魔盾安全分析报告

分析类型 开始时间 结束时间 持续时间 分析引擎版本
FILE 2020-07-05 22:58:11 2020-07-05 22:58:52 41 秒 1.4-Maldun
虚拟机机器名 标签 虚拟机管理 开机时间 关机时间
win7-sp1-x64-hpdapp01-1 win7-sp1-x64-hpdapp01-1 KVM 2020-07-05 22:58:14 2020-07-05 22:58:53
魔盾分数

1.4

正常的

文件详细信息

文件名 cmd_use_hy.exe
文件大小 15872 字节
文件类型 PE32 executable (console) Intel 80386, for MS Windows
CRC32 954B2F47
MD5 be57f39b14b04426798d6e4104628051
SHA1 32fed5416c0bdb3e9fbea0002a6bc36fc898c26c
SHA256 a242d2c224aa0b87449f128d2a2faa01abc9f83617b896f9f93c662f27b28c68
SHA512 7abc46c71da5003fb37234898eb95aa8ea029bb3f80c2a39f38750dbbb934b796a3b300fde024bb99c285b19b4e0e2120e382c4b0587c654f040e2b7d550a6bf
Ssdeep 192:iQd71GFWnVZJw/34HQLjiZSS8DISIL0CHdbdlRKY4z98y/ghf5nnnnnnM:/d7gmg4H2jOSkL0CHlXcz9yha
PEiD 无匹配
Yara
  • create_process (Detection function for creating a new process)
  • win_token (Affect system token)
  • Maldun_Anomoly_Combined_Activities_7 (Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files)
  • IsPE32 (Detected a 32bit PE sample)
  • IsConsole (Detected a console program sample)
  • HasRichSignature (Detected Rich Signature)
VirusTotal 无此文件扫描结果

特征

魔盾安全Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files

运行截图

无运行截图

网络分析

无信息

静态分析

PE 信息

初始地址 0x00400000
入口地址 0x00401000
声明校验值 0x00000000
实际校验值 0x0000dd74
最低操作系统版本要求 4.0
编译时间 2020-05-01 21:38:03
载入哈希 7230136de673bddc6454fb7f72274109

版本信息

LegalCopyright: \u4f5c\u8005\u7248\u6743\u6240\u6709 \u8bf7\u5c0a\u91cd\u5e76\u4f7f\u7528\u6b63\u7248
FileVersion: 1.0.0.0
Comments: \u672c\u7a0b\u5e8f\u4f7f\u7528\u6613\u8bed\u8a00\u7f16\u5199(http://www.eyuyan.com)
ProductName: \u6613\u8bed\u8a00\u7a0b\u5e8f
ProductVersion: 1.0.0.0
FileDescription: \u6613\u8bed\u8a00\u7a0b\u5e8f
Translation: 0x0804 0x04b0

PE数据组成

名称 虚拟地址 虚拟大小 原始数据大小 特征 熵(Entropy)
.text 0x00001000 0x00002434 0x00002600 IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ 6.05
.rdata 0x00004000 0x0000048e 0x00000600 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 3.85
.data 0x00005000 0x0000cb1c 0x00000a00 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE 5.59
.rsrc 0x00012000 0x00000298 0x00000400 IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ 4.20

导入

库 KERNEL32.dll:
0x40400c - ExitProcess
0x404010 - HeapAlloc
0x404014 - HeapReAlloc
0x404018 - HeapFree
0x40401c - IsBadReadPtr
0x404020 - LocalFree
0x404024 - WideCharToMultiByte
0x404028 - GetModuleHandleA
0x40402c - WriteFile
0x404030 - GetStdHandle
0x404034 - FreeLibrary
0x404038 - GetProcAddress
0x40403c - LoadLibraryA
0x404040 - GetProcessHeap
0x404044 - WTSGetActiveConsoleSessionId
0x404048 - GetCommandLineW
库 WTSAPI32.dll:
0x404098 - WTSQueryUserToken
0x40409c - WTSSendMessageA
库 ADVAPI32.dll:
0x404000 - CreateProcessAsUserA
0x404004 - DuplicateTokenEx
库 USERENV.dll:
0x40408c - CreateEnvironmentBlock
0x404090 - DestroyEnvironmentBlock
库 MSVCRT.dll:
0x404050 - memmove
0x404054 - malloc
0x404058 - _ftol
0x40405c - modf
0x404060 - ??3@YAXPAX@Z
0x404064 - free
0x404068 - sprintf
0x40406c - strchr
0x404070 - atoi
库 USER32.dll:
0x404080 - wsprintfA
0x404084 - MessageBoxA
库 SHELL32.dll:
0x404078 - CommandLineToArgvW

投放文件

无信息

行为分析

互斥量(Mutexes) 无信息
执行的命令 无信息
创建的服务 无信息
启动的服务 无信息

进程

cmd_use_hy.exe PID: 2704, 上一级进程 PID: 2340

访问的文件 无信息
读取的文件 无信息
修改的文件 无信息
删除的文件 无信息
注册表键
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
读取的注册表键
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
修改的注册表键 无信息
删除的注册表键 无信息
API解析 无信息