魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2020-10-27 17:15:44 | 2020-10-27 17:15:45 | 1 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2020-10-27 17:15:45 | 2020-10-27 17:15:45 |
| 魔盾分数 |
|---|
1.4正常的 |
文件详细信息
| 文件名 | 7e46552392ed439204a0755a9dcf9d44a2470dee05e0f082da3b4b2e1cf6d1b3版本.exe |
|---|---|
| 文件大小 | 9157695 字节 |
| 文件类型 | PE32 executable (GUI) Intel 80386, for MS Windows |
| CRC32 | 0E0EA836 |
| MD5 | b69cd0eea5d01112722f06b599d33acd |
| SHA1 | 15d532a06b14ca69329ff847087ff4855c420821 |
| SHA256 | e09c9966cfe8a4f943a90b5b7556cd156060694216fdce60ac1c43994c2d8f46 |
| SHA512 | ced4c7d15821fec9f496e33bdfc2dfefb320f8883dba1f9ff6cd1ced49ef1fcd2efd489fb27afb3d8c3ed587a13667fb0387b959d04367be72858bac93f88fb7 |
| Ssdeep | 196608:Pyldfj27TqLAmHJ7U9NXoQBciuPaygk1I1Dmd9j8JU8vD8Zts:qldqAVH9EXlBcbaHk1I1S79AwZts |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | 无此文件扫描结果 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .vmp1, entropy: 7.88, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x008ad000, virtual_size: 0x008ac157
可执行文件可能使用VMProtect打包
section: {'name': '.vmp0', 'characteristics': 'IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE', 'virtual_address': '0x00b8b000', 'size_of_data': '0x00000000', 'entropy': '0.00', 'virtual_size': '0x001111ba', 'characteristics_raw': '0xe0000060'}
运行截图
网络分析
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x010a87fe |
| 声明校验值 | 0x00000000 |
| 实际校验值 | 0x008c1fdc |
| 最低操作系统版本要求 | 5.0 |
| 编译时间 | 2020-09-18 19:18:16 |
| 载入哈希 | d1d69c12f3ab099d34baaf52ee849755 |
版本信息
| LegalCopyright: | \u7248\u6743\u4ee5\u53ca\u6cd5\u5f8b\u58f0\u660e: 1.\u672c\u52a9\u624b\u6240\u6709\u7528\u5230\u7684\u5b98\u65b9\u9635\u5bb9\u4ee5\u53ca\u82f1\u96c4\u5934\u50cf\u7d20\u6750\u5f52LOL\u6240\u6709,\u52a9\u624b\u53ea\u662f\u642c\u8fd0\u548c\u663e\u793a 2.\u672c\u52a9\u624b\u6240\u6709\u7684\u529f\u80fd\u4e2d\u5e76\u65e0\u5165\u4fb5\u6216\u8005\u4fee\u6539LOL\u5ba2\u6237\u7aef\u7684\u4ee3\u7801,\u5982\u6709\u5f02\u8bae\u8bf7\u8054\u7cfb\u672c\u4eba 3.\u672c\u52a9\u624b\u4ec5\u4f9b\u6280\u672f\u4ea4\u6d41,\u7528\u5230\u7684\u51fd\u6570\u529f\u80fd\u90fd\u662f\u7cfb\u7edf\u81ea\u5e26\u7684,\u7528\u6237\u4f7f\u7528\u4e86\u4e5f\u5c31\u662f\u540c\u610f\u4e86\u52a9\u624b\u53bb\u8c03\u7528\u8fd9\u4e9b\u51fd\u6570,\u4f7f\u7528\u540e\u51fa\u73b0\u7684\u4e00\u5207\u76f8\u5173\u95ee\u9898\u7686\u7531\u7528\u6237\u81ea\u884c\u627f\u62c5! 4.\u672c\u52a9\u624b\u5e76\u65e0\u5916\u6302\u6027\u8d28,\u65e0\u4fee\u6539\u65e0\u7ed1\u5b9a\u65e0\u6ce8\u5165\u65e0\u9488\u5bf9,\u7528\u6237\u4f7f\u7528\u4e86\u52a9\u624b\u4e5f\u5c31\u662f\u81ea\u5df1\u8c03\u7528\u4e86\u7cfb\u7edf\u76f8\u5173API\u529f\u80fd\u51fd\u6570,\u9488\u5bf9\u7684\u662f\u6574\u4e2a\u8ba1\u7b97\u673a\u5c4f\u5e55\u548c\u6570\u636e,\u5e76\u65e0\u9488\u5bf9\u6e38\u620f\u5ba2\u6237\u7aef\u7684\u884c\u4e3a.\u800c\u7528\u6237\u662f\u6709\u6743\u5229\u81ea\u5982\u7684\u4f7f\u7528\u81ea\u5bb6\u8ba1\u7b97\u673a\u7684 5.