491d5 GetDlgItem
0x5491d9 GetWindowTextA
0x5491dd SetWindowTextA
0x5491e1 SetActiveWindow
0x5491e5 LoadIconA
0x5491ed CharUpperA
0x5491f1 GetWindowDC
0x5491f5 BeginPaint
0x5491f9 EndPaint
0x5491fd TabbedTextOutA
0x549201 DrawTextA
0x549205 GrayStringA
0x549209 DestroyWindow
0x549211 EndDialog
0x549215 GetNextDlgTabItem
0x549219 GetWindowPlacement
0x549221 GetLastActivePopup
0x549225 GetMessageTime
0x549229 RemovePropA
0x54922d CallWindowProcA
库: GDI32.dll:
0x549235 Escape
0x549239 ExtTextOutA
0x54923d TextOutA
0x549241 RectVisible
0x549245 PtVisible
0x549249 GetViewportExtEx
0x54924d ExtSelectClipRgn
0x549251 RoundRect
0x549259 GetDeviceCaps
0x54925d EndPath
0x549261 BeginPath
0x549265 GetWindowOrgEx
0x549269 GetViewportOrgEx
0x54926d GetWindowExtEx
0x549271 GetDIBits
0x549275 RealizePalette
0x549279 GetTextMetricsA
0x54927d StretchBlt
0x549281 CreatePalette
0x549289 CreateDIBitmap
0x54928d DeleteObject
0x549291 SelectClipRgn
0x549295 CreatePolygonRgn
0x549299 GetClipRgn
0x54929d SetStretchBltMode
0x5492a5 SetBkColor
0x5492a9 LineTo
0x5492ad MoveToEx
0x5492b1 ExcludeClipRect
0x5492b5 GetClipBox
0x5492b9 ScaleWindowExtEx
0x5492bd SetWindowExtEx
0x5492c1 SetWindowOrgEx
0x5492c5 ScaleViewportExtEx
0x5492c9 SetViewportExtEx
0x5492cd GetCurrentObject
0x5492d1 DPtoLP
0x5492d5 LPtoDP
0x5492d9 Rectangle
0x5492dd Ellipse
0x5492e1 CreateCompatibleDC
0x5492e5 BitBlt
0x5492e9 StartPage
0x5492ed StartDocA
0x5492f1 DeleteDC
0x5492f5 EndDoc
0x5492f9 EndPage
0x5492fd CreateFontIndirectA
0x549301 GetStockObject
0x549305 CreateSolidBrush
0x549309 FillRgn
0x54930d CreateRectRgn
0x549311 CombineRgn
0x549315 PatBlt
0x549319 CreatePen
0x54931d GetObjectA
0x549321 SelectObject
0x549325 CreateBitmap
0x549329 OffsetViewportOrgEx
0x54932d SetViewportOrgEx
0x549331 SetMapMode
0x549335 SetTextColor
0x549339 SetROP2
0x54933d SetPolyFillMode
0x549341 SetBkMode
0x549345 RestoreDC
0x549349 CreateDCA
0x549351 GetPolyFillMode
0x549355 GetStretchBltMode
0x549359 GetROP2
0x54935d GetBkColor
0x549361 GetBkMode
0x549365 GetTextColor
0x549369 CreateRoundRectRgn
0x54936d CreateEllipticRgn
0x549371 SelectPalette
0x549375 SaveDC
0x549379 PathToRegion
库: WINSPOOL.DRV:
0x549381 OpenPrinterA
0x549385 DocumentPropertiesA
0x549389 ClosePrinter
库: ADVAPI32.dll:
0x549391 RegQueryValueExA
0x549395 RegOpenKeyExA
0x549399 RegSetValueExA
0x54939d RegDeleteValueA
0x5493a1 RegDeleteKeyA
0x5493a5 RegQueryValueA
0x5493a9 RegCreateKeyExA
0x5493ad RegEnumKeyA
0x5493b1 RegCloseKey
0x5493bd RegOpenKeyA
库: SHELL32.dll:
0x5493c5 Shell_NotifyIconA
0x5493c9 ShellExecuteA
库: ole32.dll:
0x5493d5 CLSIDFromString
0x5493d9 OleUninitialize
0x5493dd OleInitialize
库: OLEAUT32.dll:
0x5493e5 LoadTypeLib
0x5493e9 RegisterTypeLib
0x5493ed UnRegisterTypeLib
库: COMCTL32.dll:
0x5493f5 None
0x5493f9 ImageList_Destroy
库: WININET.dll:
0x549401 InternetCloseHandle
库: comdlg32.dll:
0x549409 ChooseColorA
0x54940d GetOpenFileNameA
0x549411 GetFileTitleA
0x549415 GetSaveFileNameA
库: KERNEL32.dll:
0x54941d VirtualProtect
0x549421 GetModuleFileNameA
0x549425 ExitProcess
库: USER32.dll:
0x54942d MessageBoxA

