分析类型 | 虚拟机标签 | 开始时间 | 结束时间 | 持续时间 |
---|---|---|---|---|
文件 (Windows) | win7-sp1-x64-hpdapp01-1 | 2019-06-20 01:33:18 | 2019-06-20 01:36:00 | 162 秒 |
文件名 | csrss.exe |
---|---|
文件大小 | 13496320 字节 |
文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
MD5 | 88fa9aa47df560876c435648451025d1 |
SHA1 | eb4b57f4e112937950389d968089a758fffb237d |
SHA256 | 44a1b2ce4d39aec271f8e750b7eed2c9cad88549ab6d2e5399514b37bf7c731f |
SHA512 | 8419030d618fa72389709f173bffa718fb32398999c0001aee67d69de0370c16e425b26d80a32e2000b498781780b6fb64f45a184d2d66e369e177b96a03f763 |
CRC32 | 58DF65CF |
Ssdeep | 196608:xk3hGpOJ2k3+FZ4DQH5alQ+3qgZ0YYbFDvViNB:0hGA4UU5D+3qgvYbFgNB |
Yara | 登录查看Yara规则 |
样本下载 提交误报 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
是 | 123.57.142.8 | 中国 | |
否 | 14.215.158.24 | 中国 | |
否 | 183.3.226.29 | 中国 |
域名 | 安全评级 | 响应 |
---|---|---|
jq.qq.com | A 14.215.158.24 | |
qm.qq.com | A 183.3.226.29 |
初始地址 | 0x00400000 |
---|---|
入口地址 | 0x00496f98 |
声明校验值 | 0x00000000 |
最低操作系统版本要求 | 4.0 |
编译时间 | 2019-06-17 23:46:53 |
载入哈希 | 25643c902d7efbe182378c325743e581 |
LegalCopyright | |
---|---|
FileVersion | |
CompanyName | |
Comments | |
ProductName | |
ProductVersion | |
FileDescription | |
Translation |
名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
---|---|---|---|---|---|
.text | 0x00001000 | 0x000b642a | 0x000b7000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 6.57 |
.rdata | 0x000b8000 | 0x00ba5a22 | 0x00ba6000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 7.28 |
.data | 0x00c5e000 | 0x00060b2a | 0x0001c000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 5.40 |
.rsrc | 0x00cbf000 | 0x00064b64 | 0x00065000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 5.21 |
直接 | IP | 安全评级 | 地理位置 |
---|---|---|---|
是 | 123.57.142.8 | 中国 | |
否 | 14.215.158.24 | 中国 | |
否 | 183.3.226.29 | 中国 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49162 | 123.57.142.8 | 16688 |
192.168.122.201 | 49164 | 14.215.158.24 jq.qq.com | 443 |
192.168.122.201 | 49165 | 183.3.226.29 qm.qq.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 61698 | 192.168.122.1 | 53 |
192.168.122.201 | 62233 | 192.168.122.1 | 53 |
域名 | 安全评级 | 响应 |
---|---|---|
jq.qq.com | A 14.215.158.24 | |
qm.qq.com | A 183.3.226.29 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 49162 | 123.57.142.8 | 16688 |
192.168.122.201 | 49164 | 14.215.158.24 jq.qq.com | 443 |
192.168.122.201 | 49165 | 183.3.226.29 qm.qq.com | 80 |
源地址 | 源端口 | 目标地址 | 目标端口 |
---|---|---|---|
192.168.122.201 | 61698 | 192.168.122.1 | 53 |
192.168.122.201 | 62233 | 192.168.122.1 | 53 |
URI | HTTP数据 |
---|---|
URL专业沙箱检测 -> http://qm.qq.com/cgi-bin/qm/qr?k=zc0Z7gQP6CTy_LEug6Zn5cnP-Vx_Tbwf&authKey=p8U57s%2F6cl2KKPh1r8EcyACOlmPky1Xi7Ou75%2B2gT2iwPT54vtszwEeCZeEHOT0i&group_code=853395455 | GET /cgi-bin/qm/qr?k=zc0Z7gQP6CTy_LEug6Zn5cnP-Vx_Tbwf&authKey=p8U57s%2F6cl2KKPh1r8EcyACOlmPky1Xi7Ou75%2B2gT2iwPT54vtszwEeCZeEHOT0i&group_code=853395455 HTTP/1.1 Accept: */* Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E) Accept-Encoding: gzip, deflate Host: qm.qq.com Connection: Keep-Alive |
无SMTP流量.
无IRC请求.
无ICMP流量.
无 CIF 结果
无警报
Timestamp | Source IP | Source Port | Destination IP | Destination Port | Version | Issuer | Subject | Fingerprint |
---|---|---|---|---|---|---|---|---|
2019-06-20 01:34:30.534976+0800 | 192.168.122.201 | 49164 | 14.215.158.24 | 443 | TLS 1.2 | C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA - SHA256 - G2 | C=CN, ST=guangdong, L=shenzhen, O=Shenzhen Tencent Computer Systems Company Limited, CN=*.jq.qq.com | 55:6b:a2:e9:3f:b6:bb:36:19:20:72:e0:9b:90:50:04:ac:09:27:8b |
No Suricata HTTP
HTML 总结报告 (需15-60分钟同步) |
下载 |
---|
Task ID | 312242 |
---|---|
Mongo ID | 5d0a73022f8f2e424f5e2a39 |
Cuckoo release | 1.4-Maldun |