\u672c\u52a9\u624b\u5f00\u53d1\u7684\u521d\u8877\u5c31\u662f\u4e3a\u4e86\u8ba9\u66f4\u591a\u559c\u7231\u4e0b\u68cb\u7684\u670b\u53cb,\u66f4\u52a0\u7b80\u5355\u8f7b\u677e\u7684\u5165\u95e8\u4ee5\u53ca\u67e5\u770b\u9635\u5bb9,\u6bd5\u7adf\u4e0d\u662f\u8c01\u90fd\u624b\u901f\u4e86\u5f97,\u8bb0\u5fc6\u9ad8\u8d85!\u4e5f\u662f\u4e3a\u4e86\u8ba9\u8fd9\u6b3e\u6e38\u620f\u6709\u66f4\u591a\u4eba\u66f4\u52a0\u5bb9\u6613\u7684\u559c\u7231\u548c\u638c\u63e1\u5b83 6.\u7528\u6237\u7684\u5145\u503c/\u8d2d\u4e70/\u4f20\u64ad/\u7b49\u884c\u4e3a,\u7686\u662f\u7528\u6237\u81ea\u53d1\u7684\u8d5e\u52a9\u70b9\u8d5e\u53ca\u652f\u6301\u8ba4\u540c\u7684\u505a\u6cd5,\u5e76\u65e0\u5546\u4e1a\u76ee\u7684!\u5728\u6b64\u8868\u793a\u7531\u8877\u7684\u611f\u8c22! 7.\u672c\u52a9\u624b\u4e2d\u5185\u7f6e\u53cd\u6c47\u7f16\u53cd\u7834\u89e3\u63aa\u65bd,\u8bf7\u52ff\u5bf9\u672c\u52a9\u624b\u4ea7\u751f\u4efb\u4f55\u60f3\u6cd5,\u5426\u5219\u9020\u6210\u7684\u4e0d\u53ef\u633d\u56de\u540e\u679c\u8bf7\u81ea\u8d1f! 8.\u4ee5\u4e0a\u58f0\u660e\u8ba4\u540c\u540e\u8bf7\u7ee7\u7eed,\u4e0d\u8ba4\u540c\u8bf7\u572824\u5c0f\u65f6\u5185\u5220\u9664\u672c\u52a9\u624b |
| FileVersion: | 1.0.0.0 |
| CompanyName: | \u4e91\u9876\u52a9\u624b |
| Comments: | \u4ee3\u7801\u4e2d\u6709\u9632\u9006\u5411\u548c\u4e00\u4e9b\u53cd\u5236\u4ee3\u7801\u5982\u679c\u60a8\u60f3\u8981\u9006\u5411\u4fee\u6539/\u7834\u89e3\u5b83\uff0c\u4e00\u5207\u540e\u679c\u81ea\u8d1f\uff01 |
| ProductName: | \u52a9\u624b |
| ProductVersion: | 1.0.0.0 |
| FileDescription: | \u7248\u6743\u4ee5\u53ca\u6cd5\u5f8b\u58f0\u660e: 1.\u672c\u52a9\u624b\u6240\u6709\u7528\u5230\u7684\u5b98\u65b9\u9635\u5bb9\u4ee5\u53ca\u82f1\u96c4\u5934\u50cf\u7d20\u6750\u5f52LOL\u6240\u6709,\u52a9\u624b\u53ea\u662f\u642c\u8fd0\u548c\u663e\u793a 2.\u672c\u52a9\u624b\u6240\u6709\u7684\u529f\u80fd\u4e2d\u5e76\u65e0\u5165\u4fb5\u6216\u8005\u4fee\u6539LOL\u5ba2\u6237\u7aef\u7684\u4ee3\u7801,\u5982\u6709\u5f02\u8bae\u8bf7\u8054\u7cfb\u672c\u4eba 3.\u672c\u52a9\u624b\u4ec5\u4f9b\u6280\u672f\u4ea4\u6d41,\u7528\u5230\u7684\u51fd\u6570\u529f\u80fd\u90fd\u662f\u7cfb\u7edf\u81ea\u5e26\u7684,\u7528\u6237\u4f7f\u7528\u4e86\u4e5f\u5c31\u662f\u540c\u610f\u4e86\u52a9\u624b\u53bb\u8c03\u7528\u8fd9\u4e9b\u51fd\u6570,\u4f7f\u7528\u540e\u51fa\u73b0\u7684\u4e00\u5207\u76f8\u5173\u95ee\u9898\u7686\u7531\u7528\u6237\u81ea\u884c\u627f\u62c5! 4.\u672c\u52a9\u624b\u5e76\u65e0\u5916\u6302\u6027\u8d28,\u65e0\u4fee\u6539\u65e0\u7ed1\u5b9a\u65e0\u6ce8\u5165\u65e0\u9488\u5bf9,\u7528\u6237\u4f7f\u7528\u4e86\u52a9\u624b\u4e5f\u5c31\u662f\u81ea\u5df1\u8c03\u7528\u4e86\u7cfb\u7edf\u76f8\u5173API\u529f\u80fd\u51fd\u6570,\u9488\u5bf9\u7684\u662f\u6574\u4e2a\u8ba1\u7b97\u673a\u5c4f\u5e55\u548c\u6570\u636e,\u5e76\u65e0\u9488\u5bf9\u6e38\u620f\u5ba2\u6237\u7aef\u7684\u884c\u4e3a.\u800c\u7528\u6237\u662f\u6709\u6743\u5229\u81ea\u5982\u7684\u4f7f\u7528\u81ea\u5bb6\u8ba1\u7b97\u673a\u7684 5.