.text
`.rdata
@.data
.rsrc
@.vmp0
`.vmp1
.reloc
wwwwwwwwwwwwwwww
wwwwwwwwwwww
wwwwwwww
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"><assemblyIdentity name="E.App" processorArchitecture="x86" version="5.2.0.0" type="win32"/><dependency><dependentAssembly><assemblyIdentity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="x86" publicKeyToken="6595b64144ccf1df" language="*" /></dependentAssembly></dependency></assembly>
CopyFileA
GetStdHandle
SetMapMode
GetClassNameA
InterlockedExchange
WaitForSingleObject
CreateCompatibleBitmap
SetWindowLongA
midiStreamOut
GetProcessHeap
GetProfileStringA
GetKeyState
it's infected by a Virus or cracked. This file won't work anymore.
midiStreamRestart
midiOutPrepareHeader
HeapSize
GetTextExtentPoint32A
TlsSetValue
OleUninitialize
CharUpperA
waveOutClose
GetVolumeInformationA
DrawEdge
GetOpenFileNameA
waveOutPrepareHeader
SHGetSpecialFolderPathA
OpenProcess
EnableMenuItem
EndPage
COMCTL32.dll
GetViewportOrgEx
OffsetRect
GetSubMenu
GetTimeZoneInformation
GetCapture
GetLocalTime
SystemParametersInfoA
GetSysColor
CreateDialogIndirectParamA
SetCursor
RegOpenKeyExA
GetScrollPos
GetStretchBltMode
FileTimeToSystemTime
GetWindowPlacement
DispatchMessageA
SetTextColor
GetMessageTime
DestroyWindow
lstrcmpA
SendMessageA
GlobalLock
SetWindowExtEx
SetUnhandledExceptionFilter
GetWindowExtEx
DestroyAcceleratorTable
DuplicateHandle
SetViewportOrgEx
FileTimeToLocalFileTime
BitBlt
SetStretchBltMode
CreateThread
GetMessagePos
CreateRoundRectRgn
GetMenuItemCount
LCMapStringW
ClientToScreen
OpenClipboard
ValidateRect
GetClassInfoA
SetScrollPos
RegSetValueExA
CallNextHookEx
ScrollWindowEx
GlobalFindAtomA
GetVersionExA
GetLastError
ReleaseCapture
SetFilePointer
GetSystemMetrics
CloseClipboard
waveOutPause
IsDialogMessageA
SetScrollRange
GetSystemInfo
ShellExecuteA
DestroyIcon
ADVAPI32.dll
FillRect
GetScrollRange
GetTopWindow
SetHandleCount
FreeEnvironmentStringsW
GetWindowTextA
GetFocus
GetMenuItemID
PatBlt
IsChild
UnhandledExceptionFilter
IsZoomed
RasHangUpA
GlobalGetAtomNameA
SetTimer
InflateRect
LockFile
CreateAcceleratorTableA
CreateIconFromResource
EnumDisplaySettingsA
GetWindowRect
EmptyClipboard
WaitForMultipleObjects
waveOutUnprepareHeader
GetCursorPos
TranslateAcceleratorA
CompareStringW
GetMessageA
EndPath
UnmapViewOfFile
HeapCreate
GlobalFlags
FlushFileBuffers
DeleteObject
LoadCursorA
EndDialog
GetPolyFillMode
Process32Next
ShowWindow
AdjustWindowRectEx
InterlockedDecrement
EnableWindow
GetWindowTextLengthA
GetTextColor
RegisterClipboardFormatA
DrawFocusRect
HeapReAlloc
GetVersion
RegisterWindowMessageA
GetDesktopWindow
GDI32.dll
BeginPaint
LoadIconA
SelectClipRgn
midiStreamProperty
ScaleViewportExtEx
FreeLibrary
SetWindowsHookExA
GetStockObject
CheckMenuItem
RestoreDC
GetSystemPaletteEntries
MoveToEx
GetMenuCheckMarkDimensions
LocalFree
TabbedTextOutA
IsWindowVisible
IsIconic
CloseHandle
ReleaseMutex
GetDC
SetViewportExtEx
ImageList_Destroy
GetCurrentProcess
GetACP
RegDeleteKeyA
BeginPath
UnlockFile
Escape
midiStreamClose
midiOutReset
LineTo
GetClassLongA
DeleteDC
GetROP2
lstrlenA
OpenPrinterA
CreatePalette
GetWindowsDirectoryA
MapViewOfFile
Rectangle
SetCapture
comdlg32.dll
GetEnvironmentStrings
CLSIDFromString
CreateSolidBrush
GetModuleFileNameA
GetClipRgn
GetWindowThreadProcessId
RemovePropA
waveOutWrite
OleInitialize
GetWindowOrgEx
CreateDIBitmap
CreateWindowExA
GlobalFree
UpdateWindow
GetTempPathA
GetMenuState
SetRectEmpty
DestroyMenu
EndPaint
WritePrivateProfileStringA
GetBkMode
CreateFileMappingA
RectVisible
CopyRect
SetBkColor
GetStartupInfoA
EndDoc
Sleep
WindowFromPoint
VirtualProtect
IsBadWritePtr
PtInRect
CreateRectRgn
GetOEMCP
IsBadCodePtr
GetCPInfo
waveOutGetNumDevs
SendDlgItemMessageA
RegQueryValueExA
SaveDC
SetWindowOrgEx
HeapFree
CreatePen
MultiByteToWideChar
WriteFile
DestroyCursor
waveOutOpen
GetEnvironmentStringsW
WaitForInputIdle
ClosePrinter
midiStreamStop
SetBkMode
CreatePopupMenu
SetStdHandle
StartPage
FillRgn
RegisterClassA
InitializeSecurityDescriptor
GlobalSize
KillTimer
VirtualFree
GetStringTypeW
GetSystemDirectoryA
SetClipboardData
StartDocA
SetErrorMode
GetStringTypeA
SetEndOfFile
CreateEllipticRgn
EnterCriticalSection
RegQueryValueA
midiStreamOpen
<YuiK%XnX}
MoveWindow
CreateCompatibleDC
DeleteFileA
RegCreateKeyExA
CreatePolygonRgn
CreateToolhelp32Snapshot
GetCurrentThread
GetEnvironmentVariableA
GetTickCount
ModifyMenuA
IsBadReadPtr
PostQuitMessage
TlsFree
LockResource
PtVisible
ReadFile
.zA91
OpenFileMappingA
DeleteMenu
FindFirstFileA
SetEnvironmentVariableA
SetCursorPos
SetActiveWindow
DEFAULT_ICON
没有防病毒引擎扫描信息!

进程树


_____________________.exe, PID: 2668, 上一级进程 PID: 2296
cmd.exe, PID: 2768, 上一级进程 PID: 2668

访问主机纪录 (可点击查询WPING实时安全评级)

无主机纪录.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

域名解析 (可点击查询WPING实时安全评级)

无域名信息.

TCP

无TCP连接纪录.

UDP

无UDP连接纪录.

HTTP 请求

未发现HTTP请求.

SMTP 流量

无SMTP流量.

IRC 流量

无IRC请求.

ICMP 流量

无ICMP流量.

CIF 报告

无 CIF 结果

网络警报

无警报

TLS

No TLS

Suricata HTTP

No Suricata HTTP

未发现网络提取文件
抱歉! 没有任何文件投放。
没有发现相似的分析.
HTML 总结报告
(需15-60分钟同步)
下载

Processing ( 24.142 seconds )

  • 15.466 Suricata
  • 3.577 Static
  • 3.04 VirusTotal
  • 0.978 TargetInfo
  • 0.568 peid
  • 0.342 NetworkAnalysis
  • 0.098 BehaviorAnalysis
  • 0.054 AnalysisInfo
  • 0.014 Strings
  • 0.003 Memory
  • 0.002 config_decoder

Signatures ( 0.508 seconds )

  • 0.325 md_bad_drop
  • 0.025 antiav_detectreg
  • 0.019 md_domain_bl
  • 0.019 md_url_bl
  • 0.01 infostealer_ftp
  • 0.008 anomaly_persistence_autorun
  • 0.008 antiav_detectfile
  • 0.007 ransomware_extensions
  • 0.007 ransomware_files
  • 0.006 infostealer_im
  • 0.005 antianalysis_detectreg
  • 0.005 infostealer_bitcoin
  • 0.004 api_spamming
  • 0.004 stealth_timeout
  • 0.004 disables_browser_warn
  • 0.004 infostealer_mail
  • 0.003 tinba_behavior
  • 0.003 stealth_decoy_document
  • 0.003 antivm_vbox_files
  • 0.003 geodo_banking_trojan
  • 0.002 rat_nanocore
  • 0.002 cerber_behavior
  • 0.002 browser_security
  • 0.002 modify_proxy
  • 0.001 network_tor
  • 0.001 mimics_filetime
  • 0.001 injection_createremotethread
  • 0.001 sets_autoconfig_url
  • 0.001 betabot_behavior
  • 0.001 ursnif_behavior
  • 0.001 kibex_behavior
  • 0.001 shifu_behavior
  • 0.001 virus
  • 0.001 antianalysis_detectfile
  • 0.001 antidbg_devices
  • 0.001 antivm_generic_diskreg
  • 0.001 antivm_parallels_keys
  • 0.001 antivm_xen_keys
  • 0.001 banker_zeus_mutex
  • 0.001 bot_drive
  • 0.001 bot_drive2
  • 0.001 browser_addon
  • 0.001 disables_system_restore
  • 0.001 disables_windows_defender
  • 0.001 malicious_drop_executable_file_to_temp_folder
  • 0.001 office_security
  • 0.001 rat_spynet
  • 0.001 recon_fingerprint
  • 0.001 stealth_hiddenreg
  • 0.001 stealth_hide_notifications
  • 0.001 stealth_modify_uac_prompt
  • 0.001 stealth_modify_security_center_warnings

Reporting ( 1.052 seconds )

  • 0.842 ReportHTMLSummary
  • 0.21 Malheur
Task ID 280638
Mongo ID 5cbc3b982f8f2e0443a9c67e
Cuckoo release 1.4-Maldun