\u672c\u52a9\u624b\u5f00\u53d1\u7684\u521d\u8877\u5c31\u662f\u4e3a\u4e86\u8ba9\u66f4\u591a\u559c\u7231\u4e0b\u68cb\u7684\u670b\u53cb,\u66f4\u52a0\u7b80\u5355\u8f7b\u677e\u7684\u5165\u95e8\u4ee5\u53ca\u67e5\u770b\u9635\u5bb9,\u6bd5\u7adf\u4e0d\u662f\u8c01\u90fd\u624b\u901f\u4e86\u5f97,\u8bb0\u5fc6\u9ad8\u8d85!\u4e5f\u662f\u4e3a\u4e86\u8ba9\u8fd9\u6b3e\u6e38\u620f\u6709\u66f4\u591a\u4eba\u66f4\u52a0\u5bb9\u6613\u7684\u559c\u7231\u548c\u638c\u63e1\u5b83 6.\u7528\u6237\u7684\u5145\u503c/\u8d2d\u4e70/\u4f20\u64ad/\u7b49\u884c\u4e3a,\u7686\u662f\u7528\u6237\u81ea\u53d1\u7684\u8d5e\u52a9\u70b9\u8d5e\u53ca\u652f\u6301\u8ba4\u540c\u7684\u505a\u6cd5,\u5e76\u65e0\u5546\u4e1a\u76ee\u7684!\u5728\u6b64\u8868\u793a\u7531\u8877\u7684\u611f\u8c22! 7.\u672c\u52a9\u624b\u4e2d\u5185\u7f6e\u53cd\u6c47\u7f16\u53cd\u7834\u89e3\u63aa\u65bd,\u8bf7\u52ff\u5bf9\u672c\u52a9\u624b\u4ea7\u751f\u4efb\u4f55\u60f3\u6cd5,\u5426\u5219\u9020\u6210\u7684\u4e0d\u53ef\u633d\u56de\u540e\u679c\u8bf7\u81ea\u8d1f! 8.\u4ee5\u4e0a\u58f0\u660e\u8ba4\u540c\u540e\u8bf7\u7ee7\u7eed,\u4e0d\u8ba4\u540c\u8bf7\u572824\u5c0f\u65f6\u5185\u5220\u9664\u672c\u52a9\u624b |
| Translation: | 0x0804 0x04b0 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x003c00d2 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .rdata | 0x003c2000 | 0x0070ddee | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x00ad0000 | 0x000ba0ca | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .vmp0 | 0x00b8b000 | 0x001111ba | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .vmp1 | 0x00c9d000 | 0x008ac157 | 0x008ad000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 7.88 |
| .rsrc | 0x0154a000 | 0x0000829d | 0x00009000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 4.89 |
覆盖
| 偏移量: | 0x008b7000 |
| 大小: | 0x00004c3f |
导入
库 kernel32.dll:
• 0x10ad000 - GetVersion
• 0x10ad004 - GetVersionExA
• 0x10ad008 - GetVersionExA
• 0x10ad00c - GetVersion
• 0x10ad010 - TlsGetValue
库 user32.dll:
• 0x10ad018 - GetPropA
库 gdi32.dll:
• 0x10ad020 - SaveDC
库 gdiplus.dll:
• 0x10ad028 - GdipLoadImageFromFile
库 ole32.dll:
• 0x10ad030 - CLSIDFromProgID
库 imm32.dll:
• 0x10ad038 - ImmReleaseContext
库 shell32.dll:
• 0x10ad040 - SHAppBarMessage
库 shlwapi.dll:
• 0x10ad048 - PathFileExistsA
库 winmm.dll:
• 0x10ad050 - midiStreamStop
库 RASAPI32.dll:
• 0x10ad058 - RasHangUpA
库 WS2_32.dll:
• 0x10ad060 - inet_addr
库 WINSPOOL.DRV:
• 0x10ad068 - OpenPrinterA
库 ADVAPI32.dll:
• 0x10ad070 - RegQueryValueA
库 OLEAUT32.dll:
• 0x10ad078 - LHashValOfNameSys
库 COMCTL32.dll:
• 0x10ad080 - ImageList_GetImageInfo
库 WININET.dll:
• 0x10ad088 - InternetSetOptionA
库 comdlg32.dll:
• 0x10ad090 - GetFileTitleA
库 kernel32.dll:
• 0x10ad098 - GetModuleFileNameW
库 kernel32.dll:
• 0x10ad0a0 - GetModuleHandleA
• 0x10ad0a4 - LoadLibraryA
• 0x10ad0a8 - LocalAlloc
• 0x10ad0ac - LocalFree
• 0x10ad0b0 - GetModuleFileNameA
• 0x10ad0b4 - ExitProcess
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
访问的文件
无信息
读取的文件
无信息
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息